Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Cisco ASA5506-X direct aangesloten netwerk routeren

Pagina: 1
Acties:

maandag 20 juli 2015 15:38

Acties:
  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50

Dirtbiter

Topicstarter
Ik probeer een ASA5506-X in te zetten als simpele router. Iedere interface verbindt met een eigen LAN. Vanuit ieder van die LANs (1-7) moet het LAN op interface 8 bereikt kunnen worden.
Het beperken van toegang gaat me wel lukken met ACL's.

Wat me niet lukt, is om in eerste instantie die ASA zover te krijgen dat ik vanaf interface 1 interface 8 kan bereiken. Wat heb ik gedaan?
  • Interfaces een naam, security-level, en ip-adres gegeven
  • Interfaces een MTU toegekend
  • ACL aangemaakt en toegekend
  • same-security-traffic permit aangezet
  • netwerk objecten aangemaakt en NAT daarvoor geconfigureerd
Ik heb met het 
packet-tracer
commando in de CLI een ICMP bericht van SMS naar CLOCK getest, en terug. Maar toch werkt zowel pingen, als het benaderen van de webinterface van de atoomklok (van 172.16.128.1 op SMS, naar 192.168.0.2 op CLOCK) niet.

Wie heeft een idee wat ik fout doe bij het 'misbruiken' van deze firewall als router?

Mijn configuratie tot zover:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150

: Hardware:   ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
:
ASA Version 9.3(2)2
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet1/1
 nameif SMS
 security-level 100
 ip address 172.16.0.1 255.255.0.0
!
interface GigabitEthernet1/2
 nameif TCS
 security-level 100
 ip address 172.17.0.1 255.255.0.0
!
interface GigabitEthernet1/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/5
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/6
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/7
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/8
 nameif CLOCK
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Management1/1
 management-only
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj-SMS
 subnet 172.16.0.0 255.255.0.0
object network obj-CLOCK
 subnet 192.168.0.0 255.255.255.0
access-list OPEN extended permit ip any any
access-list OPEN extended permit icmp any any
pager lines 24
logging asdm informational
mtu management 1500
mtu SMS 1500
mtu TCS 1500
mtu CLOCK 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj-SMS
 nat (SMS,CLOCK) static 172.16.0.0
object network obj-CLOCK
 nat (CLOCK,SMS) static 192.168.0.0
access-group OPEN in interface SMS
access-group OPEN out interface SMS
access-group OPEN in interface TCS
access-group OPEN out interface TCS
access-group OPEN in interface CLOCK
access-group OPEN out interface CLOCK
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect icmp error
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
: end

maandag 20 juli 2015 16:46

Acties:
  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24

Aconitum

Zijn je interfaces wel up ?

En laat je routing table is zien

[ Voor 40% gewijzigd door Aconitum op 20-07-2015 16:50 ]

maandag 20 juli 2015 16:56

Acties:
  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50

Dirtbiter

Topicstarter
Jazeker, zie hier de output van de test met het packet-tracer CLI commando:

http://www.filedropper.com/packet-tracersmsicmp
http://www.filedropper.com/packet-tracerclockicmp

maandag 20 juli 2015 17:28

Acties:
  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12

rohaantje

never mind.

[ Voor 101% gewijzigd door rohaantje op 20-07-2015 17:30 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!

dinsdag 21 juli 2015 08:24

Acties:
  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24

Aconitum

192.168.0.2/24 is een directly connect subnet
Aan je config te zien is 172.16.128.1 dat niet, weet je ASA wel wat de next hop is voor 172.16.128.1 ?

dinsdag 21 juli 2015 08:37

Acties:
  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50

Dirtbiter

Topicstarter
Aconitum schreef op dinsdag 21 juli 2015 @ 08:24:
192.168.0.2/24 is een directly connect subnet
Aan je config te zien is 172.16.128.1 dat niet, weet je ASA wel wat de next hop is voor 172.16.128.1 ?
Ja, want 172.16.0.0 (netwerk) is ook directly connected, op GigabitEthernet1/1.
code:
1
2
3
4

interface GigabitEthernet1/1
 nameif SMS
 security-level 100
 ip address 172.16.0.1 255.255.0.0


Als ik 'show route' gebruik, laat hij dat ook zo zien.

dinsdag 21 juli 2015 08:40

Acties:
  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24

Aconitum

Stom van me 8)7 subnet mask niet goed gezien
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq