Solucionado: Re: ASA 5505 permitir conexion a internet VLANs - Página 2

diego.corral · ‎11-30-2017

Buenos dias.

Antes de nada muchas gracias a la comunidad.

Tengo un CISCO ASA 5505 y conectado a él un switch de nivel 3 marca AVAYA. He creado varias VLAN, que se enrutan entre si con el switch (para eso es level 3). Ahora necesito que estas VLAN accedan a internet a traves del ASA.

Hemos comprado la licencia "Security Plus License".

He configurado el puerto inside en modo trunk con las VLAN que quiero que accedan a internet. Pero me aparece un error de ID VLan Incorrecta.

¿Debo dar de alta la VLAN en el ASA? Se puede hacer a traves de ASDM, o sólo se puede hacer por comandos?

Hay que crear puertos virtuales para cada VLAN eth0.10, eth0.20...? O como el enrutamiento entre VLAN se hace en el switch esto no es necesario?

En el Switch, ademas de poner el puerto donde está conectado el ASA en modo Trunk, debo incluirlo en todas las VLAN que van a acceder a internet, o le pongo en una VLAN independiente.

Muchas gracias.

Julio E. Moisa · ‎01-15-2018

:-)

Un gusto mi amigo, que todo salga muy bien y recuerda siempre tener backups de las configuraciones y realizar la implementacion en ventana de mantenimiento autorizada.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

diego.corral · ‎01-19-2018

Hola Julio, viejo amigo

que tal?

tengo una nueva duda que no he podido resolver.

he realizado pruebas con tus consejos y me ha surgido un problema.

he puesto el CISCO en una VLAN (22) 192.168.22.0/24

y un equipo PC1 en otra VLAN (23) 192.168.23.0/24

Dentro de la VLAN del Cisco he puesto otro equipo: PC2 (que sale bien a internet por el cisco)

las VLAN se comunican entre ellas a traves del switch de nivel 3. Pero...

- Hago ping del PC1 al PC2 y OK
- Ping del PC2 al Cisco: OK (logico, estan en la misma red)

- Hago ping del PC1 al cisco y no hay respuesta.

Tuve un problema con el PC2 y tuve que quitar en firewall para poder hacer ping con él desde fuera de su VLAN.

Que problema puede haber en la configuracion del cisco para que no le vea desde una vlan externa?

muchas gracias.

Si necesitas alguna informacion mas, dimelo y veré que puedo facilitarte.

Julio E. Moisa · ‎01-19-2018

Buenos dias Diego, como estas?

Claro con gusto revisamos, es posible que me compartas la configuración de ambos equipos para pode analizarlo? Tambien entre que direcciones IP se estan haciendo ping.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

diego.corral · ‎01-22-2018

Buenos dias Julio.

gracias por tu disponibilidad.

PC1 (VLAN23)

IP: 192.168.23.3

mask: 255.255.255.0

gateway: 192.168.23.1

PC2 (VLAN22)

IP: 192.168.22.5

mask:255.255.255.0

gateway: 192.168.22.2 (Puse el cisco como GW)

Cisco (VLAN22)

IP: 192.168.22.2

mask: 255.255.255.0

En el switch hay configurada esta ruta:

IP: 0.0.0.0

mask: 0.0.0.0

next: 192.168.22.2

El Cisco (creo que solo actua como firewall). Tiene definida una ACL del puerto

Vlan22 -> outside (ip, icmp permit)

Y la NAT:

192.168.22.0/24 -> outside

192.168.23.0/24 -> outside

- Al actuar sólo como firewall (esta parte tengo que confirmarla, pero me temo que es asi) a lo mejor debo permitir tambien el trafico de la vlan23 en el cisco y poner el enlace en modo trunk, me resultaria extraño?

- el PC2 se comunica bien con el CISCO, y navega por internet

- el PC1 hace ping al PC2, y a la IP (22.1) de la VLAN, pero no al CISCO

Muchas gracias

diego.corral · ‎01-22-2018

al ejecutar sobre el cisco el comando:

show firewall

aparece:

Firewall mode: Router

Julio E. Moisa · ‎01-22-2018

Buenos días Diego,

Voy a revisar la configuracion compartida, con respecto al firewall mode, esta bien, Router o tambien conocida como NAT, es utilizado para que el firewall permita varias direcciones IP, en modo transparente solo se permite 1 direccion IP.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

diego.corral · ‎01-29-2018

Hola Julio.

he estado buscando y he encontrado este Post de hace un tiempo:

http://www.redescisco.net/sitio/2010/10/14/configurando-enrutamiento-entre-vlans-utilizando-switches-multicapa-layer-3/

La comunicacion intervlan en un switch de nivel 3, esta todo OK. Lo que no entiendo es la parte de quitar el puerto donde está conectado el router el modo switchport, y habilitar OSPF en el switch.

Podria ser esta una solución a mi problema?

muchas gracias

Julio E. Moisa · ‎01-29-2018

Hola Diego

Si el L3 switch ya controla el inter vlan routing y este contiene los gateways de cada LAN, el cable entre entre el L3 Switch y el routers es usado como un punto a punto para hacer fluir las redes de cada dispositivo a traves de eso y que pueda haber comunicacion. Entonces:

El router tendra acceso a las LAN del L3 switch y el las LANs tendran acceso a la redes que conoce el routers.

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

diego.corral · ‎01-30-2018

nada.

El switch (AVAYA) que tenemos no soporta esa configuracion.

Sigo investigando como comunicar las VLAN con internet.

gracias