Всем доброй ночи, подсобите пж кто может расшарить внутрение сервера через ASA 5505:Сетевые настройки АСы:
1 сеть в офис - 192.168.0.111
2 сеть кот смотрит в сторону одной фирмы - 10.4.248.34, здесь же подымаем туннель с фирмой обращаясь на 10.4.248.5
3 сеть внешняя со стат. айпи, к примеру 99.99.99.99Внутренние сервера:
192.168.0.189:ftp
192.168.0.189:http
10.24.1.30:citrix(по IPSec туннелю)Задачи:
1. дать доступ с внешних адресов (через 99.99.99.99) на внутренние сервера: ftp+http в 192.168.0.0/24 сети и доступ на ситрикс-серевер к которому есть доступ только по ipsec туннелю от адресов сети 10.25.212.0/24.Чтор имеем в рез-те:
1. На 192.168.0.189:21 через 99.99.99.99:21 доступ настроен, по пассивному режиму работает, хотелось бы чтоб в активном режиме заработало.2. На 192.168.0.189:80 через 99.99.99.99:80 доступ есть, страницы открываются вроде, но очень медленно, логи показывают:
Deny tcp src unet:88.88.88.88/4302 dst office:99.99.99.99/80 by access-group "outside_access_in_ftp" [0x0, 0x0] - сам пробовал, дальше пока не получилось пройти.3. При попытке зайти на 10.24.1.30:1494 через 99.99.99.99:1494 вообще не пускает, логи показывают:
Built inbound TCP connection 2135 for unet:88.88.88.88/2715 (88.88.88.88/2715) to bnk:10.24.1.30/1494 (99.99.99.99/1494) а потом
Teardown TCP connection 2135 for unet:88.88.88.88/2715 to bnk:10.24.1.30/1494 duration 0:00:30 bytes 0 SYN Timeout
- думаю что дело в роутах, возм обратно пакет незнает как выйти?ну вот, собственно и все, конфиг:
ASA Version 8.0(2)
!
hostname asa5505
enable password 8Ry2YjI5ytRRXU24 encrypted
names
!
interface Vlan1
nameif bnk
security-level 0
ip address 10.4.248.34 255.255.255.0
!
interface Vlan2
nameif office
security-level 100
ip address 192.168.0.111 255.255.255.0
!
interface Vlan3
nameif unet
security-level 0
ip address 99.99.99.99 255.255.255.252
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 3
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
passwd 7tLIzQOwZRnf34Qg encrypted
ftp mode passive
same-security-traffic permit inter-interface
object-group network Clients
network-object host 192.168.0.77
network-object host 192.168.0.177
network-object host 192.168.0.150
object-group network Server
network-object 10.4.248.5 255.255.255.255
network-object 10.24.1.29 255.255.255.255
network-object 10.24.1.30 255.255.255.255
network-object 10.24.1.31 255.255.255.255
object-group service DM_INLINE_SERVICE_1
service-object tcp eq citrix-ica
service-object udp eq 1604
access-list vpn extended permit ip 10.25.212.0 255.255.255.0 10.24.1.0 255.255.255.0
access-list lan extended permit tcp object-group Clients object-group Server eq citrix-ica
access-list lan extended permit udp object-group Clients object-group Server eq 1604
access-list lan extended permit icmp object-group Clients object-group Server
access-list lan extended permit tcp any any eq www inactive
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any source-quench
access-list 101 extended permit icmp any any unreachable
access-list 101 extended permit icmp any any time-exceeded
access-list outside_access_in_1494 extended permit tcp any interface unet eq citrix-ica
access-list bnk_access_in extended permit tcp any interface bnk eq citrix-ica
access-list outside_access_in extended permit ip host 88.88.88.88 interface unet inactive
access-list outside_access_in extended permit tcp host 88.88.88.88 interface unet eq ftp
access-list outside_access_in_www extended permit tcp host 192.168.0.189 interface unet eq www
access-list outside_access_in_www extended permit tcp host 88.88.88.88 interface unet eq www
access-list outside_access_in_www extended permit tcp host 88.88.88.88 interface unet eq 3389
access-list outside_access_in_www extended permit tcp any any eq citrix-ica inactive
access-list unet_access_out extended permit tcp host 192.168.0.189 any eq www
access-list outside_access_in_ftp extended permit tcp any interface unet eq ftp
access-list outside_access_in_ftp extended permit object-group DM_INLINE_SERVICE_1 any interface unet
access-list 20-21 extended permit ip host 192.168.0.189 any
pager lines 24
logging enable
logging buffered debugging
logging asdm informational
mtu bnk 1500
mtu office 1500
mtu unet 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
static (bnk,unet) tcp interface citrix-ica 10.24.1.30 citrix-ica netmask 255.255.255.255
static (bnk,unet) udp interface 1604 10.24.1.30 1604 netmask 255.255.255.255
static (office,unet) tcp interface www 192.168.0.189 www netmask 255.255.255.255
static (office,unet) tcp interface 3389 192.168.0.178 3389 netmask 255.255.255.255
static (office,unet) tcp interface ftp 192.168.0.189 ftp netmask 255.255.255.255
static (office,bnk) 10.25.212.1 88.88.88.88 netmask 255.255.255.255
static (office,bnk) 10.25.212.2 192.168.0.150 netmask 255.255.255.255
static (office,bnk) 10.25.212.3 192.168.0.177 netmask 255.255.255.255
access-group outside_access_in_1494 in interface bnkaccess-group lan in interface office
access-group outside_access_in_ftp in interface unetaccess-group unet_access_out out interface unet
route unet 0.0.0.0 0.0.0.0 99.99.99.98 1
route bnk 10.24.1.0 255.255.255.0 10.4.248.5 1
- Показать цитируемый текст -
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.150 255.255.255.255 office
http 192.168.0.77 255.255.255.255 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map mymap 10 match address vpn
crypto map mymap 10 set pfs
crypto map mymap 10 set peer 10.4.248.5
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set security-association lifetime seconds 2700
crypto map mymap interface bnk
crypto isakmp enable bnk
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.0.77 255.255.255.255 office
telnet timeout 5
ssh 192.168.0.77 255.255.255.255 office
ssh timeout 60
console timeout 0threat-detection basic-threat
threat-detection statistics
!
class-map INSPECT
match default-inspection-traffic
!
!
policy-map global_policy
class INSPECT
inspect icmp
inspect ftp
!
service-policy global_policy global
ntp server 192.168.0.111 source office
tunnel-group 10.4.248.5 type ipsec-l2l
tunnel-group 10.4.248.5 ipsec-attributes
pre-shared-key *
prompt hostname context
Cryptochecksum:9d158428c73be5ef0eae961b2fceea3f
: end
asdm image disk0:/asdm-602.bin
no asdm history enableКто чем сможет дайте подсказку пж, заранее благодарю!
хмм.. доступ к серверу систрикс пропал, не пигует, видимо acl накрутил..