Solucionado: No se puede acceder a servidor web

Daru · ‎12-01-2020

Hola a todos.

en la empresa tenemos un viejo SA520 con varias reglas (Port Forwarding) para conectarse de wan a varios servicios de la lan

Lo vamos a sustituir por un ASA 5506-x el cual estoy tratando de configurar para tener todo igual así el cambio sea lo menos traumático.

El tema es que no puedo direccionar ningún puerto , por ejemplo el 80

Tengo 3 interfaces inside, serviciosweb, outside.El servidor web es 192.168.15.40 , desde mi lan 192.168.10.0 accedo perfectamente , pero de outside no puedo (error rpf-check)

He probado varios tutoriales pero nada.Tambien intente direccionar el puerto 3389 para escritorio remoto en inside y tengo el mismo error.

No se si tengo algo mal configurado de inicio.

Pego la configuracion y el packt-tracer al puerto 80

: Serial Number: JAD210105U0
: Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cor
es)
: Written by enable_15 at 12:26:29.703 UYST Tue Dec 1 2020
!
ASA Version 9.6(1)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names

!
interface GigabitEthernet1/1
nameif outside
security-level 0
ip address 190.64.16.166 255.255.255.224
!
interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 192.168.10.7 255.255.255.0
!
interface GigabitEthernet1/3
nameif ServiciosWeb
security-level 50
ip address 192.168.15.1 255.255.255.0
!
interface GigabitEthernet1/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/5
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/6
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/7
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/8
shutdown
no nameif
no security-level
no ip address
!
interface Management1/1
management-only
no nameif
no security-level
no ip address
!
ftp mode passive
clock timezone UYST -3
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.10.4
name-server 192.168.10.1
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network Red_Uy
subnet 10.255.0.0 255.255.0.0
object network WebServer
host 192.168.15.40
object network Server4
host 192.168.10.4
object service Rdp
service tcp destination eq 3389
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service Remoto
description Puertos Acceso Remoto
service-object object Rdp
access-list outside_access_in extended permit icmp any 192.168.10.0 255.255.255.
0 echo-reply
access-list outside_access_in extended permit tcp any object WebServer eq www
access-list inside_access_in extended permit ip any object obj_any
access-list ServiciosWeb_access_in extended permit icmp any 192.168.10.0 255.255
.255.0 echo-reply
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu ServiciosWeb 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic any interface
!
object network WebServer
nat (ServiciosWeb,outside) static interface service tcp www www
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
access-group ServiciosWeb_access_in in interface ServiciosWeb
route outside 0.0.0.0 0.0.0.0 190.64.16.161 1
route inside 10.255.0.0 255.255.0.0 192.168.10.30 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0

dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:6a7d2db34f3dfa83e1aee9d651588e95
ciscoasa# packet-tracer input outside tcp 8.8.8.8 80 192.168.15.40 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.15.40 using egress ifc ServiciosWeb

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any object WebServer eq www
Additional Information:

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
object network WebServer
nat (ServiciosWeb,outside) static interface service tcp www www
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: ServiciosWeb
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

ciscoasa#

Gracias por su ayuda

Julio E. Moisa · ‎12-02-2020

Hola

Intenta con la siguiente configuracion:

object network SERVIDOR

host (ip del servidor)

nat (serviciosweb,outside) static (ip interface externa) service tcp 80 80

o tambien puedes utilizar:

nat (serviciosweb,outside) static interface service tcp 80 80

o tambien:

object service PUERTO

service tcp source eq 80

nat (serviciosweb,outside) static interface service PUERTO PUERTO

En imagenes recientes la configuracion es similar a lo siguiente, ojo OBJECT 1 y 2 son origen y destino respectivamente desde el punto de vista interno, debes crear esos objects: OBJECT1, OBJECT2 y PORT (Port = al puerto que deseas mapear, puedes crear uno interno y otro para el puerto externo)

nat (inside,outside) source static OBJECT1 OBJECT1 destination static OBJECT2 OBJECT2 service PORT PORT

Pero te sugiero que utilices otro puerto por si acaso ocupas el 80 para ingresar via web al firewall.

Tambien recomiendo que revises la version de la imagen y si es posible que actualices el equipo.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

Hilda Arteaga · ‎12-08-2020

Gracias por la asistencia @Julio E. Moisa

Ver la solución en mensaje original publicado

Daru · ‎12-10-2020

Hola Julio , gracias por responder.

te comento que este equipo tiene 3 años de comprado y sin usar y no cuento con contrato de servicio asi que no puedo bajar firmware.

Tengo Asa version 9.6(1) y asdm version 7.6(1)

con respecto al tema use :

object service Puerto

service tcp source eq 80

correcto

nat (serviciosweb,outside) static interface service Puerto Puerto

error :marcado en la primer "t" de static , le agregue source quedando :

nat (serviciosweb,outside) source static interface service PUERTO PUERTO

error : marcado en la primer "P" de Puerto

ahí me quedé

no se si será un tema de las versiones de os.

Gracias

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎12-02-2020

Hola

Intenta con la siguiente configuracion:

object network SERVIDOR

host (ip del servidor)

nat (serviciosweb,outside) static (ip interface externa) service tcp 80 80

o tambien puedes utilizar:

nat (serviciosweb,outside) static interface service tcp 80 80

o tambien:

object service PUERTO

service tcp source eq 80

nat (serviciosweb,outside) static interface service PUERTO PUERTO

En imagenes recientes la configuracion es similar a lo siguiente, ojo OBJECT 1 y 2 son origen y destino respectivamente desde el punto de vista interno, debes crear esos objects: OBJECT1, OBJECT2 y PORT (Port = al puerto que deseas mapear, puedes crear uno interno y otro para el puerto externo)

nat (inside,outside) source static OBJECT1 OBJECT1 destination static OBJECT2 OBJECT2 service PORT PORT

Pero te sugiero que utilices otro puerto por si acaso ocupas el 80 para ingresar via web al firewall.

Tambien recomiendo que revises la version de la imagen y si es posible que actualices el equipo.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hilda Arteaga · ‎12-08-2020

Gracias por la asistencia @Julio E. Moisa

Daru · ‎12-10-2020

Hola Julio , gracias por responder.

te comento que este equipo tiene 3 años de comprado y sin usar y no cuento con contrato de servicio asi que no puedo bajar firmware.

Tengo Asa version 9.6(1) y asdm version 7.6(1)

con respecto al tema use :

object service Puerto

service tcp source eq 80

correcto

nat (serviciosweb,outside) static interface service Puerto Puerto

error :marcado en la primer "t" de static , le agregue source quedando :

nat (serviciosweb,outside) source static interface service PUERTO PUERTO

error : marcado en la primer "P" de Puerto

ahí me quedé

no se si será un tema de las versiones de os.

Gracias