[iraklizh]

Добрый день, помогите пожалуста советом, не могу подобрать правило ACL  разрешающее проброс порта на внутренний IP.

внешняя 1 ip x.x.x.x

внутреняя 10.103.2.0

внутренний адрес (он же гейтвей) 10.103.2.1

внутреняя сеть за свичем динамический (pat enabled)

правило для обекта nvr в нат прописанно, что обьект с внутренним адресом 10.103.2.209 (порт 8000) транслейтед адрес outside x.x.x.x (inside/uutside tcp/8000)

но в ACL рул для outside any to 10.103.2.209 (port 8000) не работает

вроде перечитал и попробовал много разных вариантов, но чтото не понял.

нужно еше в ACL для inside добавлять разрешение с outside на 2.209?

 

 

 

Вот конфиг

!
interface GigabitEthernet1/1
 nameif outside
 security-level 0
 ip address y.y.y.y 255.255.255.248 
!
interface GigabitEthernet1/2
 nameif tem-mng
 security-level 100
 ip address 192.168.1.254 255.255.255.0 
!
interface GigabitEthernet1/3
 nameif sw-mng
 security-level 90
 ip address 10.13.1.1 255.255.255.248 
!
interface GigabitEthernet1/3.200
 vlan 200
 nameif inside
 security-level 80
 ip address 10.103.0.1 255.255.255.0 
!
interface GigabitEthernet1/3.201
 vlan 201
 nameif inside-conference
 security-level 70
 ip address 10.103.1.1 255.255.255.0 
!
interface GigabitEthernet1/3.202
 vlan 202
 nameif inside-hotel
 security-level 60
 ip address 10.103.2.1 255.255.255.0 
!
interface GigabitEthernet1/4
 nameif conference
 security-level 90
 ip address 10.13.1.9 255.255.255.248 
!
interface GigabitEthernet1/5
 nameif sastumro
 security-level 90
 ip address 10.13.1.17 255.255.255.248 
!
interface GigabitEthernet1/6
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/7
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/8
 nameif newispout
 security-level 0
 ip addressx.x.x.x. 255.255.255.252 
!
interface Management1/1
 management-only
 no nameif
 no security-level
 no ip address
!
ftp mode passive
clock timezone GST 
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
 subnet 10.103.0.0 255.255.255.0
object network NETWORK_OBJ_172.21.20.0_25
 subnet 172.21.20.0 255.255.255.128
object network temp-inet
 subnet 192.168.1.0 255.255.255.0
object network hotel-nat
 subnet 10.103.2.0 255.255.255.0
object network conference-nat
 subnet 10.103.1.0 255.255.255.0
object network newispout-outside-conf
 subnet 10.103.1.0 255.255.255.0
object network newispout-outside-hotel
 subnet 10.103.2.0 255.255.255.0
object network neispout-outside
 subnet 10.103.0.0 255.255.255.0
object network 10.103.1.2
 host 10.103.1.2
object network 10.103.1.3
 host 10.103.1.3
object network 10.103.1x
 range 10.103.1.1 10.103.1.11
object network 10.103.0.x
 range 10.103.0.1 10.103.0.10
object network 10.103.2.x
 range 10.103.2.1 10.103.2.10
object network inside-mng
 subnet 10.103.0.0 255.255.255.0
object network cloud-key
 host 10.103.0.10
object network cloudkey-backup
 host 10.103.0.10
object network NVR_KITCHEN_oldispoutside
 host 10.103.2.209
object network NVR_KITCHEN_newispoutside
 host 10.103.2.209
object-group network UBNT
 network-object object 10.103.1.2
 network-object object 10.103.1.3
 network-object host 10.103.1.2
 network-object host 10.103.1.3
 network-object host 10.103.1.4
 network-object host 10.103.1.5
 network-object host 10.103.1.6
 network-object host 10.103.1.7
 network-object host 10.103.1.8
 network-object host 10.103.1.9
 network-object host 10.103.2.2
 network-object host 10.103.2.3
 network-object host 10.103.2.4
 network-object host 10.103.2.5
 network-object host 10.103.2.6
 network-object host 10.103.2.7
 network-object host 10.103.2.8
 network-object host 10.103.2.9
 network-object host 10.103.0.2
 network-object host 10.103.0.3
 network-object host 10.103.0.4
 network-object host 10.103.0.5
 network-object host 10.103.0.6
 network-object host 10.103.0.7
 network-object host 10.103.0.8
 network-object host 10.103.0.9
access-list VPN-MNG standard permit 10.13.1.0 255.255.255.0 
access-list VPN-MNG standard permit 10.103.0.0 255.255.255.0 
access-list VPN-MNG standard permit 10.103.1.0 255.255.255.0 
access-list VPN-MNG standard permit 10.103.2.0 255.255.255.0 
access-list inside-conference_access_in extended permit icmp any any unreachable 
access-list inside-conference_access_in extended permit icmp any any time-exceeded 
access-list inside-conference_access_in extended permit icmp any any echo-reply 
access-list inside-conference_access_in remark Implicit rule: Permit all traffic to less secure networks
access-list inside-conference_access_in extended permit ip any any 
access-list sastumro_access_in extended permit icmp any any time-exceeded 
access-list sastumro_access_in extended permit icmp any any echo-reply 
access-list sastumro_access_in extended permit icmp any any unreachable 
access-list sastumro_access_in remark Implicit rule: Permit all traffic to less secure networks
access-list sastumro_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu tem-mng 1500
mtu sw-mng 1500
mtu inside 1500
mtu inside-conference 1500
mtu inside-hotel 1500
mtu conference 1500
mtu sastumro 1500
mtu silknet 1500
no failover
no monitor-interface service-module 
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static any any destination static NETWORK_OBJ_172.21.20.0_25 NETWORK_OBJ_172.21.20.0_25 no-proxy-arp route-lookup
!
object network temp-inet
 nat (any,outside) dynamic interface
object network hotel-nat
 nat (any,outside) dynamic interface
object network conference-nat
 nat (any,outside) dynamic interface
object network silk-outside-conf
 nat (any,silknet) dynamic interface
object network newispout-outside-hotel
 nat (any,silknet) dynamic interface
object network cloud-key
 nat (any,outside) dynamic interface
object network cloudkey-backup
 nat (any,silknet) dynamic interface
object network NVR_KITCHEN_oldisp
 nat (inside,outside) static interface service tcp 8050 8050 
object network NVR_KITCHEN_newispout
 nat (inside-hotel,newisp) static silk-outside-hotel service tcp 8050 8050 
route snewisp 0.0.0.0 0.0.0.0 z.z.z.z 1 track 1
route outside 0.0.0.0 0.0.0.0 b.b.b.b 254
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
http server enable
http 192.168.1.0 255.255.255.0 tem-mng
http 172.21.20.0 255.255.255.128 inside
http 10.103.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact

management-access inside

dhcpd auto_config outside
!
dhcpd address 10.103.0.50-10.103.0.254 inside
dhcpd dns 8.8.8.8 1.1.1.1 interface inside
dhcpd enable inside
!
dhcpd address 10.103.1.2-10.103.1.254 inside-conference
dhcpd dns 8.8.8.8 1.1.1.1 interface inside-conference
dhcpd enable inside-conference
!
dhcpd address 10.103.2.2-10.103.2.254 inside-hotel
dhcpd dns 8.8.8.8 1.1.1.1 interface inside-hotel
dhcpd enable inside-hotel
!

ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 silknet
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng vpnlb-ip
webvpn
 enable oldisp
 enable newisp
 anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1
 anyconnect image disk0:/anyconnect-linux-2.5.2014-k9.pkg 2
 anyconnect image disk0:/anyconnect-macosx-i386-2.5.2014-k9.pkg 3
 anyconnect profiles VPN-MNG_client_profile disk0:/VPN-MNG_client_profile.xml
 anyconnect enable
 tunnel-group-list enable
 cache
  disable
 error-recovery disable
group-policy GroupPolicy_VPN-MNG internal
group-policy GroupPolicy_VPN-MNG attributes
 wins-server none
 dns-server value 8.8.8.8
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN-MNG
 default-domain none
 

[jffulcrum]

У вас одни и те же сети, хосты обьявлены в разных правилах. У ASA достаточно неочевидная очередность применения правил NAT - Troubleshoot ASA Network Address Translation (NAT) Configuration - Cisco , и если вы не видите срабатывания созданного правила, то значит пакет забрало другое правило, выбранное раньше. Проведите дедупликацию правил, порой даже очередность следования в конфигурации имеет значение.

[iraklizh]

Спасибо за линк, интересно... Не совсем понял про одни и те же сети... и обявления хоста в разных правилах. Было 2 прова, сейчас один. В принципе можно затереть правила для второго прова, но всетаки где же пересекающееся правило...Ж(

[jffulcrum]

14 часов назад, iraklizh сказал:

object network NVR_KITCHEN_oldispoutside
 host 10.103.2.209
object network NVR_KITCHEN_newispoutside
 host 10.103.2.209

 Какое из них сработает первым, и по какой цепочке пойдет пакет - выяснить зачастую можно только дебагом.

[iraklizh]

понятно, old -в принципе уже лишнее

 

[iraklizh]

Переделал,но не получается...во внутренней сети разрешен dinamic pat и этот рул не разрудивается, если мне нужно сделать статистичский проброс портов...

[iraklizh]

или по другому

 

 

какое еще implisit roule нужно добавить?

 

если сделать взодящий (any)  тогда возникает конфликт с правилом nat...

[iraklizh]

чтото думается мне так... для сети 10.103.2.0.24 в nat rule's разрешен динамический нат (из сети снаружу) и dvr с адресом 10.103.2.209 попадает под действия этого рула... как можно искдючить адресс из пула??? или что сделать чтоб разрешить работу статик ната на этом адресе

 

[azhur]

Именно с 5506 дела не имел, только с моделью чутка постарше - 5510, но не думаю что в части настроек НАТа есть различия.
 

Цитата

как можно искдючить адресс из пула???

Насколько я помню, правила НАТа работают в этой части так же, как и маршруты: чем длиннее маска, тем выше приоритет.
То есть правило для 10.103.2.х/32 будет иметь более высокий приоритет, чем для 10.103.2.0/24.
Что же касается собственно статического НАТа - там вроде бы всё просто настраивается: создаешь нетворк обджект для внутреннего адреса, и в его свойствах включаешь статик нат.

Поскольку как я понял внешний адрес у ТС только один, и надо пробросить только 1 порт, то нужно будет зайти в адвансед и указать этот конкретный номер порта.

Примерно как вот здесь показано:

https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc8

Или даже вот в этом разделе, тут именно проброс 1 порта:
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc10

[iraklizh]

Все так  и делаю как в инструкции, https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc10 однако когда прописываю внешний адрес (который public ipот прова, девайс ругается, что этот адресс эквивалент интерфейсу silk (isp2)...

 

[iraklizh]

Можно я  сброшу конфиг еще раз? Заработало когда на inside и на outside (outgoing) прописал ACL any-any ip permit  ... но меня смущает 2 вещи: это безопасность и packet tracer -который тупо показывант непрохождение пакета...

[azhur]

Попробуй в поле "translated address" через кнопку с тремя точками выбрать этот самый интерфейс silk (isp2), вместо повторного ввода адреса, на этот интерфейс назначенного.