Toon posts:

Cisco asa 5500 rdp

Pagina: 1
Acties:

vrijdag 8 mei 2009 11:03

Acties:

Verwijderd

Topicstarter
Beste mensen,

even het volgende de situatie is nu als volgt:

poort 3389 staat open

Gebruiker kan nu overal vanaar waar hij wilt connecten naar xxxxxxxxxx dan kan hij netjes inloggen

Maar het volgende wat ik nu wil is dat alleen xxxxxx ( wan ip ) naar xxxxxxx ( intern ip ) kan connecten

Ik heb de volgende rdp configuratie


access-list 110 extended permit tcp any host 192.168.101.100 eq 3389
static (inside,outside) interface 3389 xxxxxxxxx 3389 netmask 255.255.255.255

Maar als je bv nu de access list zou weghalen dan kan je alsnog gewoon connecten via de static rule
Nu mijn vraag hoe krijg ik het dus voor elkaar dat je vanaf bepaalde wanip alleen maar mag rdpen

vrijdag 8 mei 2009 11:08

Acties:
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Via een Terminal server of een IIS site waar remote desktop site hebt waarmee je naar de rest van de servers kan connecten...

uitgaande dat je 1 extern ip heb.

vrijdag 8 mei 2009 11:42

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Wat je ook kan doen is met SSL VPN werken.
Elke ASA met versie 8.0 zitten twee SSL VPN licenties die je kan gebruiken.
( Twee SSL licenties zijn 2 gelijktijdige sessies. Meer users kunnen hier dus gebruik van maken. )

Meer SSL licentie zul je bij moeten kopen, maar voor beheer taken en kleine netwerken met een paar users werkt het verder prima. SSL VPN kan je configureren in clientless mode, als thin client ( m.b.v. een Java Applet ) of in client mode. ( m.b.v. de Anyconnect client. )

Met SSL VPN Clientless mode kan je een HTTPS webportal bouwen met pluginns voor bijvoorbeeld RDP en Citrix. Ook kan je Outlook Webaccess, of bijvoorbeeld RSS feeds integreren met de webportal.

Algemene configuratie:
Clientless SSL VPN (WebVPN) on ASA Configuration Example

Integratie met RDP:
ASA 8.x Import RDP Plug-in for use with WebVPN Configuration Example

Als het het webportal wil aanpassen staat hier nog wat info:
ASA 8.0 SSLVPN (WebVPN): Advanced Portal Customization

Overige Web/SSL VPN configuratie voorbeelden kan je hier vinden.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

vrijdag 8 mei 2009 11:47

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Deze regel

access-list 110 extended permit tcp any host 192.168.101.100 eq 3389

wijzigen naar

access-list 110 extended permit tcp host X.X.X.X host 192.168.101.100 eq 3389

waarbij je voor X.X.X.X het WAN-ip invult waarvandaan je het wilt toestaan.

Vicariously I live while the whole world dies

vrijdag 8 mei 2009 19:19

Acties:

Verwijderd

Topicstarter
Vicarious schreef op vrijdag 08 mei 2009 @ 11:47:
Deze regel

access-list 110 extended permit tcp any host 192.168.101.100 eq 3389

wijzigen naar

access-list 110 extended permit tcp host X.X.X.X host 192.168.101.100 eq 3389

waarbij je voor X.X.X.X het WAN-ip invult waarvandaan je het wilt toestaan.
Ja dit heb ik dus ook al gedaan maar dan kan nog je nog steeds overal vandaag rdp

moet er niet nog een deny any any ?

vrijdag 8 mei 2009 20:58

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op vrijdag 08 mei 2009 @ 19:19:
[...]


Ja dit heb ik dus ook al gedaan maar dan kan nog je nog steeds overal vandaag rdp

moet er niet nog een deny any any ?
Dan staat er waarschijnlijk nog een andere regel in die dit verkeer alsnog toestaat. Post de hele access-list eens?

Deny any any is niet nodig, elke access-list heeft een implicit deny aan het einde.

Vicariously I live while the whole world dies

zaterdag 9 mei 2009 19:49

Acties:

Verwijderd

Topicstarter
Vicarious schreef op vrijdag 08 mei 2009 @ 20:58:
[...]

Dan staat er waarschijnlijk nog een andere regel in die dit verkeer alsnog toestaat. Post de hele access-list eens?

Deny any any is niet nodig, elke access-list heeft een implicit deny aan het einde.
haha ja die any any sloeg ook nergens op hehe.

Ja ik zal hierzo even de heele access-list neerzetten

access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit tcp any host mvcserver1 eq 3333
access-list outside_access_in extended permit gre any host mvcserver1
access-list outside_access_in extended permit tcp any host mvcserver1 eq 2222
access-list outside_access_in extended permit tcp any host mvcserver1 eq https
access-list outside_access_in extended permit tcp any host mvcserver1 eq www
access-list outside_access_in extended permit tcp any interface outside eq 2222
access-list outside_access_in extended permit tcp any interface outside eq 3333
access-list outside_access_in extended permit gre any interface outside
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
Dit is me access list.

zaterdag 9 mei 2009 23:13

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

access-list outside_access_in extended permit ip any any

Hiermee sta je alles al toe. Alle regels daarna hoeven nu niet meer. Die regel moet je dus even weghalen. Is leuk als test, maar verder natuurlijk vrij onveilig.

Vicariously I live while the whole world dies

zaterdag 9 mei 2009 23:16

Acties:

Verwijderd

Topicstarter
Vicarious schreef op zaterdag 09 mei 2009 @ 23:13:
access-list outside_access_in extended permit ip any any

Hiermee sta je alles al toe. Alle regels daarna hoeven nu niet meer. Die regel moet je dus even weghalen. Is leuk als test, maar verder natuurlijk vrij onveilig.
Ey, ja daar was ik zelf ook al bang voor maar goed, heb nog een asa legge, word flink wat access-listjes maken


maar thx :) iedergeval.

zondag 10 mei 2009 20:40

Acties:

Verwijderd

Er wordt eerst naar de ACL gekeken en dan pas naar NAT. Stel dat je externe IP adres 200.1.1.1 is dan hebben inkomende pakketjes dit adres dus als destination adres. In de access-list moet dus verkeer bestemd voor dit IP adres doorgelaten worden. Daarna wordt pas gekeken of er een NAT translatie is voor dit adres.

Je access-list moet er dan dus zo uitzien:

access-list 110 extended permit tcp host <source IP> host 200.1.1.1 eq 3389
static (inside,outside) tcp 200.1.1.1 3389 192.168.101.100 3389 netmask 255.255.255.255

Of wanneer je het IP adres dat op de outside zit wilt gebruiken kan dit ook:

access-list 110 extended permit tcp host <source IP> interface outside eq 3389
static (inside,outside) tcp interface 3389 192.168.101.100 3389 netmask 255.255.255.255
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq