CiscoForums.it

Buongiorno,
ho un configurato un asa 5510 8.3(2) con inizialmente 3 interfacce:
inside security-level 100
outside security-level 0
dmz security-level 50

poi ho configurato un' intefaccia
ospiti security-level 40

Dall'interfaccia ospiti devo accedere in http ad un server che sta in inside,
ho messo le acl opportune, sia sull'interfaccia ospiti che inside, ma da ospiti
non riesco ad aprire delle connessioni sul server in inside.
Ho messo le acl in ip e da ospiti riesco a pingare il server ma non riesco ad aprire una connessione http.
Se faccio una prova con il tool tacket tracer dell'asa con i il protocollo http l'esito
è positivo.
La cosa strana è che operazioni di questo tipo le faccio, e vanno fra dmz ed inside ...
A livello di licenza dovrei essere a posto:

Device license Base
Inside host unlimited
Maximum phyisical interface unlimited
vlans 50


Grazie

se il traffico http deve solo andare da ospiti a inside, basta solo un acl in input sulla ospiti.

da inside a ospiti passa tutto senza fare nulla, visto che il livello di security sulla inside è 10 e sulla ospiti 40, a meno che non ci sia già un acl

Se nei log dell'acl sull'interfaccia ospiti vedi i match la config è corretta e a questo punto mi viene da chiedermi se il servizio http è attivo sul serve.

Ciao,
l'acl l'ho messa, inizialmente era solo per http adesso è per tutto ip ed infatti il ping passa.

Il server http sono sicuro che è su, il server in questione è un'owa, il problema è che
l'asa mi blocca le connessioni fra le due interfacce ...

Ciao

Allego il file (che è un .pcap) che ho generato monitorando (su ospiti) la connessione su 443 di un client su ospiti verso il il server in inside. 192.168.50.45 --> 10.4.1.68

Risolto,
ho dovuto mettere una service policy sull'interfaccia ospiti, dalla quale provenivano i reset.

state-bypass-pmap la ritettiva che ho applicato.

Continuo a non spiegarmi perchè sull'interfaccia dmz non ho bisogno di questa policy.