Solucionado: Configuración básica de C1161X-8P sin NAT

Translator · ‎09-27-2021

Hola, estoy atascado y agradecería un poco de ayuda.

Mi configuración está adjunta. Actualmente los acls son

InsideToOutside_acl ampliada de la lista de acceso IP
10 permitir ip cualquiera
OutsideToInside_acl ampliada de la lista de acceso IP
10 permitir ip cualquiera

si cambio OutsideToInside_acl a ser

10 permitir tcp cualquier ecualizador 3389

Encuentro que RDP se puede usar para conectarse desde Internet a computadoras LAN, pero el tráfico LAN a Internet (o más probablemente el tráfico de retorno) se detiene.

¿Cómo puedo solucionar esto?

Translator · ‎09-27-2021

Hola

Pruebe lo siguiente:

Ningún tipo de mapa de directivas inspecciona AVC Web_app_policy
Ningún tipo de mapa de clase inspecciona match-all InsideToOutside

interfaz GigabitEthernet0/0/0
No hay OutsideToInside_acl de grupo de acceso IP en

interfaz GigabitEthernet0/0/1
No hay OutsideToInside_acl de grupo de acceso IP en

interfaz GigabitEthernet0/1/0
No hay InsideToOutside_acl de grupo de acceso IP en

Lista de acceso 110 observaciones RDP
Lista de acceso 110 Permitir TCP Cualquier ecualizador 3389
lista de acceso 110 permitir UDP cualquier ecualizador 3389

Tipo de mapa de clase inspeccionar coincidencia-cualquier insideToOutside < es posible que tenga que quitar el mapa de clase antiguo antes de agregarlo
protocolo de coincidencia icmp
protocolo de coincidencia dns
protocolo de coincidencia http
protocolo de coincidencia https
grupo de acceso de coincidencia 110

tipo de mapa de clase inspeccionar coincidencia-cualquier OutsideToInside
No coincide el nombre del grupo de acceso OutsideToInside_acl
grupo de acceso de coincidencia 110

Ver la solución en mensaje original publicado

Translator · ‎09-27-2021

IP Lista de acceso extendida InsideToOutside_acl
10 Permitir IP cualquier ip
Lista de acceso extendida OutsideToInside_acl
10 Permitir IP Cualquiera

cuando tiene esta configuración, todo funciona? (entonces arriba todavía permitir el puerto 3389 parte de cualquier derecho ?) ¿Puede conectar 3389?

Translator · ‎09-27-2021

Hola

Pruebe lo siguiente:

Ningún tipo de mapa de directivas inspecciona AVC Web_app_policy
Ningún tipo de mapa de clase inspecciona match-all InsideToOutside

interfaz GigabitEthernet0/0/0
No hay OutsideToInside_acl de grupo de acceso IP en

interfaz GigabitEthernet0/0/1
No hay OutsideToInside_acl de grupo de acceso IP en

interfaz GigabitEthernet0/1/0
No hay InsideToOutside_acl de grupo de acceso IP en

Lista de acceso 110 observaciones RDP
Lista de acceso 110 Permitir TCP Cualquier ecualizador 3389
lista de acceso 110 permitir UDP cualquier ecualizador 3389

Tipo de mapa de clase inspeccionar coincidencia-cualquier insideToOutside < es posible que tenga que quitar el mapa de clase antiguo antes de agregarlo
protocolo de coincidencia icmp
protocolo de coincidencia dns
protocolo de coincidencia http
protocolo de coincidencia https
grupo de acceso de coincidencia 110

tipo de mapa de clase inspeccionar coincidencia-cualquier OutsideToInside
No coincide el nombre del grupo de acceso OutsideToInside_acl
grupo de acceso de coincidencia 110

Translator · ‎09-27-2021

Hola @paul conductor

gracias, esto es exactamente lo que necesitaba para volver a la normalidad. Creo que estaba mezclando dos formas de gestión de acceso a paquetes.

Se necesita una modificación menor. Me gustaría limitar el tráfico que entra a 3389, pero no quiero limitar el tráfico que sale.

¿Entiendo que este comando está limitando qué paquetes pueden salir?

tipo de mapa de clase inspeccionar coincidencia-cualquier InsideToOutside
Descripción InsideToOutside
protocolo de coincidencia icmp
protocolo de coincidencia dns
protocolo de coincidencia http
protocolo de coincidencia https
grupo de acceso de coincidencia 110

¿Cómo permito que todo el tráfico salga de las máquinas del usuario?

