[Cisco] SSH port forward Cisco asa 5505 image 9.1

donderdag 6 maart 2014 14:04

Acties:

0 Henk 'm!

Topicstarter

Ik probeer SSH verkeer door te sturen naar intern netwerk, maar ik kan geen verbinding maken met de host.
Ik heb deze commando's gebruikt. Volgens diverse sites moet klopt de commando's. Misschien iets vergeten? Ter informatie: asa912-k8.bin, ASDM 7.1(3), Security licentie.

code:

object network Terminalserver
 host 192.168.3.4
 nat (Inside,Outside) static interface service tcp ssh ssh
 access-list outside_access_in permit tcp any object Terminalserver eq ssh

De objecten Inside en Outside aangemaakt.

code:

object network Outside
 subnet 0.0.0.0 0.0.0.0
object network Inside
 subnet 192.168.3.0 255.255.255.0

Zie iets over het hoofd?

donderdag 6 maart 2014 17:47

Acties:

0 Henk 'm!

BlueKeenan

Volgens mij heb je de interfaces verkeer om (Inside, Outside) moet zijn (Outside, inside).
Nu stuur je het verkeer van binnen naar buiten (je host mag naar buiten toe SSH gebruiken).

Wat ook kan helpen, mocht je geen CLI guru zijn, is ASDM te gebruiken om te configureren en vervolgens ervoor te zorgen dat in de opties van ASDM bij iedere apply de gebruikte commando's zichtbaar worden.
Hierdoor leer je wat de correcte commando's zijn

Success!

donderdag 6 maart 2014 23:39

Acties:

0 Henk 'm!

Mikey!

"Inside,Outside" is goed

Probeer de NAT translatie eens op een andere poort op de Outside dan 22, door bijvoorbeeld TCP/2222 om laten zetten naar TCP/22. De ASA luistert zelf hoogstwaarschijnlijk ook al naar poort TCP/22 op de Outside interface, wat mogelijk een conflict kan veroorzaken.

vrijdag 7 maart 2014 07:07

Acties:

0 Henk 'm!

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > NT

Tijd voor een nieuwe sig..

vrijdag 7 maart 2014 17:23

Acties:

0 Henk 'm!

plizz

Topicstarter

Het nat verhaal kan ik helaas nog niet testen, omdat ik tegen een ander probleem ben aangelopen. De access rules (ACL) van de Outside interface. De ssh session wordt gedropt door access rule deny ip any any volgens de logs. Terwijl permit tcp any any eq ssh voor die deny access rule staat.

Iemand een idee?

Zo heb ik het staan:

code:

access-list Outside_access_in; 5 elements; name hash: 0xe796c137
access-list Outside_access_in line 1 extended permit tcp any any eq ssh 
access-list Outside_access_in line 2 extended permit icmp any any echo-reply 
access-list Outside_access_in line 3 extended permit icmp any any unreachable 
access-list Outside_access_in line 4 extended permit icmp any any time-exceeded 
access-list Outside_access_in line 5 extended deny ip any any

zondag 9 maart 2014 11:34

Acties:

0 Henk 'm!

Mikey!

plizz schreef op vrijdag 07 maart 2014 @ 17:23:
Het nat verhaal kan ik helaas nog niet testen, omdat ik tegen een ander probleem ben aangelopen. De access rules (ACL) van de Outside interface. De ssh session wordt gedropt door access rule deny ip any any volgens de logs. Terwijl permit tcp any any eq ssh voor die deny access rule staat.

Iemand een idee?

Zo heb ik het staan:
code:
1
2
3
4
5
6
access-list Outside_access_in; 5 elements; name hash: 0xe796c137
access-list Outside_access_in line 1 extended permit tcp any any eq ssh 
access-list Outside_access_in line 2 extended permit icmp any any echo-reply 
access-list Outside_access_in line 3 extended permit icmp any any unreachable 
access-list Outside_access_in line 4 extended permit icmp any any time-exceeded 
access-list Outside_access_in line 5 extended deny ip any any

Even voor de zekerheid: Is de Access-List gekoppeld aan de Outside interface met een Access-Group commando?

Overigens zijn de "Outside" en "Inside" objecten niet nodig, de gelijknamige statemants in de nat (Inside,Outside) regel verwijzen naar de interface namen, niet naar objecten

[ Voor 8% gewijzigd door Mikey! op 09-03-2014 11:37 ]

zondag 9 maart 2014 11:58

Acties:

0 Henk 'm!

plizz

Topicstarter

De access-list is gekoppeld aan de Outside interface met "access-group Outside_access_in in interface Outside"

Ik heb het idee dat versie 9.1 standaard SSH blokkeert en niet doorstuurt, omdat bij versie 8.2 heb ik het probleem niet. Tenzij ik "ssh 0.0.0.0 0.0.0.0 Outside" commando gebruik, maar dan heb ik alleen ssh verbinding met de ASA. Of is het echt een Nat probleem?
Ik heb ook Nat gedaan met andere poort maar dan heb ik nog steeds geen verbinding.

[ Voor 77% gewijzigd door plizz op 17-04-2014 19:32 ]

donderdag 17 april 2014 19:33

Acties:

0 Henk 'm!

plizz

Topicstarter

Update:
Ik heb weer vanaf begin de Cisco asa geconfigureerd via ASDM. Ik kreeg een melding van ASDM toen ik NAT aanmaakte.

[OK] object network Inside object network Inside [OK] subnet 192.168.3.0 255.255.255.0 [WARNING] nat (Inside,Outside) static interface All traffic destined to the IP address of the Outside interface is being redirected. WARNING: Users may not be able to access any service enabled on the Outside interface.

Betekent dat ik geen poorten meer kan forwarden?

maandag 21 april 2014 16:57

Acties:

0 Henk 'm!

plizz

Topicstarter

Update 2:
Probleem is opgelost. Het heeft niks met de access-list te maken. Het was een configuratie fout bij NAT gedeelte. Voor Inside naar Outside. Ik heb een NAT rule aangemaakt i.p.v. een NAT Object Rule. Hierdoor werkt port forward niet.

Nog bedankt voor het meedenken.

Onderwerpen