Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
742
Visitas
0
ÚTIL
4
Respuestas

Problemas con ASA y puerto 443

Ir a solución
armandoasfar88
Spotlight
Spotlight

‎03-14-2023 07:40 AM - editado ‎03-14-2023 07:41 AM

Hola, 

Tengo un problema bastante raro, tengo un asa que solo se usa para accesso via anyconnect, asi que solo tengo ACL de split ACL,

tenemos un servidor 10.10.10.1 detras de la interface inside que hace backup a ese ASA in la interface inside 192.168.10.1 en puerto 443, cuando hago un packet tracer tengo el siguiente resultado:

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

pero cuando uso el puerto 22, no sale drop

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: allow

no uso NAT ni nada en este caso, lo raro es que tengo 3 host más en la misma subnet(10.10.10.2-4) y pueden hacer el backup en puerto 443 sin problema, haciendo una captura en la interface inside 192.168.10.1 veo que el ASA esta reseteando esta connección, cuál puede ser el problema?

 

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
armandoasfar88
Spotlight
Spotlight
En respuesta a Julio E. Moisa

el ‎04-06-2023 02:57 AM

encontre el problema, faltaba una linea en "http server enable" para admitir la ip 10.10.10.1

Ver la solución en mensaje original publicado

0 Útil
4 RESPUESTAS 4

Ir a solución
Julio E. Moisa
VIP
VIP

el ‎03-14-2023 08:40 AM

Hola,

Has revisado si existe alguna ACL superior que este bloqueando esa comunicacion?

Saludos,




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

Ir a solución
armandoasfar88
Spotlight
Spotlight
En respuesta a Julio E. Moisa

el ‎03-14-2023 09:03 AM

no sé si debería, el 10.10.10.1 esta detras the la interface inside, que deberia checar aqui para saber si no hay una ACL superior?

0 Útil

Ir a solución
Julio E. Moisa
VIP
VIP
En respuesta a armandoasfar88

‎03-14-2023 11:08 AM - editado ‎03-14-2023 11:33 AM

prueba en verificar en que ACL esta ese host o la subred.

show access-list (nombre de la ACL donde esta la 10.10.10.1) | include 10.10.10.1

Cuando se trabaja con Anyconnect se utiliza un NAT estatico para evitar que el trafico de regreso no se vaya hacia la ruta por defecto, tienes configurado una?

 

saludos




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

Ir a solución
armandoasfar88
Spotlight
Spotlight
En respuesta a Julio E. Moisa

el ‎04-06-2023 02:57 AM

encontre el problema, faltaba una linea en "http server enable" para admitir la ip 10.10.10.1

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos General Discusiones General Videos General
Customers Also Viewed These Support Documents