annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
1755
Visites
10
Compliment
7
Réponses

Autoriser ping à travers ASA FirePOWER

zonas
Level 1
Level 1

Bonjour à tous 

Merci de m'aider à trouver une solution à mon problème. 

J'ai configuré un Cisco ASA avec module FirePOWER et pour autoriser le ping à travers le firewall j'ai fait ces actions :

1. Ajouter inspection icmp au niveau de service policy global

2. Ajouter un ACL autorisant icmp

3. Ajouter Icmp access class au niveau du management

 

Malgré ces configurations j'ai ce comportement :

- le ping vers l'interface du pare-feu servant de passerelle pour l'hôte passe mais le ping vers les autres interfaces ne passe pas

- le ping d'un hôte dans une zone de niveau de sécurité inférieure passe mais le ping vers un hôte dans une zone de même niveau de sécurité ne passe pas.

 

Merci de m'aider. 

7 RÉPONSES 7

educruz
Cisco Employee
Cisco Employee

Bonjour,

 

Afin de mieux comprendre le scénario, je me pose les questions suivantes :

 

1. Comment cette ASA avec le module FirePOWER est-elle gérée ? (FMC ou ASDM ?)

2. Quelle version du logiciel ASA et le module FirePOWER ont-ils ?

3. Dans votre configuration attendue, ICMP est-il censé être inspecté par le module FirePOWER, ou est-il censé passer uniquement via ASA ?

4. Selon la réponse à la dernière question, quelles sont les zones configurées en ASA ou dans le module FirePOWER ?

5. L'objectif est-il de permettre au trafic ICMP de passer par l'ASA avec le module FirePOWER, ou l'objectif est-il de permettre à un hôte (source) de cibler spécifiquement l'ASA avec le module FirePOWER (comme destination) ?

6. S'il s'agit d'une ASA, avez-vous configuré les lignes suivantes pour autoriser le trafic intra et inter-zone de sécurité ?

"same-security-traffic permit inter-interface"
"same-security-traffic permit intra-interface"

 

Je reste à votre disposition. 

 

Merci beaucoup.

 

Bonne journée,

Eduardo CRUZ

Consulting Engineer @ Cisco Systems France

 

 

Bonjour @educruz 

 

Merci pour votre réponse. Je répond ci-dessous aux questions d'éclaircissement.

 

1. L'ASA est géré avec l'ASDM

2. C'est ASA5525 Version 9.14(2)14, FirePOWER Services Software Module Version 6.6.5.

3. Dans ma configuration actuelle et dans le but de trouver une solution, j'ai inspecté ICMP au niveau de l'ASA et du FirePOWER aussi. Mais peu importe.

4. Je mets la configuration des interfaces ci-dessous. Les mêmes zones sont configurées au niveau du FirePOWER.

 

interface GigabitEthernet0/0
description to Internet
nameif outside
security-level 0
ip address 10.140.10.10 255.255.255.252
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1.11
vlan 11
nameif users
security-level 100
ip address 10.140.11.254 255.255.255.0
!
interface GigabitEthernet0/1.13
vlan 13
nameif admin
security-level 100
ip address 10.140.13.254 255.255.255.0
!
interface GigabitEthernet0/1.14
vlan 14
nameif wifi_users
security-level 100
ip address 10.140.14.254 255.255.255.0
!
interface GigabitEthernet0/1.15
vlan 15
nameif wifi_guest
security-level 10
ip address 10.140.15.254 255.255.255.0
!
interface GigabitEthernet0/1.16
description Management interface
vlan 16
nameif Management
security-level 100
ip address 10.140.16.254 255.255.255.0
!
interface GigabitEthernet0/2
description to LAN_Servers
nameif servers
security-level 100
ip address 10.140.12.254 255.255.255.0
!
interface GigabitEthernet0/3
description to WAN
nameif wan
security-level 50
ip address 10.140.10.14 255.255.255.252
!

 

5. L'objectif est de permettre au trafic ICMP de passer l'ASA. Mais dans la configuration actuelle, le trafic ICMP passe si je suis dans une zone et je ping un hôte dans une zone avec un niveau de sécurité inférieur. Par exemple, un ordinateur A dans la zone users ping un hôte dans la zone wan et outside mais le ping de cet ordinateur A vers l'interface WAN (interface GigabitEthernet0/3) et l'interface outside (interface GigabitEthernet0/0) ne passent pas. Aussi, le ping de l'ordinateur A vers un autre ordinateur dans les zones "users", "admin", "wifi_users", "servers" ne passe pas.

L'objectif premier était de permettre aux ordinateurs dans la zone admin de pinger les serveurs dans la zone "servers".

 

6. OUI ces deux lignes sont configurées.

 

Merci beaucoup pour votre réponse. Je reste en écoute.

 

Bonne journée.

Jimena Saez
Community Manager
Community Manager

Bonjour @zonas 

Notre expert a besoin de plus de détails pour vous aider. Veuillez nous les fournir pour répondre à votre question le plus vite possible.

En fonction de la précision de vos réponses on pourra mieux vous aider. Rappelez-vous que vous pouvez suivre les conseils de nos experts dans cette vidéo: Comment avoir des réponses très rapidement?

Merci beaucoup.

 

Excellent weekend !

Jimena

Bonjour @Jimena Saez 

 

Merci beaucoup pour l'assistance.

 

Bonne journée à vous.

Meddane
VIP
VIP

L'ICMP est bloqué par défaut d'une zone de niveau supérieur vers une zone de niveau inférieur, pour l'autoriser faut ajouter le protocole ICMP dans l'inspection par défaut, il suffit juste d’exécuter la commande fixup procol icmp.

 

Par contre le traffic (y compris l'ICMP) est bloqué d'une zone de niveau inferieur vers une zone de niveau supérieur. Pour l'autoriser faut configurer une ACL qui autorise l'ICMP, ensuite l'appliquer sur l'interface de zone qui a l'niveau inférieur.

Bonjour @Meddane,

 

Merci pour votre réponse. 

J'apporte juste quelques précisions. Le protocole ICMP est ajouté à l'inspection par défaut et le ping d'une zone de niveau supérieur vers une zone de niveau inférieur marche mais le ping vers l'interface de l'ASA de la zone de niveau inférieur ne marche pas. 

 

Je ne voudrais pas autoriser le trafic ICMP d'une zone de niveau inférieur vers une zone de niveau supérieur. 

- Est-ce qu'il faut appliquer L'ACL sur l'interface de la zone de niveau inférieur avant que l'interface réponde aux messages icmp request? 

- Comment faire fonctionner le ping entre deux zones de même niveau ? 

 

Merci. 

@zonasle ping vers l'interface outside du ASA à partir d'une zone inside ne marche pas, c'est le comportement du ASA.

Pour autoriser le trafic entre deux PC dans differentes zones mais de niveau de sécurité identique, faut utiliser la commande suivante: same-security-traffic permit inter-interface