Saludos

Marcar

Translator · ‎09-27-2021

Hola

No he leído todas las otras publicaciones, pero los firewalls basados en zonas y las listas de acceso aplicadas a las interfaces de miembros de zona no funcionan bien juntas.

Realice los cambios marcados en negrita,esto permite todo el tráfico saliente y solo RDP 3389 entrante. Dicho esto, no tiene ninguna NAT configurada, ¿es eso a propósito?

Configuración actual : 23172 bytes
!
! Último cambio de configuración a las 17:36:35 UTC Jue Jul 1 2021 por admin
!
versión 16.12
Marcas de tiempo de servicio depuración datetime msec
Marcas de tiempo de servicio registrar fecha-hora MSec
servicio call-home
plataforma qfp utilización monitor carga 80
plataforma punt-keepalive disable-kernel-core
!
nombre de host netlab
!
boot-start-marker
marcador boot-end
!
!
!
aaa nuevo modelo
!
!
Autenticación AAA Inicio de sesión predeterminado Local
Inicio de sesión de autenticación AAA A-EAP-Authen-Local
AAA Authorization Exec predeterminado local
Red de autorización AAA A-EAP-Author-GRP Local
!
aaa login success-track-conf-time 1
!
AAA Session-ID común
reloj zona horaria UTC 10 0
reloj horario de verano UTC recurrente 1 Dom Oct 1:00 1 Dom Abr 1:00
call-home
! Si la dirección de correo electrónico de contacto en call-home está configurada como sch-smart-licensing@cisco.com
! la dirección de correo electrónico configurada en Cisco Smart License Portal se utilizará como dirección de correo electrónico de contacto para enviar notificaciones sch.
sch-smart-licensing@cisco.com contact-email-addr
perfil "CiscoTAC-1"
activo
método de transporte de destino http
No hay correo electrónico de método de transporte de destino
!
Sin búsqueda de dominio IP
sece.company.com de nombre de dominio IP
IP DHCP Excluded-Address XXX.XXX.68.0 XXX.XXX.68.29
IP DHCP Dirección excluida XXX.XXX.68.50 XXX.XXX.68.255
!
grupo ip dhcp VLAN68Pool
red xxx.xxx.68.0 255.255.255.0
default-router xxx.xxx.68.254
servidor DNS XXX.XXX.68.254 8.8.8.8
arrendamiento 7
!
iniciar sesión en el registro de éxito
!
plantillas de suscriptor
!
nombre de paquete multienlace autenticado
!
crypto pki trustpoint SLA-TrustPoint
inscripción pkcs12
CRL de revocación-comprobación
!
crypto pki trustpoint quovadis.root
terminal de inscripción pem
revocación-comprobación ninguno
!
crypto pki trustpoint quovadis.inter
terminal de inscripción pem
número de serie ninguno
fqdn netlab.sece.rmit.edu.au
dirección IP ninguna
subject-name C=xxxx
subject-alt-name netlab.company.com
chain-validation continue quovadis.inter2
revocación-comprobación ninguno
rsakeypair netlab.company.com 2048
!
crypto pki trustpoint quovadis.inter2
terminal de inscripción pem
chain-validation continue quovadis.root
revocación-comprobación ninguno
!
cadena de certificados crypto pki SLA-TrustPoint
Certificado CA 01
30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
renunciar
cadena de certificados crypto pki quovadis.root
certificate ca 445734245B81899B35F2CEB82B3B5BA726F07528
30820560 30820348 A0030201 02021444 5734245B 81899B35 F2CEB82B 3B5BA726
renunciar
cadena de certificados crypto pki quovadis.inter
certificado 234A05CD947BCE0C6C755EE05B1447CEA6DD3E68
3082071C 30820504 A0030201 02021423 4A05CD94 7BCE0C6C 755EE05B 1447CEA6
renunciar
Certificate ca 2D2C802018B7907C4D2D79DF7FB1BD872727CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727
renunciar
cadena de certificados crypto pki quovadis.inter2
Certificate ca 2D2C802018B7907C4D2D79DF7FB1BD872727CC93
308206AB 30820493 A0030201 0202142D 2C802018 B7907C4D 2D79DF7F B1BD8727

