ASA 5505 - inter VLANS and Internet access

SylvainLT · ‎16-02-2020

Bonjour,

Je suis débutant sur ASA et j'ai des problèmes pour configurer les vlans. Pouvez-vous m'aider s'il vous plaît ?
Je voudrais créer un nouveau réseau pour quelques ordinateurs qui ne seront pas dans le réseau principal mais pourront accéder voie Internet.
J'ai deux VLAN sur mon ASA 5505,
VLAN1: Port ethernet / 1,2,3,4,6,7. Adresse IP: 192.168.1.248 (réseau principal, numéro de port 4 connecté sur un commutateur). Security-level: 100.
VLAN2: Ethernet 0 : internet access

Aucun problème, les utilisateurs du VLAN1 peuvent accéder à Internet.

J'ai créé un nouveau VLAN:
VLAN154: Port ethernet 5. Adresse IP: 192.168.2.1

J'ai utilisé ces commandes:
interface vlan 154
nameif test
security-level 100
ip address 192.168.2.1 255.255.255.0
no shutdown

interface ethernet0/5
switchport access vlan 154
no shutdown

Sur l'ASA, je peux le pinguer (si je branche le port numéro 5 au commutateur).
À partir d'un ordinateur (192.168.2.X), je ne peux pas pinguer 192.168.2.1, mais je peux pinguer 192.168.1.248…

Si je fais un show run policy-map j'obtiens « Inspecter icmp »
J'ai crée également une règle pour autoriser icmp sur l'interface sans aucun résultat.
Si je branche l'ASA seulement sur le port 4, est-ce que je peux pinguer le vlan154 ? Je ne veux pas brancher les ports 4 et 5 au réseau (sous peur de faire une boucle).
Je ne sais pas si je dois utiliser l’option TRUNK.
J'ai utilisé le lien ci-dessous pour créer mon VLAN2 https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/int5505.html

Merci de votre aide
Cordialement

Texte original :

Hello,

I'm a beginer on ASA on I have some problems to configure vlans. Can you help me please ?
I would like to create a new network for a few computers which will not be in the main network but will be able to access the internet.

I have two VLANS on my Asa 5505,
VLAN1 : ethernet port/1,2,3,4,6,7. IP address : 192.168.1.248 (main network, port number 4 connected on a switch). Security-level: 100.
VLAN2 : ethernet 0 : internet access
No problems, vlan1 users can access the internet.
I have created a new VLAN:
VLAN154: Ethernet port 5. IP address: 192.168.2.1

I used these commands:
interface vlan 154
nameif test
security-level 100
ip address 192.168.2.1 255.255.255.0
no shutdown

interface ethernet0/5
switchport access vlan 154
no shutdown

On the ASA, I can ping itself (if I plug the port number 5 to the switch).
From a computer (192.168.2.X), I can’t ping 192.168.2.1, but I can ping 192.168.1.248…
If I do a show run policy-map I have “inspect icmp”

I also create a rule to allow icmp on the interface. But no change.
If I plugged the ASA only on port 4, can I ping vlan154 ? I don’t want to plug port number 4 and 5 to the network (fear of making a loop).

I don’t know if I should use TRUNK option.
I used the link below to create my VLAN2.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/int5505.html

Thank you for your help
sincerely

Francesco Molino · ‎17-02-2020

Bonjour

Je pense que vous parlez français donc je vais répondre en français car nous sommes sur l'espace francophone.
Si ce n'est pas le cas, laissez moi savoir et je répondrais en anglais.

Pouvez vous me dire quels ports sont actuellement connectés depuis votre asa vers le switch?
Pouvez vous partager votre configuration svp?

Connecter les ports 4 et 5 n'impliquera aucune loop si elles sont dans 2 vlans différentes.
Vous pouvez effectivement faire un trunk entre le switch et asa si vous ne voulez pas connecter plusieurs câbles.

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

SylvainLT · ‎17-02-2020

Bonjour,

Merci pour votre réponse, le français me conviendra mieux en effet.

Actuellement l'ASA est connecté sur le réseau via le port n°4.

J'ai lu qu'il n'était pas possible de rajouter une IP secondaire sur l'ASA 5505 c'est pourquoi je pense qu'il est nécessaire de paramétrer une VLAN qui communiquera avec la 1ère, pour l'accès internet.

J'ai relié l'ASA via le port n°5, sur lequel j'ai paramétré cette VLAN et je n'ai pas de soucis de loop.

En étant sur l'ASA, je ping bien son interface, mais pas les postes clients. Les postes clients ne ping pas l'ASA sur cette nouvelle adresse (192.168.2.1).

Voici une partie de la configuration. (j'ai enlevé une partie concernant les connexions VPN, et quelques règles en lien avec nos serveurs et en modifiant les IP).

Je ne sais pas s'il faut faire une règle de nat, un trunk... comme je n'ai pas d'environnement de test, j'évite un peu les modifications.

Cordialement

ASA Version 9.2(3)
!
hostname xxxxx

names
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 154
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.248 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group N/A
ip address pppoe setroute
!
interface Vlan154
nameif novair
security-level 100
ip address 192.168.2.1 255.255.255.0
!
boot system disk0:/asa923-k8.bin
ftp mode passive
clock timezone WFT 12
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name xxxxx.xxx
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network w***.***.***;***_fwsia1_inet
host ***.***.***;***
object network w192.168.1.1
host 192.168.1.1
description Messagerie
object network n192.168.0.0_16
subnet 192.168.0.0 255.255.0.0

access-list inside_access_in_1 extended permit ip object n192.168.0.0_16 object n192.168.0.0_16
access-list inside_access_in_1 extended permit ip any any

access-list novair_access_in remark allow icmp
access-list novair_access_in extended permit icmp any any
no pager
logging enable
logging console debugging
logging monitor debugging
logging buffered informational
logging trap critical

mtu inside 1500
mtu outside 1500
mtu novair 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
asdm image disk0:/asdm-732.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat1
nat (outside,inside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup inactive description reglenat2
nat (outside,outside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat3
nat (inside,inside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat4
nat (inside,outside) source static w192.168.150.90_station_sat interface service t23_telnet t23_telnet no-proxy-arp
nat (inside,outside) source static n192.168.1.0_24_Sia n192.168.1.0_24_Sia destination static NETWORK_OBJ_***.***.***.*** NETWORK_OBJ_***.***.***.*** no-proxy-arp route-lookup
!
object network obj_any
nat (any,outside) dynamic interface

access-group inside_access_in_1 in interface inside
access-group global_access global
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable 8443
http 192.168.1.0 255.255.255.0 inside
http 192.168.255.0 255.255.255.0 inside
http redirect outside 80
snmp-server host inside 192.168.1.151 community ***** version 2c
snmp-server location Salle Serveur
snmp-server contact informatique@***.***
snmp-server community *****
snmp-server enable traps snmp linkup linkdown coldstart warmstart
no snmp-server enable traps snmp authentication
snmp-server enable traps memory-threshold
snmp-server enable traps interface-threshold
snmp-server enable traps remote-access session-threshold-exceeded
snmp-server enable traps connection-limit-reached
snmp-server enable traps cpu threshold rising
sysopt noproxyarp inside
sysopt noproxyarp outside

!
class-map global-class
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 4096
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect snmp
class class-default
user-statistics accounting
policy-map global-policy
class global-class
inspect icmp
inspect icmp error
class class-default
user-statistics accounting
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
hpm topN enable

Francesco Molino · ‎17-02-2020

Pouvez vous rajouter la commande

icmp permit any novair

Ca devrait régler le ping.

Je vous vois que vous avez créé une acl novair_access_in mais elle n'est pas rattachée à l'interface donc il va utiliser la global acl.

Pour la rattacher:

access-group novair_access_in in interface novair

Pour la nat, il y a une nat any vers outside, avez vous vérifié si internet est accessible depuis les postes de ce nouveau vlan?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

SylvainLT · ‎17-02-2020

Francesco,

J'ai ajouté les 2 commandes mais malheureusement le ping ne passe toujours pas (des 2 côtés).

Francesco Molino · ‎17-02-2020

Ca ne passe pas des 2 côté, ca veut dire quoi exactement? Host du vlan 15 peut pas pinger le fw et inversement?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

SylvainLT · ‎17-02-2020

L'ASA ne ping pas les PC clients et les clients ne ping pas l'ASA.

SylvainLT · ‎17-02-2020

Lorsque j'utilise l'outil "Packet tracer", sur l'interface "novair" il y'a un drop au niveau de la dernière acces-list "implicit rule" de la section "global". Je ne comprends pas pourquoi elle bloque le paquet.

Francesco Molino · ‎18-02-2020

Pouvez vous repartager la config avec les changements effectués svp? Aussi pouvez vous partager la copie du packet-tracer pour voir?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

SylvainLT · ‎18-02-2020

Ce qui est étonnant. Je me suis connecté sur mon Asa, j'ai fait un ping 192.168.154.2, qui a répondu, j'ai refait 1min après la même commande, sans rien modifier : echec du ping...

ASA Version 9.2(3)
!
hostname fwsia1
domain-name xxxxx.xxx
enable password rVeXZrzBv894SJrQ encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 154
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.248 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group N/A
ip address pppoe setroute
!
interface Vlan154
nameif novair
security-level 100
ip address 192.168.2.1 255.255.255.0
!
boot system disk0:/asa923-k8.bin
ftp mode passive
clock timezone WFT 12
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.1.2
domain-name xxxxx.xxx

access-list inside_access_in_1 extended permit ip object n192.168.0.0_16 object n192.168.0.0_16
access-list inside_access_in_1 extended permit ip any any
access-list inside_access_in_1 remark Visio Lifesize : autorisation HTTPS
access-list inside_access_in_1 extended permit object t443_HTTPS any any
access-list global_access extended permit ip object n192.168.0.0_16 object n192.168.0.0_16
access-list global_access extended deny ip object w163.172.0.0 object n192.168.1.0_24_Sia
access-list global_access extended deny ip object w163.172.0.0 object w163.172.0.0
access-list outside_cryptomap_3 extended permit ip object n192.168.1.0_24_Sia host 172.16.10.10
access-list novair_access_in extended permit icmp any any
no pager
logging enable
logging console debugging
logging monitor debugging
logging buffered informational
logging trap critical
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu novair 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit host 117.20.36.98 outside
icmp permit host 117.20.37.95 outside
icmp permit host 117.20.37.104 outside
icmp permit any novair
asdm image disk0:/asdm-732.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat1
nat (outside,inside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup inactive description reglenat2
nat (outside,outside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat3
nat (inside,inside) source static n192.168.0.0_16 n192.168.0.0_16 destination static n192.168.0.0_16 n192.168.0.0_16 no-proxy-arp route-lookup description reglenat4
nat (inside,outside) source static n192.168.1.0_24_Sia n192.168.1.0_24_Sia destination static NETWORK_OBJ_172.16.10.10 NETWORK_OBJ_172.16.10.10 no-proxy-arp route-lookup
!
access-group inside_access_in_1 in interface inside
access-group novair_access_in in interface novair
access-group global_access global
route outside 172.16.10.10 255.255.255.255 117.20.36.109 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable 8443
http 192.168.1.0 255.255.255.0 inside
http 192.168.255.0 255.255.255.0 inside
http redirect outside 80
snmp-server host inside 192.168.1.151 community ***** version 2c
snmp-server location Salle Serveur
snmp-server contact *******@*****.***
snmp-server community *****
snmp-server enable traps snmp linkup linkdown coldstart warmstart
no snmp-server enable traps snmp authentication
snmp-server enable traps memory-threshold
snmp-server enable traps interface-threshold
snmp-server enable traps remote-access session-threshold-exceeded
snmp-server enable traps connection-limit-reached
snmp-server enable traps cpu threshold rising
sysopt noproxyarp inside
sysopt noproxyarp outside

no ssh stricthostkeycheck
ssh 192.168.150.0 255.255.255.0 inside
ssh 192.168.255.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
no ipv6-vpn-addr-assign aaa
no ipv6-vpn-addr-assign local

dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 115.126.160.4 source outside
ntp server 121.0.0.41 source outside
ntp server 202.127.210.36 source outside
ntp server 202.127.210.37 source outside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 outside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside
webvpn
enable inside
enable outside
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect image disk0:/anyconnect-macosx-i386-4.0.00051-k9.pkg 2
anyconnect profiles ADSWF_RA_VPN_profile disk0:/adswf_ra_vpn_profile.xml
anyconnect enable
tunnel-group-list enable
group-policy test2 internal
group-policy test2 attributes
banner value Bienvenue sur le test de l'ADSWF
wins-server none
dns-server value 192.168.1.2
vpn-tunnel-protocol l2tp-ipsec
default-domain value adswf.org
split-tunnel-all-dns disable
msie-proxy server value 192.168.1.2:3128
msie-proxy except-list value 127.*;*.adswf.org;192.168.*
msie-proxy local-bypass enable
msie-proxy lockdown disable
webvpn
anyconnect profiles value ADSWF_RA_VPN_profile type user
anyconnect ask none default anyconnect
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec ssl-clientless
group-policy GroupPolicy_117.20.36.109 internal
group-policy GroupPolicy_117.20.36.109 attributes
vpn-tunnel-protocol ikev1 ikev2
group-policy ADSWF_Site2SiteVPN_GrpPolicy internal
group-policy ADSWF_Site2SiteVPN_GrpPolicy attributes
banner value Bienvenue sur le service d'acces aÂ distance de l'ADSWF !
vpn-tunnel-protocol ikev1 ikev2
split-tunnel-policy excludespecified
ipv6-split-tunnel-policy excludespecified
split-tunnel-network-list none
split-dns none
webvpn
anyconnect ask none default anyconnect
group-policy ADWSF_Client2LAN_GrpPolicy internal
group-policy ADWSF_Client2LAN_GrpPolicy attributes
banner value Bienvenue sur le reseau de l'ADSWF
wins-server none
dns-server value 192.168.1.2 117.20.32.54
vpn-tunnel-protocol ikev2 ssl-client
default-domain value adswf.org
msie-proxy server value 192.168.1.2:3128
msie-proxy method use-server
msie-proxy except-list value 127.*;*.*****.***;192.168.*
msie-proxy local-bypass enable
msie-proxy lockdown disable
webvpn
anyconnect profiles value ADSWF_RA_VPN_profile type user
anyconnect ask none default anyconnect
!
class-map global-class
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 4096
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect snmp
class class-default
user-statistics accounting
policy-map global-policy
class global-class
inspect icmp
inspect icmp error
class class-default
user-statistics accounting
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
hpm topN enable

SylvainLT · ‎18-02-2020

Le problème semble provenir du switch sur lequel l'ASA est branché.

Si je branche un PC directement sur le port n°5 de l'ASA, je ping bien l'ASA et inversement. Le switch Cisco 2960-X semble ne pas faire transiter le flux.

Je constate que tous les ports de ce switch sont paramétrés pour être dans le vlan1. Je dois donc créer un vlan 154 sur ce switch puis associer le port au vlan 154 qui devrai, je suppose, résoudre le problème.

UPDATE : j'ai créé la vlan et associé le port. Je ping l'ASA depuis le switch mais depuis le switch je ne ping pas les PC clients. l'ASA ping le switch mais pas les postes clients. J'ai donc un travail a faire sur le SW.

Francesco Molino · ‎21-02-2020

Pouvez vous partager la config du switch svp?
Quels postes clients essayez vous de pinger depuis le switch?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

ASA 5505 - inter VLANS and Internet access

Liens rapides