cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
743
Visitas
0
ÚTIL
4
Respuestas

Problemas con ASA y puerto 443

armandoasfar88
Spotlight
Spotlight

Hola, 

Tengo un problema bastante raro, tengo un asa que solo se usa para accesso via anyconnect, asi que solo tengo ACL de split ACL,

tenemos un servidor 10.10.10.1 detras de la interface inside que hace backup a ese ASA in la interface inside 192.168.10.1 en puerto 443, cuando hago un packet tracer tengo el siguiente resultado:

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

pero cuando uso el puerto 22, no sale drop

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: allow

no uso NAT ni nada en este caso, lo raro es que tengo 3 host más en la misma subnet(10.10.10.2-4) y pueden hacer el backup en puerto 443 sin problema, haciendo una captura en la interface inside 192.168.10.1 veo que el ASA esta reseteando esta connección, cuál puede ser el problema?

 

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

encontre el problema, faltaba una linea en "http server enable" para admitir la ip 10.10.10.1

Ver la solución en mensaje original publicado

4 RESPUESTAS 4

Hola,

Has revisado si existe alguna ACL superior que este bloqueando esa comunicacion?

Saludos,




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

no sé si debería, el 10.10.10.1 esta detras the la interface inside, que deberia checar aqui para saber si no hay una ACL superior?

prueba en verificar en que ACL esta ese host o la subred.

show access-list (nombre de la ACL donde esta la 10.10.10.1) | include 10.10.10.1

Cuando se trabaja con Anyconnect se utiliza un NAT estatico para evitar que el trafico de regreso no se vaya hacia la ruta por defecto, tienes configurado una?

 

saludos




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

encontre el problema, faltaba una linea en "http server enable" para admitir la ip 10.10.10.1