iraklizh Опубликовано 29 апреля, 2023 · Жалоба Добрый день, помогите пожалуста советом, не могу подобрать правило ACL разрешающее проброс порта на внутренний IP. внешняя 1 ip x.x.x.x внутреняя 10.103.2.0 внутренний адрес (он же гейтвей) 10.103.2.1 внутреняя сеть за свичем динамический (pat enabled) правило для обекта nvr в нат прописанно, что обьект с внутренним адресом 10.103.2.209 (порт 8000) транслейтед адрес outside x.x.x.x (inside/uutside tcp/8000) но в ACL рул для outside any to 10.103.2.209 (port 8000) не работает вроде перечитал и попробовал много разных вариантов, но чтото не понял. нужно еше в ACL для inside добавлять разрешение с outside на 2.209? Вот конфиг ! interface GigabitEthernet1/1 nameif outside security-level 0 ip address y.y.y.y 255.255.255.248 ! interface GigabitEthernet1/2 nameif tem-mng security-level 100 ip address 192.168.1.254 255.255.255.0 ! interface GigabitEthernet1/3 nameif sw-mng security-level 90 ip address 10.13.1.1 255.255.255.248 ! interface GigabitEthernet1/3.200 vlan 200 nameif inside security-level 80 ip address 10.103.0.1 255.255.255.0 ! interface GigabitEthernet1/3.201 vlan 201 nameif inside-conference security-level 70 ip address 10.103.1.1 255.255.255.0 ! interface GigabitEthernet1/3.202 vlan 202 nameif inside-hotel security-level 60 ip address 10.103.2.1 255.255.255.0 ! interface GigabitEthernet1/4 nameif conference security-level 90 ip address 10.13.1.9 255.255.255.248 ! interface GigabitEthernet1/5 nameif sastumro security-level 90 ip address 10.13.1.17 255.255.255.248 ! interface GigabitEthernet1/6 shutdown no nameif no security-level no ip address ! interface GigabitEthernet1/7 shutdown no nameif no security-level no ip address ! interface GigabitEthernet1/8 nameif newispout security-level 0 ip addressx.x.x.x. 255.255.255.252 ! interface Management1/1 management-only no nameif no security-level no ip address ! ftp mode passive clock timezone GST same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network obj_any subnet 10.103.0.0 255.255.255.0 object network NETWORK_OBJ_172.21.20.0_25 subnet 172.21.20.0 255.255.255.128 object network temp-inet subnet 192.168.1.0 255.255.255.0 object network hotel-nat subnet 10.103.2.0 255.255.255.0 object network conference-nat subnet 10.103.1.0 255.255.255.0 object network newispout-outside-conf subnet 10.103.1.0 255.255.255.0 object network newispout-outside-hotel subnet 10.103.2.0 255.255.255.0 object network neispout-outside subnet 10.103.0.0 255.255.255.0 object network 10.103.1.2 host 10.103.1.2 object network 10.103.1.3 host 10.103.1.3 object network 10.103.1x range 10.103.1.1 10.103.1.11 object network 10.103.0.x range 10.103.0.1 10.103.0.10 object network 10.103.2.x range 10.103.2.1 10.103.2.10 object network inside-mng subnet 10.103.0.0 255.255.255.0 object network cloud-key host 10.103.0.10 object network cloudkey-backup host 10.103.0.10 object network NVR_KITCHEN_oldispoutside host 10.103.2.209 object network NVR_KITCHEN_newispoutside host 10.103.2.209 object-group network UBNT network-object object 10.103.1.2 network-object object 10.103.1.3 network-object host 10.103.1.2 network-object host 10.103.1.3 network-object host 10.103.1.4 network-object host 10.103.1.5 network-object host 10.103.1.6 network-object host 10.103.1.7 network-object host 10.103.1.8 network-object host 10.103.1.9 network-object host 10.103.2.2 network-object host 10.103.2.3 network-object host 10.103.2.4 network-object host 10.103.2.5 network-object host 10.103.2.6 network-object host 10.103.2.7 network-object host 10.103.2.8 network-object host 10.103.2.9 network-object host 10.103.0.2 network-object host 10.103.0.3 network-object host 10.103.0.4 network-object host 10.103.0.5 network-object host 10.103.0.6 network-object host 10.103.0.7 network-object host 10.103.0.8 network-object host 10.103.0.9 access-list VPN-MNG standard permit 10.13.1.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.0.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.1.0 255.255.255.0 access-list VPN-MNG standard permit 10.103.2.0 255.255.255.0 access-list inside-conference_access_in extended permit icmp any any unreachable access-list inside-conference_access_in extended permit icmp any any time-exceeded access-list inside-conference_access_in extended permit icmp any any echo-reply access-list inside-conference_access_in remark Implicit rule: Permit all traffic to less secure networks access-list inside-conference_access_in extended permit ip any any access-list sastumro_access_in extended permit icmp any any time-exceeded access-list sastumro_access_in extended permit icmp any any echo-reply access-list sastumro_access_in extended permit icmp any any unreachable access-list sastumro_access_in remark Implicit rule: Permit all traffic to less secure networks access-list sastumro_access_in extended permit ip any any pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu tem-mng 1500 mtu sw-mng 1500 mtu inside 1500 mtu inside-conference 1500 mtu inside-hotel 1500 mtu conference 1500 mtu sastumro 1500 mtu silknet 1500 no failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source static any any destination static NETWORK_OBJ_172.21.20.0_25 NETWORK_OBJ_172.21.20.0_25 no-proxy-arp route-lookup ! object network temp-inet nat (any,outside) dynamic interface object network hotel-nat nat (any,outside) dynamic interface object network conference-nat nat (any,outside) dynamic interface object network silk-outside-conf nat (any,silknet) dynamic interface object network newispout-outside-hotel nat (any,silknet) dynamic interface object network cloud-key nat (any,outside) dynamic interface object