07-21-2016 03:02 PM - editado 03-21-2019 06:22 PM
Saludos a tod@s
junto con saludarlos quisiera saber si me pueden prestar ayuda.
En un asa 5510 tengo en total 3 redes, una LAN con segmento 192.168.0.1/24, una red DMZ con un rango 192.168.1.1/24, un servidor DMZ con una ip 192.168.1.2 y en la red exterior tengo las direcciones ip 10.0.0.2/248.
nececito que los clientes de la LAN puedan acceder al servidor por medio de su ip publica (para este ejemplo 10.0.0.3).
actualmente el nat desde la red outside funciona sin problemas
de antemano
Muchas gracias por su ayuda
¡Resuelto! Ir a solución.
el 10-04-2016 07:25 PM
nat (dmz,inside) source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Lo que hace este NAT es que el server de la DMZ sea accesible desde la LAN por medio de la IP publica. Es por esto que no te funciona el telnet 172.16.30.10 80 cuando lo ejecutas desde la LAN.
El problema aca es que cuando ejecutas telnet 186.XX.XX.77 80 el trafico esta yendo de la inside a la outside porque está aplicando el nat del obj_any.
Lo que tenes que hacer es poner el NAT con una posicion mejor que la del obj_any, para asegurarnos pone 1
nat (dmz,inside) 1 source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Proba el packet tracert para ver que este aplicando el nat correcto.
¿El server de la dmz lo estas publicando en la outside tambien?
Saludos.-
el 08-11-2016 08:00 PM
Hola alvaro.sepulveda.Orellana, proba con el comando:
packet-tracer input cliente tcp 192.168.0.2 1234 10.0.0.3 80
con esto vas a poder ver como es flujo de trafico en tu ASA y detectar si te esta faltando algo en la configuración.
Si tenes ASDM, también tenes la opción de correr este comando de forma visual y mucho mas amigable.
Exitos.
el 09-30-2016 03:10 PM
Hola Matias. gracias por respoder.
te comento que realice este comando y el resultado es el siguietne:
packet-tracer input inside tcp 10.0.XX.XX 1234 186.XX.XX.XX 80
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
pero cuando intento conectarme no resulta
asepulveda$ telnet 186.XX.XX.XX 80
Trying 186.XX.XX.XX...
telnet: connect to address 186.XX.XX.XX: Operation timed out
telnet: Unable to connect to remote host
de antemano gracias
el 10-02-2016 05:57 PM
Hola, en el detalle del comando te aparecen todos los procesos que se usan para la conexion que estas probando.
Por el resultado que pasaste podemos confirmar que las rutas y ACL estan OK. Un punto donde generalmente hay problemas es el con NAT. Si podes, pasa el log completo del comando asi analizamos ese punto.
Otro cosa, ¿los direccionamiento los cambiaste? Porque al principio dijiste que la Lan era 192.168.0.1/24, la DMZ 192.168.1.1/24 y el server publico era 10.0.0.3. (¿estas haciendo un LAB, no? Porque la red 10.0.0.0/8 es direccionamiento privado). Y con el packet-tracert usaste lan 10.0.XX.XX y outside 186.XX.XX.XX
Saludos.-
el 10-03-2016 03:45 PM
Hola.
Gracias por responder :)
te adjunto el packet tracert.
Para este caso la red local es una clase C con de la red 10. la ip de la DMZ es una ip privada de la red 172 (/29) y la red publica es un segmento de la red 186 (/29)
ahora, no se si me explico bien, pero el punto es que si desde la red local intento acceder a la DMZ por la ip privada funciona sin problemas, pero lo que necesito es acceder a ella por medio de la ip publica.
MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 172.16.30.10 80
Trying 172.16.30.10...
Connected to 172.16.30.10.
Escape character is '^]'.
MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 186.XX.XX.77 80
Trying 186.XX.XX.77...
telnet: connect to address 186.XX.XX.77: Operation timed out
telnet: Unable to connect to remote host
MacBook-Pro-de-Alvaro:~ asepulveda$
packet-tracer input inside tcp 10.0.18.112 1234 186.XX.XX.77 80
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 186.XX.XX.72 255.255.255.248 outside
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_access_in in interface inside
access-list inside_access_in extended permit object-group DM_INLINE_PROTOCOL_6 object Mac-Alvaro-Sepulveda object-group DM_INLINE_NETWORK_4 log debugging
object-group protocol DM_INLINE_PROTOCOL_6
protocol-object ip
protocol-object icmp
object-group network DM_INLINE_NETWORK_4
network-object 0.0.0.0 0.0.0.0
network-object 10.0.254.0 255.255.255.0
Additional Information:
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj_any
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate Mac-Alvaro-Sepulveda/1234 to IP_Publica_74/1234
Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_access_out out interface outside
access-list outside_access_out extended permit ip any4 any4 log disable
access-list outside_access_out
Additional Information:
Phase: 9
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Phase: 10
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 11
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 12
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 179949197, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
el 10-03-2016 05:19 PM
Hola alvaro.sepulveda.Orellana, proba haciendo este
Los grupos los hago con nombre generico, vos ponelos como aplique en tu ambiente:
object network server_dmz
host 172.16.30.10object network server_outside
host 186.XX.XX.77
nat (dmz,inside) source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Avisame si funciono, saludos!.
el 10-04-2016 09:18 AM
Hola Matias
hice lo que mencionaste y no resulto :S
muchas gracias de antemano por tu ayuda
el 10-04-2016 11:45 AM
Hola, ¿en tu red tenes el default gateway para el firewall? Asi podemos confirmar que el trafico publico este yendo al firewall.
¿si ejecutas de nuevo el comando packet tracert te aplica el nat que pusiste o te sigue aplicando object network obj_any?
Con show nat podes ver los nateos configurados y el orden que tienen.
Saludos.-
el 10-04-2016 03:49 PM
Hola Matias
se me olvido un detalle, cuando ejecuto la instuccion de nat pierdo comunicacion
MacBook-Pro-de-Alvaro:~ asepulveda$ telnet 172.16.30.10 80
Trying 172.16.30.10...
telnet: connect to address 172.16.30.10: Operation timed out
telnet: Unable to connect to remote hostMacBook-Pro-de-Alvaro:~ asepulveda$ telnet 186.XX.XX.77 80
Trying 186.XX.XX.77...
telnet: connect to address 186.XX.XX.77: Operation timed out
telnet: Unable to connect to remote host
el firewall es el default gateway de ambas redes (en la red interna y en la DMZ)
interface Ethernet0/1
nameif inside
security-level 100
ip address CISCO_ASA 255.255.255.0object network CISCO_ASA
host 10.0.18.1object network Mac-Alvaro-Sepulveda
host 10.0.18.112interface Ethernet0/3.2002
description DMZ_77
vlan 2002
nameif DMZ
security-level 45
ip address 172.16.30.9 255.255.255.248object network SRV_IP-EXT
host 186.XX.XX.77object network SRV-ip-interna
host 172.16.30.10
efectivamente esta tomando el obj_any
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj_any
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate Mac-Alvaro-Sepulveda/1234 to IP_Publica_74/1234
Phase: 5
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
en el show nat esta lo siguiente:
Manual NAT Policies (Section 1)
..
...
..
20 (DMZ_77) to (inside) source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
translate_hits = 0, untranslate_hits = 0Auto NAT Policies (Section 2)
....
...
....
18 (inside) to (outside) source dynamic obj_any interface
translate_hits = 392359, untranslate_hits = 32786# sh nat | i obj_any
18 (inside) to (outside) source dynamic obj_any interface
el 10-04-2016 04:16 PM
Bueno, de a poco nos vamos a acercando :) Hay que subile la prioridad al nat que hicimos:
no nat (dmz,inside) source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
nat (dmz,inside) 1 source static server_dmz server_outside destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Despues proba el packet tracert de nuevo.
Saludos.-
el 10-04-2016 04:28 PM
Como le cambio la prioridad?
Pero de todas maneras creo que lo toma, por que cuando lo hago pierdo comunicacion...
el 10-04-2016 07:25 PM
nat (dmz,inside) source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Lo que hace este NAT es que el server de la DMZ sea accesible desde la LAN por medio de la IP publica. Es por esto que no te funciona el telnet 172.16.30.10 80 cuando lo ejecutas desde la LAN.
El problema aca es que cuando ejecutas telnet 186.XX.XX.77 80 el trafico esta yendo de la inside a la outside porque está aplicando el nat del obj_any.
Lo que tenes que hacer es poner el NAT con una posicion mejor que la del obj_any, para asegurarnos pone 1
nat (dmz,inside) 1 source static srv-ip-interna SRV_IP-EXT destination static Mac-Alvaro-Sepulveda Mac-Alvaro-Sepulveda
Proba el packet tracert para ver que este aplicando el nat correcto.
¿El server de la dmz lo estas publicando en la outside tambien?
Saludos.-
el 10-19-2016 06:42 AM
Muchas gracias matias por tu ayuda. esto funciono.
disculpa por no haber respondido antes.
adicionalmente para complementar he tenido que hacer 2 reglas para que funcione una desde inside y otra desde el outside :)
el 10-19-2016 07:08 AM
Excelente! Que bueno que se haya solucionado el tema.
Lo de las reglas es raro, porque el firewall trabaja statefull por lo que no es necesario configurar reglas en cada interface. Las ACL se configuran desde donde se inicia la conexion (si esta asociadad a inbound).
Saludos y gracias por la calificación.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad