iraklizh

Можно я сброшу конфиг еще раз? Заработало когда на inside и на outside (outgoing) прописал ACL any-any ip permit ... но меня смущает 2 вещи: это безопасность и packet tracer -который тупо показывант непрохождение пакета...

Все так и делаю как в инструкции, https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc10 однако когда прописываю внешний адрес (который public ipот прова, девайс ругается, что этот адресс эквивалент интерфейсу silk (isp2)...

чтото думается мне так... для сети 10.103.2.0.24 в nat rule's разрешен динамический нат (из сети снаружу) и dvr с адресом 10.103.2.209 попадает под действия этого рула... как можно искдючить адресс из пула??? или что сделать чтоб разрешить работу статик ната на этом адресе

или по другому какое еще implisit roule нужно добавить? если сделать взодящий (any) тогда возникает конфликт с правилом nat...

Переделал,но не получается...во внутренней сети разрешен dinamic pat и этот рул не разрудивается, если мне нужно сделать статистичский проброс портов...

понятно, old -в принципе уже лишнее

Спасибо за линк, интересно... Не совсем понял про одни и те же сети... и обявления хоста в разных правилах. Было 2 прова, сейчас один. В принципе можно затереть правила для второго прова, но всетаки где же пересекающееся правило...Ж(

Добрый день, помогите пожалуста советом, не могу подобрать правило ACL разрешающее проброс порта на внутренний IP. внешняя 1 ip x.x.x.x внутреняя 10.103.2.0 внутренний адрес (он же гейтвей) 10.103.2.1 внутреняя сеть за свичем динамический (pat enabled) правило для обекта nvr в нат прописанно, что обьект с внутренним адресом 10.103.2.209 (порт 8000) транслейтед адрес outside x.x.x.x (inside/uutside tcp/8000) но в ACL рул для outside any to 10.103.2.209 (port 8000) не работает вроде перечитал и попробовал много разных вариантов, но чтото не понял. нужно еше в ACL для inside добавлять разрешение с outside на 2.209? Вот конфиг ! interface GigabitEthernet1/1 nameif outside security-level 0 ip address y.y.y.y 255.255.255.248 ! interface GigabitEthernet1/2 nameif tem-mng security-level 100 ip address 192.168.1.254 255.255.255.0 ! interface GigabitEthernet1/3 nameif sw-mng security-level 90 ip address 10.13.1.1 255.255.255.248 ! interface GigabitEthernet1/3.200 vlan 200 nameif inside security-level 80 ip address 10.103.0.1 255.255.255.0 ! interface GigabitEthernet1/3.201 vlan 201 nameif inside-conference security-level 70 ip address 10.103.1.1 255.255.255.0 ! interface GigabitEthernet1/3.202 vlan 202 nameif inside-hotel security-level 60 ip address 10.103.2.1 255.255.255.0 ! interface GigabitEthernet1/4 nameif conference security-level 90 ip address 10.13.1.9 255.255.255.248 ! interface GigabitEthernet1/5 nameif sastumro security-level 90 ip address 10.13.1.17 255.255.255.248 ! interface GigabitEthernet1/6 shutdown no nameif no security-level no ip address ! interface GigabitEthernet1/7 shutdown no nameif no security-level no ip address ! interface GigabitEthernet1/8 nameif newispout security-level 0 ip addressx.x.x.x. 255.255.255.252 ! interface Management1/1 management-only no nameif no security-level no ip address ! ftp mode passive clock timezone GST same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network obj_any subnet 10.103.0.0 255.255.255.0 object network NETWORK_OBJ_172.21.20.0_25 subnet 172.21.20.0 255.255.255.128 object network temp-inet subnet 192.168.1.0 255.255.255.0 object network hotel-nat subnet 10.103.2.0 255.255.255.0 object network conference-nat subnet 10.103.1.0 255.255.255.0 object network newispout-outside-conf subnet 10.103.1.0 255.255.255.0 object network newispout-outside-hotel subnet 10.103.2.0 255.255.255.0 object network neispout-outside subnet 10.103.0.0 255.255.255.0 object network 10.103.1.2 host 10.103.1.2 object network 10.103.1.3 host 10.103.1.3 object network 10.103.1x range 10.103.1.1 10.103.1.11 object network 10.103.0.x range 10.103.0.1 10.103.0.10 object network 10.103.2.x range 10.103.2.1 10.103.2.10 object network inside-mng subnet 10.103.0.0 255.255.255.0 object network cloud-key host 10.103.0.10 object network cloudkey-backup host 10.103.0.10 object network NVR_KITCHEN_oldispoutside host 10.103.2.209 object network NVR_KITCHEN_newispoutside host 10.103.2.209 object-group network UBNT network-object object 10.103.1.2 network-object object 10.103.1.3 network-object host 10.103.1.2 network-object host 10.103.1.3 network-object host 10.103.1.4 network-object host 10.103.1.5 network-object host 10.103.1.6 network-object host 10.103.1.7 network-object host 10.103.1.8 network-object host 10.103.1.9 network-object host 10.103.2.2 network-object host 10.103.2.3 network-object host 10.103.2.4 network-object host 10.103.2.5 network-object host 10.103.2.6 network-object host 10.103.2.7 network-object host 10.103.2.8 network-object host 10.103.2.9 network-object host 10.103.0.2 network-object host 10.103.0.3 network-object host 10.103.0.4 network-object host 10.103.0.5 network-object host 10.103.0.6 network-object host 10.103.0.7 network-object host 10.103.0.8 network-object host 10.103.0.9 access-list VPN-MNG standard permit 10.13.1.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.0.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.1.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.2.0 255.255.255.0 access-list inside-conference_access_in extended permit icmp any any unreachable access-list inside-conference_access_in extended permit icmp any any time-exceeded access-list inside-conference_access_in extended permit icmp any any echo-reply access-list inside-conference_access_in remark Implicit rule: Permit all traffic to less secure networks access-list inside-conference_access_in extended permit ip any any access-list sastumro_access_in extended permit icmp any any time-exceeded access-list sastumro_access_in extended permit icmp any any echo-reply access-list sastumro_access_in extended permit icmp any any unreachable access-list sastumro_access_in remark Implicit rule: Permit all traffic to less secure networks access-list sastumro_access_in extended permit ip any any pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu tem-mng 1500 mtu sw-mng 1500 mtu inside 1500 mtu inside-conference 1500 mtu inside-hotel 1500 mtu conference 1500 mtu sastumro 1500 mtu silknet 1500 no failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source static any any destination static NETWORK_OBJ_172.21.20.0_25 NETWORK_OBJ_172.21.20.0_25 no-proxy-arp route-lookup ! object network temp-inet nat (any,outside) dynamic interface object network hotel-nat nat (any,outside) dynamic interface object network conference-nat nat (any,outside) dynamic interface object network silk-outside-conf nat (any,silknet) dynamic interface object network newispout-outside-hotel nat (any,silknet) dynamic interface object network cloud-key nat (any,outside) dynamic interface object network cloudkey-backup nat (any,silknet) dynamic interface object network NVR_KITCHEN_oldisp nat (inside,outside) static interface service tcp 8050 8050 object network NVR_KITCHEN_newispout nat (inside-hotel,newisp) static silk-outside-hotel service tcp 8050 8050 route snewisp 0.0.0.0 0.0.0.0 z.z.z.z 1 track 1 route outside 0.0.0.0 0.0.0.0 b.b.b.b 254 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 tem-mng http 172.21.20.0 255.255.255.128 inside http 10.103.2.0 255.255.255.0 inside no snmp-server location no snmp-server contact management-access inside dhcpd auto_config outside ! dhcpd address 10.103.0.50-10.103.0.254 inside dhcpd dns 8.8.8.8 1.1.1.1 interface inside dhcpd enable inside ! dhcpd address 10.103.1.2-10.103.1.254 inside-conference dhcpd dns 8.8.8.8 1.1.1.1 interface inside-conference dhcpd enable inside-conference ! dhcpd address 10.103.2.2-10.103.2.254 inside-hotel dhcpd dns 8.8.8.8 1.1.1.1 interface inside-hotel dhcpd enable inside-hotel ! ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng ssl trust-point ASDM_Launcher_Access_TrustPoint_0 silknet ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng vpnlb-ip webvpn enable oldisp enable newisp anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1 anyconnect image disk0:/anyconnect-linux-2.5.2014-k9.pkg 2 anyconnect image disk0:/anyconnect-macosx-i386-2.5.2014-k9.pkg 3 anyconnect profiles VPN-MNG_client_profile disk0:/VPN-MNG_client_profile.xml anyconnect enable tunnel-group-list enable cache disable error-recovery disable group-policy GroupPolicy_VPN-MNG internal group-policy GroupPolicy_VPN-MNG attributes wins-server none dns-server value 8.8.8.8 vpn-tunnel-protocol ikev2 ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN-MNG default-domain none

Понятно. буду смотреть свичи однако замеченно, что в тот момент когда у wifi клиентов отключается инет, с компов по физ. сетке все работает...

Добрый день! имеется приставка для iptv с настроенным внешним ip и так далее. Возможно ли на asa сделать так как делается с легкостью на микротике ( внешний интерфейс в бридж и проброс igmp на определенный порт и vlan).

