Забодался с Киской...

[Stanislav]

Сами мы не местные, поможите кто сможет...
Стоял у меня D-link, через него я прокидывал входящий трафик RDP из дома на свой комп - все работало.
Но приспичило мне поставить вместо D-Linka CISCO ASA 5520 - сделал такой же форвардинг - все по инструкции, но не дается каменный цветок - не работает мой remote access.
Кто знает - напишите, как ей мозги вправить...

[aissp]

насколько я помню там один из портов tcp можно ли на него коннектится? Что с файрволлом?

[Vims]

Сами мы не местные, поможите кто сможет...
Стоял у меня D-link, через него я прокидывал входящий трафик RDP из дома на свой комп - все работало.
Но приспичило мне поставить вместо D-Linka CISCO ASA 5520 - сделал такой же форвардинг - все по инструкции, но не дается каменный цветок - не работает мой remote access.
Кто знает - напишите, как ей мозги вправить...

ну и прааильно сделал... я игрался с PIX года два, потом продал.. но зато наигрался..
Не уверен точно но подозреваю что надо сделать firewall rule and enable it. Потому как по дефолту все запрещено. Это кроме того что ты форвардинг сделал.

[Vims]

там еще наверное надо RDP или какой ты там протокол используешь разрешить from external to internal

[Stone]

Постановка задачи туманная, так как непонятно чего ты конфигурил:

1. Просто проброс какого-нибудь порта (того же RDP) c одного из внешних ай-пи адресов на один из внутренних ай-пи.
2. Remote-access IPsec VPN
3. Один из вариантов SSL VPN

Для первого пункта нужна просто статическая NAT трансляция и соответствующая ей дырка в access-list на внешнем интерфейсе. Всё. Там просто негде ошибаться.
Если №2, то там вариантов может быть гораздо больше, рискну предположить что конфиг был сделан через ГУЙ, поэтому одному богу известно чего у тебя там. Экстрасенсов нема. Сделай copy-n-paste всего конфига из сиэлая сюда, по конфигу ещё можно явные грабли выловить.
Если №3, то вариантов ещё больше.

[Vims]

Постановка задачи туманная, так как непонятно чего ты конфигурил:

1. Просто проброс какого-нибудь порта (того же RDP) c одного из внешних ай-пи адресов на один из внутренних ай-пи.
2. Remote-access IPsec VPN
3. Один из вариантов SSL VPN

Для первого пункта нужна просто статическая NAT трансляция и соответствующая ей дырка в access-list на внешнем интерфейсе. Всё. Там просто негде ошибаться.
Если №2, то там вариантов может быть гораздо больше, рискну предположить что конфиг был сделан через ГУЙ, поэтому одному богу известно чего у тебя там. Экстрасенсов нема. Сделай copy-n-paste всего конфига из сиэлая сюда, по конфигу ещё можно явные грабли выловить.
Если №3, то вариантов ещё больше.

осмелюсь предположить что только номер 1. а все остальное лесть д линку.

[Stanislav]

Постановка задачи туманная, так как непонятно чего ты конфигурил:

1. Просто проброс какого-нибудь порта (того же RDP) c одного из внешних ай-пи адресов на один из внутренних ай-пи.

Для первого пункта нужна просто статическая NAT трансляция и соответствующая ей дырка в access-list на внешнем интерфейсе. Всё. Там просто негде ошибаться.

Именно это оно и есть
Вот и я о том!!! Сделал сначала с помощью ГУЯ по инструкциям ЦИСКОвским к ГУЮ - получилось Static NAT + ACL - не работает.
Сделал потом через терминал по инструкциям к терминалу (получилось Static Policy NAT) - не работает.

[Stanislav]

Конфиг в студии:
П.С. Конфиг отражает последние настройки, сделанные из терминала - в ГУЕ они видны как Static Policy NAT.

Код: Выделить всё

: Saved
:
ASA Version 8.0(3) 
!
hostname ASA
domain-name alphatrade.com
enable password Yn8Esq3NcXIHL35v encrypted
names
name 192.168.2.1 DMZ-interface
name 192.168.0.10 Stan
name 192.168.0.215 TSGateway
dns-guard
!
interface GigabitEthernet0/0
 mac-address 0050.0401.49ae standby 0050.0401.49ae
 nameif telus
 security-level 0
 ip address dhcp setroute 
!
interface GigabitEthernet0/1
 shutdown
 nameif shaw
 security-level 0
 ip address dhcp setroute 
!
interface GigabitEthernet0/2
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0 
!
interface GigabitEthernet0/3
 shutdown
 nameif dmz
 security-level 50
 ip address 192.168.5.254 255.255.255.0 
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone PST -8
clock summer-time PDT recurring
dns domain-lookup management
dns server-group DefaultDNS
 name-server 192.168.0.1
 domain-name alphatrade.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol DM_INLINE_PROTOCOL_1
 protocol-object udp
 protocol-object tcp
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
access-list STAN extended permit tcp host Stan eq 3389 any 
access-list TSG extended permit tcp host TSGateway eq https any 
pager lines 24
logging asdm informational
mtu telus 1500
mtu shaw 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
nat-control
global (telus) 101 interface
nat (inside) 101 0.0.0.0 0.0.0.0
static (inside,telus) tcp interface 3389 access-list STAN 
static (inside,telus) tcp interface https access-list TSG 
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint LOCAL-CA-SERVER
 revocation-check crl ocsp none
 keypair LOCAL-CA-SERVER
 crl configure
  no protocol ldap
crypto ca trustpoint ASDM_TrustPoint0
 enrollment self
 fqdn ASA.alphatrade.com
 subject-name CN=ASA,O=AlphaTrade,C=CA,St=BC,L=Vancouver
 ip-address 192.168.0.254
 keypair LOCAL-CA-SERVER
 no client-types
 proxy-ldc-issuer
 crl configure
crypto ca server 
 shutdown
 subject-name-default O=AlphaTrade,C=CA,St=BC,L=Vancouver
 smtp from-address asa@alphatrade.com
 publish-crl shaw 80
crypto ca certificate chain LOCAL-CA-SERVER
 certificate ca 01
    30820213 3082017c a0030201 02020101 300d0609 2a864886 f70d0101 04050030 
    1d311b30 19060355 04031312 4153412e 616c7068 61747261 64652e63 6f6d301e 
    170d3037 31323131 31393434 33355a17 0d313031 32313031 39343433 355a301d 
    311b3019 06035504 03131241 53412e61 6c706861 74726164 652e636f 6d30819f 
    300d0609 2a864886 f70d0101 01050003 818d0030 81890281 81009cee f3c35884 
    e6c8af85 ec424b73 e15ab26b e6f3caf0 c3c63623 9e939808 998a381a 58c06b8f 
    214e3a49 a8539aae 550e576e 79819d4b fd392b76 d5615b66 71731865 f0a87b89 
    bb070b4b ed8634d3 6f369d69 dfe7d660 b7ed6419 62a9aff5 9988a5d6 5ee1aea6 
    f494648c be084eac d54bc217 0896b130 1bd2c5c9 08433d9b fbbb0203 010001a3 
    63306130 0f060355 1d130101 ff040530 030101ff 300e0603 551d0f01 01ff0404 
    03020186 301f0603 551d2304 18301680 14be4140 60098833 a861d5ed 70fa6724 
    e9fe0f0b 4c301d06 03551d0e 04160414 be414060 098833a8 61d5ed70 fa6724e9 
    fe0f0b4c 300d0609 2a864886 f70d0101 04050003 81810070 15f62661 b3bd5ad5 
    9d7274b2 b031f7b4 508331c0 f9dfffb9 271819ce c95542e5 a9e6c3c8 3295ff2c 
    8460a207 864e77fc e1ebedb8 374b9eb3 4aba2003 b1e3b82b dd56d3c2 d6314e13 
    57741d4a 764feac7 20182e68 c2492d7e 00f8f917 b77ab48a 4093ad07 cc44947c 
    b08c9897 cc729992 fc298d8f 7d3fb048 c9cd4caa 56c859
  quit
crypto ca certificate chain ASDM_TrustPoint0
 certificate 31
    308202fb 30820264 a0030201 02020131 300d0609 2a864886 f70d0101 04050030 
    81903112 30100603 55040713 0956616e 636f7576 6572310b 30090603 55040813 
    02424331 0b300906 03550406 13024341 31133011 06035504 0a130a41 6c706861 
    54726164 65310c30 0a060355 04031303 41534131 3d301a06 092a8648 86f70d01 
    0908130d 3139322e 3136382e 302e3235 34301f06 092a8648 86f70d01 09021612 
    4153412e 616c7068 61747261 64652e63 6f6d301e 170d3037 31323138 32323437 
    30345a17 0d313731 32313532 32343730 345a3081 90311230 10060355 04071309 
    56616e63 6f757665 72310b30 09060355 04081302 4243310b 30090603 55040613 
    02434131 13301106 0355040a 130a416c 70686154 72616465 310c300a 06035504 
    03130341 5341313d 301a0609 2a864886 f70d0109 08130d31 39322e31 36382e30 
    2e323534 301f0609 2a864886 f70d0109 02161241 53412e61 6c706861 74726164 
    652e636f 6d30819f 300d0609 2a864886 f70d0101 01050003 818d0030 81890281 
    81009cee f3c35884 e6c8af85 ec424b73 e15ab26b e6f3caf0 c3c63623 9e939808 
    998a381a 58c06b8f 214e3a49 a8539aae 550e576e 79819d4b fd392b76 d5615b66 
    71731865 f0a87b89 bb070b4b ed8634d3 6f369d69 dfe7d660 b7ed6419 62a9aff5 
    9988a5d6 5ee1aea6 f494648c be084eac d54bc217 0896b130 1bd2c5c9 08433d9b 
    fbbb0203 010001a3 63306130 0f060355 1d130101 ff040530 030101ff 300e0603 
    551d0f01 01ff0404 03020186 301f0603 551d2304 18301680 14be4140 60098833 
    a861d5ed 70fa6724 e9fe0f0b 4c301d06 03551d0e 04160414 be414060 098833a8 
    61d5ed70 fa6724e9 fe0f0b4c 300d0609 2a864886 f70d0101 04050003 81810044 
    1319b36b 913ea22b 68b5803e fb437feb cc110636 60254c28 cd8c5ed5 2f368544 
    7a0d5787 22f944ed c82fed7b b1038df1 4308bfb0 5d566907 7e4e9a91 65f7ec94 
    0e207023 87f59283 a42f083c 812bffc9 1f6f41a8 9b04751a 9713d394 f47eb5d7 
    eacfec0c 57d73c91 5718d61b fa41bd6f 4dddbb03 858ee3a2 b3e282e3 749084
  quit
crypto isakmp enable dmz
crypto isakmp policy 5
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
client-update enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcp-client client-id interface telus
dhcp-client client-id interface shaw
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
username test password P4ttSyrm33SV8TYp encrypted
username admin password Pb4gY6qmcRnD2kuU encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
smtp-server 10.10.1.20
prompt hostname context 
Cryptochecksum:f83bcc751879f537d7fc2f24f3d32fe2
: end
asdm image disk0:/asdm-603.bin
no asdm history enable

[Stone]

Основная засада здесь, динамический ip на внешнем интерфейсе. Если был бы обычный статик ip, как у всех нормальных энтерпрайзов, то тебе надо было скопипастить в сиэлай вот это, и было бы тебе счастье:
!
no static (inside,telus) tcp interface 3389 access-list STAN
no static (inside,telus) tcp interface https access-list TSG
!
static (inside,telus) tcp interface 3389 192.168.0.10 3389 netmask 255.255.255.255
static (inside,telus) tcp interface https 192.168.0.215 https netmask 255.255.255.255
!
access-list telus_access_in extended permit tcp Z.Z.Z.Z host X.X.X.X eq 3389
access-list telus_access_in extended permit tcp Z.Z.Z.Z host X.X.X.X eq https
!
access-group telus_access_in in interface telus
!

где Z.Z.Z.Z - твой home source ip (ну или целые сетки, или вообще "any" - если ты разрешаешь ото всех)
X.X.X.X - это ip address на ASA интерфейсе, или просто другой ip из той же сетки, если тебе выдали несколько внешних ip.

С dhcp я на бегу не могу сказать, надо на работу собираться.

[Stanislav]

Такая конфигурация у меня получается из ГУЯ - Static NAT + ACL - тоже не работает.
IP - он зарегистрированный и зарезервированный за нами по бизнес-плану Телуса - dhcp-шный... Может попробовать об'явить его статик?

[Stone]

Poka shel do raboti, soobrazil kak sdelat:

1. Replace "Z.Z.Z.Z" by your source home ip address in the "access-list telus_access_in"
2. Copy-and-paste the modified output into CLI:
!
!
conf t
no static (inside,telus) tcp interface 3389 access-list STAN
no static (inside,telus) tcp interface https access-list TSG
!
static (inside,telus) tcp interface 3389 192.168.0.10 3389 netmask 255.255.255.255
static (inside,telus) tcp interface https 192.168.0.215 https netmask 255.255.255.255
!
access-list telus_access_in extended permit tcp host Z.Z.Z.Z interface eq 3389
access-list telus_access_in extended permit tcp host Z.Z.Z.Z host interface eq https
!
access-group telus_access_in in interface telus
!
That's pretty much it

[Stone]

I forgot the interface name in ACL, correct version should like:

access-list telus_access_in extended permit tcp host Z.Z.Z.Z interface telus eq 3389

[Stanislav]

сейчас у меня:

name 192.168.0.10 Stan
name 192.168.0.215 TSGateway
name 207.216.241.252 telus-interface
...
access-list telus_access_in extended permit tcp any eq 3389 host telus-interface
access-list telus_access_in extended permit tcp any eq https host telus-interface
...
static (inside,telus) tcp interface 3389 Stan 3389 netmask 255.255.255.255
static (inside,telus) tcp interface https TSGateway https netmask 255.255.255.255
access-group telus_access_in in interface telus

К сожалению, вместо Z.Z.Z.Z у меня должно стоять any, а не мой домашний IP - TSGateway server - к нему много народа будет коннектиться.

Я попробую вечером эту конфигурацию.

[Stone]

К сожалению, вместо Z.Z.Z.Z у меня должно стоять any, а не мой домашний IP - TSGateway server - к нему много народа будет коннектиться.

Frankly, that's not the best idea. Please keep in mind that you expose your internal boxes to the entire Internet, and any host in the Internet can easily implement brute force attack against your internal boxes using 2 open ports. So, consider implementing of remote IPSEC VPN or SSL VPN to dramatically improve security for this type of access.

[Stanislav]

Неа, не фурычит... Придется завтра вертать Д-Линк взад...