network cloudkey-backup nat (any,silknet) dynamic interface object network NVR_KITCHEN_oldisp nat (inside,outside) static interface service tcp 8050 8050 object network NVR_KITCHEN_newispout nat (inside-hotel,newisp) static silk-outside-hotel service tcp 8050 8050 route snewisp 0.0.0.0 0.0.0.0 z.z.z.z 1 track 1 route outside 0.0.0.0 0.0.0.0 b.b.b.b 254 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 tem-mng http 172.21.20.0 255.255.255.128 inside http 10.103.2.0 255.255.255.0 inside no snmp-server location no snmp-server contact management-access inside dhcpd auto_config outside ! dhcpd address 10.103.0.50-10.103.0.254 inside dhcpd dns 8.8.8.8 1.1.1.1 interface inside dhcpd enable inside ! dhcpd address 10.103.1.2-10.103.1.254 inside-conference dhcpd dns 8.8.8.8 1.1.1.1 interface inside-conference dhcpd enable inside-conference ! dhcpd address 10.103.2.2-10.103.2.254 inside-hotel dhcpd dns 8.8.8.8 1.1.1.1 interface inside-hotel dhcpd enable inside-hotel ! ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng ssl trust-point ASDM_Launcher_Access_TrustPoint_0 silknet ssl trust-point ASDM_Launcher_Access_TrustPoint_0 tem-mng vpnlb-ip webvpn enable oldisp enable newisp anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1 anyconnect image disk0:/anyconnect-linux-2.5.2014-k9.pkg 2 anyconnect image disk0:/anyconnect-macosx-i386-2.5.2014-k9.pkg 3 anyconnect profiles VPN-MNG_client_profile disk0:/VPN-MNG_client_profile.xml anyconnect enable tunnel-group-list enable cache disable error-recovery disable group-policy GroupPolicy_VPN-MNG internal group-policy GroupPolicy_VPN-MNG attributes wins-server none dns-server value 8.8.8.8 vpn-tunnel-protocol ikev2 ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN-MNG default-domain none Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 29 апреля, 2023 · Жалоба У вас одни и те же сети, хосты обьявлены в разных правилах. У ASA достаточно неочевидная очередность применения правил NAT - Troubleshoot ASA Network Address Translation (NAT) Configuration - Cisco , и если вы не видите срабатывания созданного правила, то значит пакет забрало другое правило, выбранное раньше. Проведите дедупликацию правил, порой даже очередность следования в конфигурации имеет значение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 29 апреля, 2023 · Жалоба Спасибо за линк, интересно... Не совсем понял про одни и те же сети... и обявления хоста в разных правилах. Было 2 прова, сейчас один. В принципе можно затереть правила для второго прова, но всетаки где же пересекающееся правило...Ж( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 29 апреля, 2023 · Жалоба 14 часов назад, iraklizh сказал: object network NVR_KITCHEN_oldispoutside host 10.103.2.209 object network NVR_KITCHEN_newispoutside host 10.103.2.209 Какое из них сработает первым, и по какой цепочке пойдет пакет - выяснить зачастую можно только дебагом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 30 апреля, 2023 · Жалоба понятно, old -в принципе уже лишнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 3 мая, 2023 · Жалоба Переделал,но не получается...во внутренней сети разрешен dinamic pat и этот рул не разрудивается, если мне нужно сделать статистичский проброс портов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 3 мая, 2023 · Жалоба или по другому какое еще implisit roule нужно добавить? если сделать взодящий (any) тогда возникает конфликт с правилом nat... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 4 мая, 2023 · Жалоба чтото думается мне так... для сети 10.103.2.0.24 в nat rule's разрешен динамический нат (из сети снаружу) и dvr с адресом 10.103.2.209 попадает под действия этого рула... как можно искдючить адресс из пула??? или что сделать чтоб разрешить работу статик ната на этом адресе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 5 мая, 2023 · Жалоба Именно с 5506 дела не имел, только с моделью чутка постарше - 5510, но не думаю что в части настроек НАТа есть различия. Цитата как можно искдючить адресс из пула??? Насколько я помню, правила НАТа работают в этой части так же, как и маршруты: чем длиннее маска, тем выше приоритет. То есть правило для 10.103.2.х/32 будет иметь более высокий приоритет, чем для 10.103.2.0/24. Что же касается собственно статического НАТа - там вроде бы всё просто настраивается: создаешь нетворк обджект для внутреннего адреса, и в его свойствах включаешь статик нат. Поскольку как я понял внешний адрес у ТС только один, и надо пробросить только 1 порт, то нужно будет зайти в адвансед и указать этот конкретный номер порта. Примерно как вот здесь показано: https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc8 Или даже вот в этом разделе, тут именно проброс 1 порта: https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 6 мая, 2023 · Жалоба Все так и делаю как в инструкции, https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118996-config-asa-00.html#anc10 однако когда прописываю внешний адрес (который public ipот прова, девайс ругается, что этот адресс эквивалент интерфейсу silk (isp2)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 6 мая, 2023 · Жалоба Можно я сброшу конфиг еще раз? Заработало когда на inside и на outside (outgoing) прописал ACL any-any ip permit ... но меня смущает 2 вещи: это безопасность и packet tracer -который тупо показывант непрохождение пакета... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 8 мая, 2023 · Жалоба Попробуй в поле "translated address" через кнопку с тремя точками выбрать этот самый интерфейс silk (isp2), вместо повторного ввода адреса, на этот интерфейс назначенного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...