saglo 10 Geschrieben 21. Februar 2011 Melden Teilen Geschrieben 21. Februar 2011 Hallo MCSE Board Ziel: Alte Cisco PIX ersetzen durch neue Cisco ASA 5505. Problem: Konfigurieren von verschiedenen öffentlichen IP Adressen auf den internen Server. IP-Netz: *** IP-Maske: 255.255.255.248 Router IP: (Gateway) *gateway_IP* Firewall: *öffentliche_IP_0* ->192.168.30.11 = srv1-*** Mail: *öffentliche_IP_1* ->192.168.30.11 ftp: *öffentliche_IP_2* ->192.168.30.11 Reserve: *öffentliche_IP_3* ->192.168.30.11 Internet Zugang und route konnte ich auf der neuen ASA erstellen. Ich habe unter „Firewall“ im GUI versuche eine Static Nat zu erstellen, aber bis jetzt noch ohne Erfolg. Ich poste mal die alte config der PIX die momentan läuf, und danach die neue der ASA bei der momentan die*öffentliche_IP_1* bis *öffentliche_IP_3* nicht gehen. Zitieren Link zu diesem Kommentar
saglo 10 Geschrieben 21. Februar 2011 Autor Melden Teilen Geschrieben 21. Februar 2011 (bearbeitet) PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password *** passwd ***d hostname *** domain-name *** clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554j fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list 100 permit icmp any any access-list 100 permit udp any any access-list 100 permit tcp any any access-list 101 permit tcp any host *öffentliche_IP_1* eq https access-list 101 permit tcp any host *öffentliche_IP_1* eq telnet access-list 101 permit tcp any host *öffentliche_IP_2* eq 5900 access-list 101 permit tcp any host *öffentliche_IP_2* eq smtp access-list 101 permit tcp any host *öffentliche_IP_2* eq ftp access-list 101 permit tcp any host *öffentliche_IP_2* eq https access-list 101 permit tcp any host *öffentliche_IP_2* eq 3389 access-list 101 permit tcp any host *öffentliche_IP_2* eq www access-list 101 permit tcp any host *öffentliche_IP_3* eq www access-list 101 permit tcp any host *öffentliche_IP_3* eq ftp access-list 101 permit tcp any host *öffentliche_IP_3* eq 5900 access-list 101 permit tcp any host *öffentliche_IP_4* eq 5900 access-list *vpn* permit ip 192.168.30.0 255.255.255.0 192.168.29.0 255.255.255.0 pager lines 24 logging on mtu outside 1500 mtu inside 1500 ip address outside *öffentliche_IP_0* 255.255.255.248 ip address inside 192.168.30.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool *VPN* 192.168.29.50-192.168.29.100 ip local pool vpnpool 192.168.29.101-192.168.29.109 pdm location *** pdm location *** pdm location *** pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list *VPN* nat (inside) 1 192.168.30.0 255.255.255.0 0 0 static (inside,outside) tcp *öffentliche_IP_1* ftp 192.168.30.11 ftp netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_1* smtp 192.168.30.11 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_1* 3389 192.168.30.11 3389 netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 5901 192.168.30.11 5901 netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_1* 5900 192.168.30.11 5900 netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_1* www 192.168.30.11 www netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_2* ftp 192.168.30.12 ftp netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_2* www 192.168.30.12 www netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_2* 5900 192.168.30.12 5900 netmask 255.255.255.255 0 0 static (inside,outside) tcp *öffentliche_IP_1* https 192.168.30.11 https netmask 255.255.255.255 0 0 access-group 101 in interface outside access-group 100 in interface inside route outside 0.0.0.0 0.0.0.0 *Gateway_IP* 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local aaa authentication http console LOCAL aaa authentication telnet console LOCAL http server enable http *** 255.255.240.0 outside http 192.168.30.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set *VPN* esp-des esp-md5-hmac cr bearbeitet 22. Februar 2011 von saglo Zitieren Link zu diesem Kommentar
saglo 10 Geschrieben 21. Februar 2011 Autor Melden Teilen Geschrieben 21. Februar 2011 (bearbeitet) doppel post bearbeitet 21. Februar 2011 von saglo Zitieren Link zu diesem Kommentar
saglo 10 Geschrieben 21. Februar 2011 Autor Melden Teilen Geschrieben 21. Februar 2011 ASA Version 8.3(1) ! hostname CiscoASA enable password *** passwd ** names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.30.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address *öffentliche_IP_0* 255.255.255.248 ! interface Vlan5 no forward interface Vlan1 nameif DMZ security-level 50 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 switchport access vlan 5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 object network obj_any subnet 0.0.0.0 0.0.0.0 object network ftp*** host *öffentliche_IP_2* object network fw*** host *öffentliche_IP_0* object network mail*** host *öffentliche_IP_1* object network reserve*** host *öffentliche_IP_3* object network srv1-*** host 192.168.30.11 object service ftp service tcp destination eq ftp object service https service tcp destination eq https object service smtp service tcp destination eq smtp object network myPublicIPs range *öffentliche_IP_1* *öffentliche_IP_3* object service VNC service tcp source eq 5900 destination eq 5900 object-group service vnc tcp port-object eq 5900 access-list outside_access_in extended permit ip any object myPublicIPs access-list outside_access_in extended permit tcp any object mail*** eq https access-list outside_access_in extended permit tcp any object mail*** eq smtp access-list outside_access_in extended permit tcp any object ftp*** eq ftp access-list outside_access_in extended permit tcp any object mail*** object-group vnc access-list outside_access_in extended permit tcp any object fw*** eq https pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 mtu DMZ 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (outside,inside) source static mail*** mail*** destination static srv1-*** srv1-*** service https https nat (outside,inside) source static ftp*** ftp*** destination static srv1-*** srv1-*** service ftp ftp nat (outside,inside) source static mail*** mail*** destination static srv1-*** srv1-*** service smtp smtp nat (outside,inside) source static mail*** mail*** destination static srv1-*** srv1-*** service VNC VNC ! object network obj_any nat (inside,outside) dynamic interface object network myPublicIPs nat (outside,inside) static srv1-*** access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 *Gateway_IP* 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.30.0 255.255.255.0 inside http authentication-certificate inside http redirect inside 80 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside ! dhcpd address 192.168.30.5-192.168.30.36 inside ! dhcpd address 192.168.1.32-192.168.1.63 DMZ dhcpd dns *** *** interface DMZ dhcpd enable DMZ ! threat-detection basic-threat threat-detection statistics access-list no th Zitieren Link zu diesem Kommentar
saglo 10 Geschrieben 21. Februar 2011 Autor Melden Teilen Geschrieben 21. Februar 2011 (bearbeitet) doppel post bearbeitet 21. Februar 2011 von saglo Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 21. Februar 2011 Melden Teilen Geschrieben 21. Februar 2011 nur static alleien reicht nicht, du musst schon auch acls für den zugriff einrichten in deinem Fall wäre ein static PAT angebracht, du hast zwar im Moment genug offizielle IP Adressen, das kann aber später evtl mal nicht mehr der Fall sein :) und für solche Anwendungen merke: Gui ist Pfui Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Februar 2011 Melden Teilen Geschrieben 22. Februar 2011 und für solche Anwendungen merke: Gui ist Pfui Also mittlerweile habe ich ja schon bisschen mehr mit ASA zu tun, hab aber bisher immer auf Console verzichten koennen :) ASDM ist schon ganz OK. Zitieren Link zu diesem Kommentar
saglo 10 Geschrieben 22. Februar 2011 Autor Melden Teilen Geschrieben 22. Februar 2011 (bearbeitet) ich würde ja gerne mich mal mit telnet anmelden und das probieren, aber es muss ein default password bei telnet geben was ich nicht weiss und somit nicht ändern kann? *Edit* konnte ich beheben und zugriff geht. Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring NAT [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems wenn ich im GUI auf "tools, command line interface" gehe kann ich konfig auslesen mit sh config, aber wenn ich den befehl eingebe z.b.: hostname(config)# static (inside,outside) tcp *öffentliche_IP_1* smtp 192.168.30.11 smtp netmask 255.255.255.255 bekomme ich einen fehlermeldung: Resul of the command: "hostname(config)# static (inside,outside) tcp *öffentliche_IP_1* smtp 192.168.30.11 smtp netmask 255.255.255.255 "hostname(config)# static (inside,outside) tcp *öffentliche_IP_1* smtp 192.168.30.11 s ^mtp netmask 255.255.255.255 ERROR: % Invalid inpud detected at'^' marker bearbeitet 22. Februar 2011 von saglo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.