Cisco ASA 5505 + Guest WLAN

[mm76]

Buongiorno a tutti,

premettendo che sono appena entrato nel "mondo" Cisco, avrei bisogno di una mano per un problema (credo banale) che non riesco a risolvere...
In questo momento ho un asa 5505 con una rete inside (192.168.1.X), una outside e una dmz che funzionano a meraviglia... a queste vorrei aggiungere una nuova rete guest (192.168.2.x),a cui i client si collegheranno tramite access point e isolata dalla inside, che abbia la possibilità di andare su internet senza restrizioni...
Cosa diavolo devo aggiungere alla configurazione esistente? Con le prove da me effettuate non riesco neanche ad effettuare il ping tra asa(192.168.2.1) e access point (192.168.2.254).
Vi ringrazio in anticipo!!!

[paolomat75]

Ciao,
premetto che non so niente di ASA, ma penso che devi mettere uno straccio di configurazione (opportunamente pulita da password e dati sensibili) perché qualcuno ti possa aiutare.

Paolo

[mm76]

Ops, hai perfettamente ragione...
Ecco la conf incriminata (inside, dmz e outside sono ok mentre la secure dovrebbe essere la rete GUEST):


ASA Version 8.2(5)
!
hostname xxxxx
domain-name xxxxx
enable password xxxx encrypted
passwd xxx encrypted
no names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
switchport access vlan 4
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.248
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.15.254 255.255.255.0
!
interface Vlan4
nameif secure
security-level 100
ip address 192.168.2.1 255.255.255.0
!

ftp mode passive
dns server-group DefaultDNS
domain-name xxx
same-security-traffic permit inter-interface
access-list acl_out extended permit icmp any any
access-list acl_out extended permit tcp any host x.x.x.x eq www
access-list acl_out extended permit tcp any host x.x.x.x eq https
access-list acl_out extended permit tcp any host x.x.x.x eq ftp
access-list acl_out extended permit tcp any host x.x.x.x eq ftp-data
access-list no_nat extended permit ip 192.168.1.0 255.255.255.0 192.168.15.0 255.255.255.0
access-list acl_dmz extended permit icmp any any
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq www
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq https
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq ftp
access-list acl_dmz extended permit udp 192.168.15.0 255.255.255.0 any eq domain
access-list acl_in extended permit ip 192.168.1.0 255.255.255.224 any
access-list acl_in extended permit ip 192.168.1.0 255.255.255.0 192.168.15.0 255.255.255.0
access-list acl_in extended permit ip host 192.168.1.176 any
access-list acl_secure extended permit ip any any
access-list acl_secure extended permit icmp any any
access-list acl_secure extended permit ip host 192.168.2.59 any
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu secure 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list no_nat
nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 0 access-list no_nat
nat (dmz) 1 192.168.15.0 255.255.255.0
nat (secure) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp x.x.x. https 192.168.1.25 https netmask 255.255.255.255
static (dmz,outside) tcp x.x.x.x smtp 192.168.15.2 smtp netmask 255.255.255.255
static (dmz,outside) x.x.x.x 192.168.15.1 netmask 255.255.255.255
access-group acl_in in interface inside
access-group acl_out in interface outside
access-group acl_dmz in interface dmz
access-group acl_secure in interface secure
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1

[Rizio]

Premetto (avete premesso tutti e due e volevo farlo anch'io per continuità ), non sono un esperto di asa ma imho devi intanto impostare la security dell'interfaccia guest a 0

Codice: Seleziona tutto

int vlan 4
 security 0

poi devi verificare che il routing sia corretto

Codice: Seleziona tutto

route secure 0.0.0.0 0.0.0.0 DEFAULT_GW

poi devi applicare il nat che hai scritto all'interfaccia (o ad un IP eventualmente gestito dall'interfaccia) con il

Codice: Seleziona tutto

global (secure) 1 interface

poi ti rimane solo da esplicitare il transito tra le diverse altre interfacce con delle access list (se vuoi che ci sia qualche interazione tra le diverse net - essendo a security 0 a quella interfaccia non è consentito il transito da nessun'altra parte che non sia esplicitato via acl)

Direi che dovrebbe essere tutto, verifica però perchè battute a parte non sono davvero un'esperto
Rizio

[mm76]

Premetto (avete premesso tutti e due e volevo farlo anch'io per continuità ), non sono un esperto di asa ma imho devi intanto impostare la security dell'interfaccia guest a 0

Codice: Seleziona tutto

int vlan 4
 security 0

poi devi verificare che il routing sia corretto

Codice: Seleziona tutto

route secure 0.0.0.0 0.0.0.0 DEFAULT_GW

poi devi applicare il nat che hai scritto all'interfaccia (o ad un IP eventualmente gestito dall'interfaccia) con il

Codice: Seleziona tutto

global (secure) 1 interface

poi ti rimane solo da esplicitare il transito tra le diverse altre interfacce con delle access list (se vuoi che ci sia qualche interazione tra le diverse net - essendo a security 0 a quella interfaccia non è consentito il transito da nessun'altra parte che non sia esplicitato via acl)

Direi che dovrebbe essere tutto, verifica però perchè battute a parte non sono davvero un'esperto
Rizio

Premesso che ti ringrazio per la risposta ( ) il tuo suggerimento non ha portato nessun risultato...

[Rizio]

Senza premesse 'stavolta che sennò mi perdo purtroppo non mi viene in mente altro da fare sull'asa.
Prova a verificare il routing che sia corretto tra i diversi apparati, sull'asa mi sembra tutto a posto così.
Altrimenti aspettiamo se qualcuno dei guru del forum mi corregge o aggiunge istruzioni che magari mi sono scordato.

Rizio

[mm76]

Senza premesse 'stavolta che sennò mi perdo purtroppo non mi viene in mente altro da fare sull'asa.
Prova a verificare il routing che sia corretto tra i diversi apparati, sull'asa mi sembra tutto a posto così.
Altrimenti aspettiamo se qualcuno dei guru del forum mi corregge o aggiunge istruzioni che magari mi sono scordato.

Rizio

Grazie Rizio, resto in attesa perchè mi sono perso!
Grazie ancora!!!

[Rizio]

Puoi ripostare la conf completa (ovviamente oscurando le parti "private") che vorrei ridargli un'occhiata?

Tnk's
Rizio

[mm76]

Puoi ripostare la conf completa (ovviamente oscurando le parti "private") che vorrei ridargli un'occhiata?

Tnk's
Rizio

questa?

ASA Version 8.2(5)
!
hostname xxxxx
domain-name xxxxx
enable password xxxx encrypted
passwd xxx encrypted
no names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
switchport access vlan 4
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.248
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.15.254 255.255.255.0
!
interface Vlan4
nameif secure
security-level 100
ip address 192.168.2.1 255.255.255.0
!

ftp mode passive
dns server-group DefaultDNS
domain-name xxx
same-security-traffic permit inter-interface
access-list acl_out extended permit icmp any any
access-list acl_out extended permit tcp any host x.x.x.x eq www
access-list acl_out extended permit tcp any host x.x.x.x eq https
access-list acl_out extended permit tcp any host x.x.x.x eq ftp
access-list acl_out extended permit tcp any host x.x.x.x eq ftp-data
access-list no_nat extended permit ip 192.168.1.0 255.255.255.0 192.168.15.0 255.255.255.0
access-list acl_dmz extended permit icmp any any
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq www
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq https
access-list acl_dmz extended permit tcp 192.168.15.0 255.255.255.0 any eq ftp
access-list acl_dmz extended permit udp 192.168.15.0 255.255.255.0 any eq domain
access-list acl_in extended permit ip 192.168.1.0 255.255.255.224 any
access-list acl_in extended permit ip 192.168.1.0 255.255.255.0 192.168.15.0 255.255.255.0
access-list acl_in extended permit ip host 192.168.1.176 any
access-list acl_secure extended permit ip any any
access-list acl_secure extended permit icmp any any
access-list acl_secure extended permit ip host 192.168.2.59 any
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
mtu secure 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 0 access-list no_nat
nat (inside) 1 192.168.1.0 255.255.255.0
nat (dmz) 0 access-list no_nat
nat (dmz) 1 192.168.15.0 255.255.255.0
nat (secure) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp x.x.x. https 192.168.1.25 https netmask 255.255.255.255
static (dmz,outside) tcp x.x.x.x smtp 192.168.15.2 smtp netmask 255.255.255.255
static (dmz,outside) x.x.x.x 192.168.15.1 netmask 255.255.255.255
access-group acl_in in interface inside
access-group acl_out in interface outside
access-group acl_dmz in interface dmz
access-group acl_secure in interface secure
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1

[Rizio]

Questa è quella vecchia. Posta quella che hai modificato con le impostazioni che ti ho suggerito.

Rizio

[mm76]

Questa è quella vecchia. Posta quella che hai modificato con le impostazioni che ti ho suggerito.

Rizio

Aspetta che forse ho sbagliato qualcosa nell'access point... (uso ddwrt su un linksys)
Riprovo e ti faccio sapere... grazie ancora intanto!!!