renunciar
!
grupo de certificados crypto pki
cabundle nvram:ios_core.p7b
!
función de licencia hseck9
licencia udi pid C1161X-8P sn F
seguridad de nivel de arranque de licenciak9
procesador de marca de agua baja sin memoria 70177
!
nivel de inicio de diagnóstico mínimo
!
spanning-tree extender system-id
!
nombre de usuario admin privilegio 15 contraseña 0 xx
nombre de usuario Wb35lMa26ZzB contraseña 0 xx
!
redundancia
modo ninguno
!
propuesta crypto ikev2 netlab.company
cifrado aes-cbc-256
integridad sha256
grupo 14
!
Directiva de asignación interna de vlan ascendente
!
pista 1 ip sla 1 accesibilidad
!
tipo de mapa de clase inspeccionar match-all InsideToOutside
Descripción InsideToOutside
hacer coincidir el nombre del grupo de acceso InsideToOutside_acl
tipo de mapa de clase inspeccionar coincidencia-todo OutsideToInside
Descripción OutsideToInside
hacer coincidir el nombre del grupo de acceso OutsideToInside_acl
!
tipo policy-map inspeccionar Web_app_policy
tipo policy-map inspeccionar INSIDE-OUTSIDE-POLICY
tipo de clase inspeccionar InsideToOutside
Inspeccionar
clase predeterminada
registro de entrega
tipo policy-map inspeccionar OUTSIDE-INSIDE-POLICY
tipo de clase inspeccionar OutsideToInside
--> pase
clase predeterminada
registro de entrega
!
zona de seguridad INTERIOR
Descripción Zona para interfaces internas
seguridad de zona FUERA
Descripción Zona para interfaces externas
Valor predeterminado de la zona
seguridad de par de zonas DENTRO-FUERA origen DENTRO del destino FUERA
tipo de directiva de servicio inspeccionar INSIDE-OUTSIDE-POLICY
seguridad de par de zonas OUTSIDE-INSIDE origen OUTSIDE destino INSIDE
tipo de directiva de servicio inspeccionar OUTSIDE-INSIDE-POLICY
!
interfaz GigabitEthernet0/0/0
Descripción WAN GE 0/0/0
dirección IP xxx.xxx.253.10 255.255.255.240
--> ningún OutsideToInside_acl de grupo de acceso IP en
seguridad de miembro de zona FUERA
negociación automática
!
interfaz GigabitEthernet0/0/1
Descripción WAN GE 0/0/1
sin dirección IP
--> ningún OutsideToInside_acl de grupo de acceso IP en
seguridad de miembro de zona FUERA
negociación automática
!
interfaz GigabitEthernet0/1/0
Descripción VLAN68Port0
acceso al modo switchport
--> ningún InsideToOutside_acl de grupo de acceso IP en
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/1
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/2
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/3
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/4
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/5
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/6
seguridad de miembro de zona INSIDE
!
interfaz GigabitEthernet0/1/7
seguridad de miembro de zona INSIDE
!
interfaz Vlan1
Descripción VLAN68
dirección IP xxx.xxx.68.254 255.255.255.0
--> ningún InsideToOutside_acl de grupo de acceso IP en
seguridad de miembro de zona INSIDE
!
interfaz Vlan2
sin dirección IP
seguridad de miembro de zona INSIDE
!
protocolo de reenvío IP ND
Servidor HTTP IP
Autenticación IP HTTP AAA
IP http servidor seguro
IP http tiempo de espera-directiva inactivo 600 vida útil 600 solicitudes 25
Ruta IP 0.0.0.0 0.0.0.0 xxx.xxx.253.13
!
InsideToOutside_acl ampliada de la lista de acceso IP
10 permitir ip cualquiera
OutsideToInside_acl ampliada de la lista de acceso IP
--> permitir tcp cualquier ecualizador 3389
!
plano de control
!
línea con 0
stopbits 1
línea vty 0 4
tiempo de espera del ejecutivo 60 0
longitud 0
!
fin

Translator · ‎09-27-2021

Hola @Georg pavos reales

gracias por su respuesta. Seguí su guía y ya no puedo conectarme de afuera hacia adentro usando RDP. He revisado cuidadosamente mis ediciones.

No uso NAT, porque tengo una clase pública C detrás del dispositivo que uso. Esta es una implementación histórica.

Agradecería preguntar un par de puntos aclaradores para tratar de solucionar el problema.

1. la línea --> pase

Estoy asumiendo que simplemente introduzgo el pase y presiono el retorno

2. la línea permite tcp cualquier eq 3389

¿Debería tener un número al frente?

por ejemplo, la otra declaración tiene

10 permitir ip cualquiera

Gracias

Saludos

Marcos Gregorio

Translator · ‎09-27-2021

Hola

De hecho, el pase es solo una línea.

Para la lista de acceso no necesita un número de secuencia, ya que solo tiene una línea de todos modos ...