отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
5292
Просмотры
10
Полезный материал
21
Ответы
Dmitry Pisarev
Beginner

Не открываются некоторые сайты на cisco asa 5505

Добрый день, коллеги.

Установлена Cisco ASA 5505, на ней сконфигурированны интерфесы, указаны DNS и настроены ACL и правила NAT.

Основная проблема, что если в настройка локальных ПК не указать DNS серверы провайдера, а только ip ASA, не открываются большинство сайтов. Например www.google.ru www.yandex.ru, facebook.com открываюся, а при попытке зайти  к примеру на www.cisco.com говориться что  невозможно отобразить страницу. Притом невозможно угадать какой сайт будет открываться, а какой нет.

Если указываешь DNS на локальных ПК все работает.

В чем может быть проблема?

Пример конфига:

:

ASA Version 8.3(1)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.0.111 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 117.2.86.22 255.255.255.252

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

ftp mode passive

dns domain-lookup inside

dns domain-lookup outside

dns server-group DefaultDNS

name-server 117.2.80.2

name-server 117.2.80.4

object network obj_any

subnet 0.0.0.0 0.0.0.0

object network srv

host 192.168.0.100

object network local_net

subnet 192.168.0.0 255.255.255.0

object network ftp

subnet 0.0.0.0 0.0.0.0

object network nas

host 192.168.0.32

object network wan_ip

host 117.2.86.22

object network A_

access-list inside_access_in extended deny tcp object srv any eq www

access-list inside_access_in extended permit icmp any any

access-list inside_access_in extended permit ip any any

access-list inside_access_in extended permit ip any object nas

access-list outside_access_in extended permit ip any host 192.168.0.32

access-list outside_access_in extended permit ip any any

access-list outside_access_in extended permit ip any object nas

access-list global_access extended permit ip any any

access-list global_access extended permit ip any object wan_ip

pager lines 24

logging asdm informational

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network local_net

nat (inside,outside) dynamic interface dns

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

access-group global_access global

route outside 0.0.0.0 0.0.0.0 117.2.86.21 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http server session-timeout 20

http 192.168.0.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet 192.168.0.0 255.255.255.0 inside

telnet 0.0.0.0 0.0.0.0 outside

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

dhcpd address 192.168.0.215-192.168.0.254 inside

dhcpd dns 192.168.0.100 192.168.0.111 interface inside

dhcpd enable inside

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

username evoadmin password wqI6kXmKjdWWFsra encrypted privilege 15

!

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

!

prompt hostname context

Cryptochecksum:bfed7f63d295e333626c010bf2010052

: end

21 ОТВЕТ 21

debug ssh  enabled at level 1

В настройка Putty ssh 1, и отваливатеся соединение по таймауту.

Дмитрий,

что говорит debug ssh не совсем понял. Если ничего, то вероятно и попытки соединения не было. Может ли клиент домаршрутизироваться до ASA через внешний мир?

Иван.

Просмотреть решение в исходном сообщении

Не совсем понял  что значит "Может ли клиент домаршрутизироваться до ASA через внешний мир?".

Дмитрий,

имелось в виду доступна ли ASA от клиента, то есть роутятся ли пакеты от клиента до ASA и знает ли ASA как их вернуть. Вопрос базовой коннективити. Немного странно, что в дебаге пусто, стало быть и подключения не было. terminal monitor включён или консолью подключились?

Иван.

Подключаюсь  через telnet или ssh из внутренней сети.

В мониторе при локальном подключении видно как проходит ssh подключение.

При попытку подключения через outside интерфейс в мониторе ничего не выводится.

NoraOne23866
Beginner

у меня такая же проблема при открытии сайта https://logincasino.work/

посоветуйте, что делать?

для начала перестать спамить

 

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения