Ciao a tutti,
sto cercando di cambiare il firewall azienda da un Zywall USG100 ad un ASA 5515, la configurazione sembra funzionare bene tranne per una cosa che non riesco proprio a capire . Il problema che con il vecchio firewall questo problema non si verificava , mentre con il nuovo non riesco a farlo funzionare anche se ho trovato un work-around per risolvere il problema .
Il problema è che vorrei capire dove ho sbagliato e se qualcuno mi può dare qualche consiglio.
Descrizione rete
1° lan1 10.10.0.0 /24 gw 10.10.0.251
2° lan2 10.20.0.0/24 gw 10.20.0.251
3° dmz 172.16.0.0/24
Server nome PIPPO (con il problema )
scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0
sia la lan1 che lan2 risolvono il server PIPPO con l'indirizzo 10.10.0.100
Il problema è questo
se chiamo il server PIPPO ad un computer della lan1 non c'e nessun problema , se invece chiama il server PIPPO dalla lan2 non riesco ad accedere tranne (work-around) se nel server gli insierisco una route statica nella quale gli specifico che per la rete 10.10.0.0 il gateway è 10.20.0.251
Altre info:
all' interno dell' asa sia lan1 che lan2 hanno valore (100) , è abilitata l'opzione che due rete con stesso valore posso parlare
Perché devo inserire la route statica che prima non dovevo inserire ???
Grazie a tutti
P.s Se servono altre info chiedete pure
ASA 5515 - Errore configurazione
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao, preciso che non sono bravo con gli ASA, ma da come descrivi il problema sembrerebbe il server configurato male (visto che il gateway che metti è quello di default).
Prova a sniffare il traffico.
Paolo
Prova a sniffare il traffico.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 11
- Iscritto il: dom 22 set , 2013 9:42 am
Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza
scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0
il gw del server è 172.16.0.254 (gw della DMZ)
Ciao Alessandro
scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0
il gw del server è 172.16.0.254 (gw della DMZ)
Ciao Alessandro
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).AlessandroG ha scritto:Aggiungo un'informazione che mi sono dimenticato, il server ha due schede come detto in precedenza
scheda rete lan1 10.10.0.100
scheda rete dmz 172.16.0.0
il gw del server è 172.16.0.254 (gw della DMZ)
Ciao Alessandro
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 11
- Iscritto il: dom 22 set , 2013 9:42 am
Ciao Paolo , prima di tutto grazia per il tuo aiuto ma c'è qualcosa che non riesco a capire
Configurazione ASA
1° lan1 10.10.0.0 /24 gw 10.10.0.251 100
2° lan2 10.20.0.0/24 gw 10.20.0.251 100
3° dmz 172.16.0.0/24 gw 172.16.0.251 50
Configurazione Server
lan1 10.10.0.100
dms 172.16.0.100 gw 172.16.0.251
Se da un cliente esempio 10.10.0.1 chiamo il server 10.10.0.100 , riesco a raggiungerlo perché in poche parole tutto il mio traffico viene effettuato sulla LAN1 . Quindi la DMZ in questo momento non entra in gioco (almeno credo) e quindi non ho bisogno di regole di route o di altro
Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2
Dove sbaglio ??????
Grazie ancora Alessandro
sono pienamente d'accordo con quello che hai scritto però per la mia ignoranza non mi torna un cosa , vediamo se riesci ad aiutarmi.Allora è giusto che non vada se non aggiungi una statica, il level DMZ è sicuramente più basso di quello lan2, perciò il traffico è bloccato. Se proprio devi far parlare le due reti o lasci la route statica, visto che hai le 2 schede, oppure bisogna fare un'eccezione nel ASA (nel caso vuoi solo accedere ad alcuni servizi della lan1).
Configurazione ASA
1° lan1 10.10.0.0 /24 gw 10.10.0.251 100
2° lan2 10.20.0.0/24 gw 10.20.0.251 100
3° dmz 172.16.0.0/24 gw 172.16.0.251 50
Configurazione Server
lan1 10.10.0.100
dms 172.16.0.100 gw 172.16.0.251
Se da un cliente esempio 10.10.0.1 chiamo il server 10.10.0.100 , riesco a raggiungerlo perché in poche parole tutto il mio traffico viene effettuato sulla LAN1 . Quindi la DMZ in questo momento non entra in gioco (almeno credo) e quindi non ho bisogno di regole di route o di altro
Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2
Dove sbaglio ??????
Grazie ancora Alessandro
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Se dal 10.20.0.1 chiami il 10.10.0.100 entra in gioco la DMZ perché il server ha come gateway il 172.16.0.251 50, e visto che la rete 10.20.1.x non è presente nella tabella di routing (a parte quando metti la statica), il server manda sul gateway.AlessandroG ha scritto:
Se da un cliente esempio 10.20.0.1 chiamo il server 10.10.0.100 , non riesco a raggiungere il server . In questa situazione le uniche lan che entrano in gioco sono la LAN1 e LAN2 che hanno lo stesso valore 100 e SEMPRE per la mia ignoranza anche in questo caso non entra in gioco la DMZ e aggiungo che a livello di ASA ci sono le regole di route per passare da LAN1 a LAN2
Dove sbaglio ??????
Grazie ancora Alessandro
In quel caso l'ASA blocca il transito perché il traffico è da livello più basso ad alto (a parte autorizzare quel tipo di traffico).
Spero di averti chiarito le idee
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Hai risolto?
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)