отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
5289
Просмотры
10
Полезный материал
21
Ответы
Dmitry Pisarev
Beginner

Не открываются некоторые сайты на cisco asa 5505

Добрый день, коллеги.

Установлена Cisco ASA 5505, на ней сконфигурированны интерфесы, указаны DNS и настроены ACL и правила NAT.

Основная проблема, что если в настройка локальных ПК не указать DNS серверы провайдера, а только ip ASA, не открываются большинство сайтов. Например www.google.ru www.yandex.ru, facebook.com открываюся, а при попытке зайти  к примеру на www.cisco.com говориться что  невозможно отобразить страницу. Притом невозможно угадать какой сайт будет открываться, а какой нет.

Если указываешь DNS на локальных ПК все работает.

В чем может быть проблема?

Пример конфига:

:

ASA Version 8.3(1)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.0.111 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 117.2.86.22 255.255.255.252

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

ftp mode passive

dns domain-lookup inside

dns domain-lookup outside

dns server-group DefaultDNS

name-server 117.2.80.2

name-server 117.2.80.4

object network obj_any

subnet 0.0.0.0 0.0.0.0

object network srv

host 192.168.0.100

object network local_net

subnet 192.168.0.0 255.255.255.0

object network ftp

subnet 0.0.0.0 0.0.0.0

object network nas

host 192.168.0.32

object network wan_ip

host 117.2.86.22

object network A_

access-list inside_access_in extended deny tcp object srv any eq www

access-list inside_access_in extended permit icmp any any

access-list inside_access_in extended permit ip any any

access-list inside_access_in extended permit ip any object nas

access-list outside_access_in extended permit ip any host 192.168.0.32

access-list outside_access_in extended permit ip any any

access-list outside_access_in extended permit ip any object nas

access-list global_access extended permit ip any any

access-list global_access extended permit ip any object wan_ip

pager lines 24

logging asdm informational

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network local_net

nat (inside,outside) dynamic interface dns

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

access-group global_access global

route outside 0.0.0.0 0.0.0.0 117.2.86.21 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http server session-timeout 20

http 192.168.0.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 192.168.0.0 255.255.255.0 inside

telnet 0.0.0.0 0.0.0.0 outside

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

dhcpd address 192.168.0.215-192.168.0.254 inside

dhcpd dns 192.168.0.100 192.168.0.111 interface inside

dhcpd enable inside

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

username evoadmin password wqI6kXmKjdWWFsra encrypted privilege 15

!

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

!

prompt hostname context

Cryptochecksum:bfed7f63d295e333626c010bf2010052

: end

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Дмитрий,

с телнетом ничего удивительного:

Note: You can enable Telnet to the security appliance on all interfaces. However, the security appliance enforces that all Telnet traffic to the outside interface be protected by IPsec. In order to enable a Telnet session to the outside interface, configure IPsec on the outside interface to include IP traffic that is generated by the security appliance and enable Telnet on the outside interface.

Note: In general, if any interface that has a security level of 0 or lower than any other interface, then PIX/ASA does not allow Telnet to that interface.

что касается SSH, то надо проверить действительно ли клиент использует версию 1 для подключения, есть ли коннективити до глобального интерфейса и что говорит ASA в debug ssh в момент подключения. Кстати, клиент отваливается по тайм-ауту, или же жалуется более внятно?

С уважением,

Иван.

Просмотреть решение в исходном сообщении

Дмитрий,

что говорит debug ssh не совсем понял. Если ничего, то вероятно и попытки соединения не было. Может ли клиент домаршрутизироваться до ASA через внешний мир?

Иван.

Просмотреть решение в исходном сообщении

21 ОТВЕТ 21
Eugene Khabarov
Rising star

Основная проблема, что если в настройка локальных ПК не указать DNS  серверы провайдера, а только ip ASA, не открываются большинство сайтов.

Уточнение: Вы указываете в качестве DNS сервера в свойствах подключения ПК адрес 192.168.0.111?

Т.е. желаете, чтобы ASA выполняла функцию DNS-сервера?

Насколько я знаю функционирование в качестве DNS-сервера возможно только на Cisco IOS c 12.3(2)T.

Нет, функиции DNS сервера выполнять не нужно, я хочу чтобы ASA пересылала DNS запросы на серверы провайдера (DNS Relay).

Если я правильно понимаю ASA должна это делать, в правиле NAT разрешена пересылка DNS, в настройка разрешен lookup и указаны DNS серверы.

Собственно вопрос: "Почему такие фокусы с сайтами можут происходить?".

Дмитрий, привет,

http://www.cisco.com/en/US/docs/security/asa/asa80/command/reference/d2.html#wp1908538

несколько важных моментов:

interface_name

Specifies the interface on which you want to enable DNS lookup. If you enter this command multiple times to enable DNS lookup on multiple interfaces, the security appliance tries each interface in order until it receives a response.

поэтому не совсем понятно зачем включён lookup на обоих интерфейсах - внутри у вас DNS'ов не стоит как я понял.

К вопросу о фокусах:

The security appliance maintains a cache of name resolutions that consists of dynamically learned entries.

С уважением,

Иван.

Снимал lookup c внутреннего интерфейса ситуация не изменялась.

Сейчас настройки такие:

dns domain-lookup outside

dns server-group DefaultDNS

name-server 117.2.80.2

name-server 117.2.80.4

Так же часть сайтов не открывается если в настройках DNS указан только IP экрана.

Дмитрий,

прочитав ещё раз описание команды dns domain-lookup, я понял что у неё другие функции:

To enable the security appliance to send DNS requests to a DNS server to perform a name lookup for supported commands

Cisco ASA не умеет быть DNS сервером, кэширующим DNS сервером, и proxy-DNS сервером. Вам таки придётся использовать либо внешние сервера, либо разворачивать свой внутренний.

