Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Cisco ASA5506-X direct aangesloten netwerk routeren

Pagina: 1
Acties:

  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50
Ik probeer een ASA5506-X in te zetten als simpele router. Iedere interface verbindt met een eigen LAN. Vanuit ieder van die LANs (1-7) moet het LAN op interface 8 bereikt kunnen worden.
Het beperken van toegang gaat me wel lukken met ACL's.

Wat me niet lukt, is om in eerste instantie die ASA zover te krijgen dat ik vanaf interface 1 interface 8 kan bereiken. Wat heb ik gedaan?
  • Interfaces een naam, security-level, en ip-adres gegeven
  • Interfaces een MTU toegekend
  • ACL aangemaakt en toegekend
  • same-security-traffic permit aangezet
  • netwerk objecten aangemaakt en NAT daarvoor geconfigureerd
Ik heb met het
packet-tracer
commando in de CLI een ICMP bericht van SMS naar CLOCK getest, en terug. Maar toch werkt zowel pingen, als het benaderen van de webinterface van de atoomklok (van 172.16.128.1 op SMS, naar 192.168.0.2 op CLOCK) niet.

Wie heeft een idee wat ik fout doe bij het 'misbruiken' van deze firewall als router?

Mijn configuratie tot zover:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
: Hardware:   ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
:
ASA Version 9.3(2)2
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet1/1
 nameif SMS
 security-level 100
 ip address 172.16.0.1 255.255.0.0
!
interface GigabitEthernet1/2
 nameif TCS
 security-level 100
 ip address 172.17.0.1 255.255.0.0
!
interface GigabitEthernet1/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/5
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/6
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/7
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/8
 nameif CLOCK
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Management1/1
 management-only
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj-SMS
 subnet 172.16.0.0 255.255.0.0
object network obj-CLOCK
 subnet 192.168.0.0 255.255.255.0
access-list OPEN extended permit ip any any
access-list OPEN extended permit icmp any any
pager lines 24
logging asdm informational
mtu management 1500
mtu SMS 1500
mtu TCS 1500
mtu CLOCK 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj-SMS
 nat (SMS,CLOCK) static 172.16.0.0
object network obj-CLOCK
 nat (CLOCK,SMS) static 192.168.0.0
access-group OPEN in interface SMS
access-group OPEN out interface SMS
access-group OPEN in interface TCS
access-group OPEN out interface TCS
access-group OPEN in interface CLOCK
access-group OPEN out interface CLOCK
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect icmp error
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
: end

  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24
Zijn je interfaces wel up ?

En laat je routing table is zien

[ Voor 40% gewijzigd door Aconitum op 20-07-2015 16:50 ]


  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50
Jazeker, zie hier de output van de test met het packet-tracer CLI commando:

http://www.filedropper.com/packet-tracersmsicmp
http://www.filedropper.com/packet-tracerclockicmp

  • rohaantje
  • Registratie: April 2010
  • Laatst online: 18-09 22:12
never mind.

[ Voor 101% gewijzigd door rohaantje op 20-07-2015 17:30 ]

Gebruik je software voor de volle 100%!!! Daar is het voor bedoeld!


  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24
192.168.0.2/24 is een directly connect subnet
Aan je config te zien is 172.16.128.1 dat niet, weet je ASA wel wat de next hop is voor 172.16.128.1 ?

  • Dirtbiter
  • Registratie: Maart 2002
  • Laatst online: 28-11 15:50
Aconitum schreef op dinsdag 21 juli 2015 @ 08:24:
192.168.0.2/24 is een directly connect subnet
Aan je config te zien is 172.16.128.1 dat niet, weet je ASA wel wat de next hop is voor 172.16.128.1 ?
Ja, want 172.16.0.0 (netwerk) is ook directly connected, op GigabitEthernet1/1.
code:
1
2
3
4
interface GigabitEthernet1/1
 nameif SMS
 security-level 100
 ip address 172.16.0.1 255.255.0.0


Als ik 'show route' gebruik, laat hij dat ook zo zien.

  • Aconitum
  • Registratie: Augustus 2009
  • Laatst online: 11-11 10:24
Stom van me 8)7 subnet mask niet goed gezien
Pagina: 1