Asa 5510 ed inter-vlan routing.

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Ciao,

domanda stupida, forse, ma mi è necessario un chiarimento.

Scenario: Asa 5510, rete pubblica su outside, 3 vlan lato inside, tutte nattate con PAT con l'ip pubblico della outside. Qualche statica verso i server, una vpn client-to-site, ma niente di più. L'apparato è funzionante.

Ora dovrei permettere il routing tra alcuni host di 2 delle 3 vlan. Oltre all'acl di permit (necessaria poichè ho la security impostata differentemente tra le 3 vlan) devo anche bloccare il nat? In altre parole, nel nat0 già presente per la vpn devo aggiungere il permit tra le vlan necessarie? Perchè al momento non riesco ad accedere da una all'altra.

Grazie.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

X fortuna dalle ultime versioni di software il same-routing-interface è possibile anche sui firewall di mamma Cisco...

Dai questo comando:

Codice: Seleziona tutto

same-security-traffic permit intra-interface 
Poi crea le regole di nat0 tra le 2 o più network
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Grazie per la risposta!

Ho inserito il comando che mi hai scritto e creato il nat0 tre le due reti, ma ancora nulla... cosa ho dimenticato?

A proposito, la versione on board è la 7.0(7).

Ciao.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Serve:

- comando scritto prima
- rotta
- nat0

Fa vedere come hai configurato il punto 2 e 3

Cmq, la ios è vecchia e bacata, aggiorna alla 8.0.4
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Eccomi,

per le rotte non ho fatto nulla... sono direttamente connesse, o sbaglio?
Aggiornerò l'IOS.

Di seguito trovi la configurazione:

Codice: Seleziona tutto

: Saved
:
ASA Version 7.0(7) 
!
hostname <omissis>
domain-name <omissis>
enable password <omissis>
names
dns-guard
!
interface Ethernet0/0
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/0.60
 vlan 60
 nameif lan0
 security-level 80
 ip address 192.168.0.254 255.255.255.0 
!
interface Ethernet0/0.80
 vlan 80
 nameif lan1
 security-level 80
 ip address 192.168.1.254 255.255.255.0 
!
interface Ethernet0/0.100
 vlan 100
 nameif video
 security-level 100
 ip address 10.0.0.254 255.0.0.0 
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address <omissis> 255.255.255.248 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 172.16.1.1 255.255.255.0 
 management-only
!
passwd <omissis>
ftp mode passive
same-security-traffic permit intra-interface
access-list outside_access_in extended permit tcp any host <omissis> eq www 
access-list outside_access_in extended permit tcp any host <omissis> eq https 
access-list outside_access_in extended permit tcp any host <omissis> eq smtp 
access-list outside_access_in extended permit tcp host <omissis> host <omissis> eq 3389 
access-list <omissis>_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0 
access-list <omissis>_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0 
access-list video_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 192.168.5.0 255.255.255.248 
access-list lan0_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.5.0 255.255.255.248 
access-list lan0_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0 
access-list lan1_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 
pager lines 24
logging asdm informational
mtu lan0 1500
mtu lan1 1500
mtu video 1500
mtu outside 1500
mtu management 1500
ip local pool vpn_pool 192.168.5.1-192.168.5.5 mask 255.255.255.0
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (lan0) 0 access-list lan0_nat0_outbound
nat (lan0) 1 192.168.0.0 255.255.255.0
nat (lan1) 0 access-list lan1_nat0_outbound
nat (lan1) 1 192.168.1.0 255.255.255.0
nat (video) 0 access-list video_nat0_outbound
nat (video) 1 10.0.0.0 255.0.0.0
static (lan1,outside) <omissis> 192.168.1.1 netmask 255.255.255.255 
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 <omissis> 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy <omissis> internal
group-policy <omissis> attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value <omissis>_splitTunnelAcl
 webvpn
group-policy <omissis> internal
group-policy <omissis> attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value <omissis>_splitTunnelAcl
 webvpn
username <omissis> password <omissis> encrypted privilege 0
username <omissis> attributes
 vpn-group-policy <omissis>
 webvpn
username <omissis> password <omissis> encrypted privilege 15
http server enable
http <omissis> 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 management
http 172.16.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp nat-traversal  20
tunnel-group <omissis> type ipsec-ra
tunnel-group <omissis> general-attributes
 address-pool vpn_pool
 default-group-policy <omissis>
tunnel-group <omissis> ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect sqlnet 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
  inspect http 
  inspect icmp error 
  inspect icmp 
  inspect pptp 
!
service-policy global_policy global
ntp server 193.204.114.232 source outside prefer
Cryptochecksum:27219f6a0ea0c644a8ef99e51af4618d
: end
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Codice: Seleziona tutto

same-security-traffic permit inter-interface
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

GRANDE! :wink:

Con questa versione del comando funziona tutto. Quella di prima era forse per reti connesse ad interfaccie diverse?
Comunque aggiornerò l'IOS al più presto... grazie del tuo concreto aiuto.

Andrea.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Spiego meglio x tutti dato che ho messo il topic in evidenza:

same-security-traffic permit inter-interface

Abilita la comunicazione tra 2 interfaccie aventi lo stesso security level

same-security-traffic permit intra-interface

Abilita le connessioni per il same-interface-routing
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Ciao a tutti.
Vi chiedo cortesemente un chiarimento in merito al

Codice: Seleziona tutto

same-security-traffic permit intra-interface
ho un asa8 dove ho configurato una banalissima rotta statica

Codice: Seleziona tutto

route inside 192.168.101.0 255.255.255.0 192.168.100.122
dove ovviamente il 192.168.100.122 appartiene alla stessa sottorete dell'inside dell ASA.
Dai client però non c'è verso di raggiungere la sottorete 192.168.101.0.
La cosa che non comprendo è se devo creare delle regole di nat0 (cmq ci ho provato ma senza successo) opprure no (ho trovato un articolo cisco in argomento ma non ne parla).
C'è qualcuno che gentilmente potrebbe postare o suggerirmi un esempio funzionante in modo da prendere spunto?
Grazie mille come sempre, saluti
Luca
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Il nat0 configuralo ma devi configurare anche la acl sulla inside
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Ciao,
innanzitutto grazie Wizard per l'aiuto!
Quindi ricapitolando devo configurare:
* Nat0 dalla inside alla rete "remota"
* ACL dalla inside alla rete "remota"

ma a questo punto mi sorge un ultimo dubbio.. devo configurare anche le ACL per il traffico di ritorno ?
(forse è una domanda sciocca ma... non mi è chiaro il perchè sia necessario inserire delle ACL su traffico appartenente allo stesso livello di sicurezza)

Grazie ancora e un saluto a tutti
Luca
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

ma a questo punto mi sorge un ultimo dubbio.. devo configurare anche le ACL per il traffico di ritorno ?
No no su fw Cisco le acl sn statefoul (il traffico di ritorno è automaticamente permesso)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Mi invento un esempio:

rete inside: 192.168.1.0/24
rete remota: 192.168.2.0/24
router x rete remota: 192.168.1.100

Codice: Seleziona tutto

same-security-traffic permit intra-interface 

route inside 192.168.2.0 255.255.255.0 192.168.1.100

access-l inside-in permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

access-l nat0-inside permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

nat (inside) 0 access-l nat0-inside
Chiaramente la acl inside-in è associata alla int inside e ci sn altre acl in quel grupppo
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Ciao...
Grazie Wizard per l'esempio... ottimo!! :wink:
Appena posso vado dal cliente e provo ... vi faccio sapere!

Grazie ancora, un saluto a tutti
Luca
Rispondi