смотрел логи контролера-там ничего, кроме того если в этот момент зайти с другой сети на unify портал, там все отображается нормально. Буду смотреть логи 1920, но опять же точьки сами не отключаются и пингуются все. Есть ли у контролера типа day -night mode? функцию отключения при простое ( сбережение питания)- отключено.

Доброго вечера. досталась разваленная сеть в которой-роутер cisco asa 5506, два свича hp 1920, unify controller UC CK и 16 разных тарелок. Два здания между свичами соединены оптикой. На свичах поднято 1-management vlan1 (для свичей и циски) vlan201 для первой сети (чтоб клиенты подсоединялисб по ssid1 и циска им давала dhcp1), vlan 202 для второго ssid и сама сеть тарелок имеет свой собственный vlanid и dhcp без выхода в инет. Все уже разрулил, все работает но переодически (периоды разные) клиенты висят на тарелках, dhcp раздает адреса но не пингуется шлюз по умолчанию для этих vlan. Потом через небольшое время все опять окей. Если у вас наблюдался такой трабл и как лечили? Прошивка на UCCK последняя.

по этой инструкции не получается. какое время требуется ASA для изменения конфига?

Нет, не получается, что-то не так делаю. Вроде все как бы по инструкции

@StSphinx Спасибо! попробую, а то чуть не оставил офис без инета :)

Добрый день! Помогите пожалуста сданным девайсам. Никогда не работал с ASA и вот требуется пробросить порт. Поставил ASDM, смотрел инструкции в youtibe но пока безрезультатно. Прмогите пожалуста ! Заранее спасибо!!!

Доброе утро, установлен hikviion-овский NVR.. наружнаяя сеть натированна (т.е. не могу подключится по ip-port N. Включил upnp и осканировав qr код с монитора зацепиося за NVR с телефона. Ecли сфотфть qr код и разослать его тем юзерам, которые должны иметь доступ, то смогут они воспользоватся сфотанным qr или нет?

Пардон- оказывается в это время (кода работал со свичами) произошло аварийное выключение эл.энергии. Утром все ок.

Сделал так как вы описывали... потерял доступ к обоим свичам и по вебморде и связь (не пингуется). Завтра наверно если их перезагрузить -линки поднимутся

нет это другое направление,( другие свичи) хотя спасибо, исправлю. Так логика в остальном правильна?

Обясните пожалуста разницу на 24-м порту.. в первом варианте порт 24 на 24-м помечен птичкой, во втором варианте нет.. однако доступ есть к обоим... чтото я запутался ...(1 -й свич стоит после микротика, второй арисоединен к первому, на втором 22-й порт соединен с 3-м свичем...

SwOS... проверяд еще раз в дискавери он виден... такое чувство что маску сети он другую берет... работает как тупой ссвич...може сгорело чего? странно что если на лептопе прописана маска которая в сети используется по умолчанию то тогда логинится... настроил его неделю назад.. все работало, подрубался через впн к микроту, затем вебом на свич... все было в ажуре.

Добрый день, вопрос по сему девайсу. Настроен роутер, был добавлен сей девайс, с ip адресом во внутренней сети 173.16.0.2 ( статика), роутер естественно 173.16.0.1. Заметил что через несколько дней пропал пинг к свичу, в арпе не светится мак, однако в neighbor discovery свич виден с микротика ( trusted port) был 24, привязки MAC к портам пока были отключены и форвардинг был настроен по следуюшей схеме каждый порт форвардит на 24, а 24 на каждый порт, однакопосле того как перестал пинговаться свич ( с роутера был конект к 24-му порту) с 23-го порта без проблем пингуется и залезть можно на веб морду... сделали следующее, основной линк воткнули в 23-й порт, лептоп подключиои на 24-й. Интернет есть, однако 23-й порт показывает что линка нет.... перересетили, все равно тоже самое...

CSS326-24G-2SplusRM не пингуется по сети... только с локально подключенного компа... подключение в сети на 23 порту показывает что линка нет...

Пров один, подключения разные, логика в том что беру 100 мб.сек (дальше технодогия не позволяет нарастить канал), а чувакам нужго больше скорости, вот беру еше один линк на 100 мб.сек ... конечно геморно будет всем разные роуты писать ну да ладно ... пока других вариантов ( завести оптику и т.д) нет. Но подсети разные от прова, деф гейт тоже... ( такая схема уже работает спасибо форуму за это!) но и там могу подключатся только к конкретному соединению, ко второму ужо не получается ( правда в сервисах winbox порт стандартный порт поменял а конект с 0.0.0.0 не прописывал явно...