С уважением,

Иван.

Возможно ли настроить ASA таким образом,  чтобы в клиентских ПК в качестве DNS сервера указывался только IP экрана,  и при DNS запросе ASA передаресовывала на вешние серверы провайдера.

P.S. Функция DNS relay есть даже в самых простых маршрутизаторах и межсетевых экраных.

Согласен Дмитрий, многие файрволлы умеют эту функцию, Cisco ASA - нет. Причин тому может быть несколько, например то, что у нас обычно каждое устройство выполняет свою функцию - маршрутизатор маршрутизирует, ASA экранирует, свитчи коммутируют и т.д.

Нужных Вам настроек в ASA на сегодня нет, увы.

Иван.

Очень жаль, маршрутизатор только для этого ставить нецелесообразно. Надеюсь в следующих версиях ПО эта функция появится.

учитывая, что маршрутизация на ASA реализована тоже не в полной мере в сравнении с маршрутизаторами, наличие одного в сети мне кажется целесообразным. Хотя если 5505, то вероятно сеть небольшая и действительно рутер может быть не нужен. Однако для DNS сервера и рутер не нужен вовсе, вполне можно обойтись софтовым аналогом в той же Windows.

Иван.

Спасибо за ответ.

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

access-group global_access global

access-list inside_access_in extended deny tcp object srv any eq www

access-list inside_access_in extended permit ip object local_net any

access-list inside_access_in extended permit icmp object local_net any

access-list outside_access_in extended permit object-group tcp_udp any any

access-list global_access extended permit ip object wan_ip any

access-list global_access extended permit object-group tcp_udp any any

access-list Global standard permit any

telnet 192.168.0.0 255.255.255.0 inside

telnet 0.0.0.0 0.0.0.0 outside

telnet timeout 10

ssh 0.0.0.0 0.0.0.0 outside

ssh timeout 10

Собственно еще один вопрос, не могу открыть доступк ASA из внешней сети по telnet, https и ssh. Хотя все ACL правила прописаны.

Что делаю не так?

Дмитрий,

вы хотите открыть доступ к ASA извне? это делается немного иначе:

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008069bf1b.shtml#conf

pix(config)#ssh 10.1.1.2 255.255.255.255 outside

и т.д.

С уважением,

Иван.

По шагам примерно выглядит так:

1) passwd D0w/IX7ERrakuX34 encrypted

     aaa authentication ssh console LOCAL

2) username sshuser password iinr6AH288/jlYpQ encrypted privilege 15

3) crypto ca trustpoint ASDM_TrustPoint0

enrollment self

subject-name CN=ciscoasa

keypair key-par-default

crl configure

crypto ca certificate chain ASDM_TrustPoint0

certificate a90b934e

308201e5 3082014e a0030201 020204a9 0b934e30 0d06092a 864886f7 0d010105

05003037 3111300f 06035504 03130863 6973636f 61736131 22302006 092a8648

86f70d01 09021613 63697363 6f617361 2e65766f 7379732e 696e7430 1e170d31

31313031 30313531 3830325a 170d3231 31303037 31353138 30325a30 37311130

0f060355 04031308 63697363 6f617361 31223020 06092a86 4886f70d 01090216

13636973 636f6173 612e6576 6f737973 2e696e74 30819f30 0d06092a 864886f7

0d010101 05000381 8d003081 89028181 00f0e499 07b8a6c0 0ca74ec6 0aacbe07

4e558f65 1ff05298 c07d0034 779a046e 01c97a4d f3f4aafd 91cda995 29975063

43dfdf01 c4babfe0 93d71254 59ec8552 f4cc094f 1d321481 dea695fa ca8db9e3

fb0bee51 0e195f97 7165423c d4e10064 4b89789a e48308d2 de19edfc 66681866

2b78fc19 a79e3afc b36c6072 deb61b66 69020301 0001300d 06092a86 4886f70d

01010505 00038181 007e0caf 95cb8720 458782e6 37604b2a bf4cf7c4 e984495d

32bbebac c574a84a b57dcd4c 02be6f52 40b756d1 c7b5e68d ab50d9c5 d158e9ca

a6ee6ebc 8d502125 fae39566 f834a2e9 fd6bd5c1 7006e7b1 fcc9230d cd718337

0e329e6f 57d2d8a6 44cbba42 a33c3efd 23643bcf 4167228c ee352e78 93e12578

d83cad5d f0f70e51 4e

quit

4)

telnet 192.168.0.0 255.255.255.0 inside

telnet 117.2.86.22 255.255.255.255 outside

telnet timeout 10

ssh 117.2.86.22 255.255.255.255 outside

ssh timeout 60

ssh version 1

Результат: из локальный сети подключается и по telnet и по ssh из глобальной - нет.

Дмитрий,

с телнетом ничего удивительного:

Note: You can enable Telnet to the security appliance on all interfaces. However, the security appliance enforces that all Telnet traffic to the outside interface be protected by IPsec. In order to enable a Telnet session to the outside interface, configure IPsec on the outside interface to include IP traffic that is generated by the security appliance and enable Telnet on the outside interface.

Note: In general, if any interface that has a security level of 0 or lower than any other interface, then PIX/ASA does not allow Telnet to that interface.

что касается SSH, то надо проверить действительно ли клиент использует версию 1 для подключения, есть ли коннективити до глобального интерфейса и что говорит ASA в debug ssh в момент подключения. Кстати, клиент отваливается по тайм-ауту, или же жалуется более внятно?

С уважением,

Иван.

Просмотреть решение в исходном сообщении