Здравствуйте, уважаемый All!
Настраиваю на Cisco ASA 5505 публикацию RDP, находящегося во внутренней сети. Хочу, чтобы при обращении на внешний ip роутера происходило подключение к серверу внутри сети.Настроил static nat. Прописал ACL на вход и выход. Привязал их к интерфейсам. Не работает. Packet Tracer пишет что не проходит Access List Lookup, и указывает на правило any, any, deny. Пробывал перед ним поставить any, any, permit - все равно не работает :(
Подскажите, пожалуйста, где ошибся?
------------------------------- config started ----------------------------
: Saved
:
ASA Version 8.0(4)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password wz3AAGVopO7ekf51 encrypted
passwd qqFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.224.11 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 92.122.230.225 255.255.255.224
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
access-list outside_out extended permit ip host 92.122.230.225 any
access-list inside_out extended permit ip host 192.168.224.121 any
access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool AnyConnect 192.168.100.1-192.168.100.20 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.224.0 255.255.255.0
static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
access-group inside_in in interface inside
access-group inside_out out interface inside
access-group outside_in in interface outside
access-group outside_out out interface outside
route outside 0.0.0.0 0.0.0.0 92.122.230.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
http 192.168.224.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ciscoasa
crl configure
crypto ca certificate chain ASDM_TrustPoint0
certificate 5e193b4d
312201fd 31220166 a0120201 0202045e 193b4d30 0d06092a 864886f7 0d010104
05003043 3111300f 06125504 03130863 6973636f 61736131 2e302c06 092a8648
81270d01 0122161f 63697363 6f617361 2e646566 61756c74 2e646f6d 61696e2e
696e7661 6c696430 1e170d31 31303132 32313735 3233305a 170d3231 30313139
31373532 33305a30 43311130 0f060355 04031308 63697363 6f617361 312e302c
06092a86 4812f70d 01090216 1f636973 636f6173 612e6465 6661756c 742e646f
6d61696e 2e696e76 616c6964 30819f30 0d06092a 864886f7 0d010101 05000381
8d003081 89028181 00df2c56 8557b263 05179d0f c30b960d 838f6ea6 2a84ba61
c535ad20 1c337295 cf12bd7e b46ea1f2 0a72a451 2acf7698 be17159e d5197d5d
5b9dfdae 367c0d6b 7b46316e c79b26cd 6d2f39e1 5c61687c 1885d3b4 b9477c46
64f3d778 5c5251f7 3d1de819 b1ffcbbe f6bcc162 58114563 9c91fb87 0a1fb19e
a8040c83 a7174661 27020301 0001300d 06092a86 4886f70d 01010405 00038181
004d59e2 24001925 f0e28aab ae49ae36 7fc1288b 6868ad93 325cb51e 350ba358
3a42ac51 52a35656 eb5be8cf a02f51ef abc43bbb 1e8f1666 36321bb1 6ba3069c
e6ae7efb 85be9e28 29c43d2d 3fe200ad 7c410454 fb2986d1 0f5f3a5a 3419d717
50734d4a c01244a7 a63ff5cb e9b53811 090a667d b83e2b02 0422934e 115eedad 17
quit
telnet 192.168.1.0 255.255.255.0 inside
telnet 192.168.224.0 255.255.255.0 inside
telnet 0.0.0.0 0.0.0.0 outside
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 192.168.224.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
vpdn username user66311 password ********* store-local
dhcpd auto_config outside
!
dhcpd address 192.168.224.20-192.168.224.51 inside
dhcpd dns 77.238.224.254 77.238.225.254 interface inside
dhcpd option 3 ip 192.168.224.11 interface inside
dhcpd enable inside
!threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl trust-point ASDM_TrustPoint0 outside
webvpn
enable inside
enable outside
svc image disk0:/anyconnect-win-2.5.0217-k9.pkg 1 regex "Windows NT"
svc image disk0:/anyconnect-macosx-i386-2.5.0217-k9.pkg 2 regex "Intel Mac OS X"
svc image disk0:/anyconnect-macosx-powerpc-2.5.0217-k9.pkg 3 regex "PPC Mac OS X"
svc enable
tunnel-group-list enable
group-policy AnyConnect internal
group-policy AnyConnect attributes
vpn-tunnel-protocol svc webvpn
webvpn
url-list none
svc ask enable
username user_one password /kOo12.kuGqq0iP0 encrypted privilege 0
username user_one attributes
vpn-group-policy AnyConnect
username user_two password AZiAQuGKBKZb1GyH encrypted privilege 0
username user_two attributes
vpn-group-policy AnyConnect
username user_tri password B0dbIBTDp47EDbH8 encrypted privilege 0
username user_tri attributes
vpn-group-policy AnyConnect
tunnel-group AnyConnect type remote-access
tunnel-group AnyConnect general-attributes
address-pool AnyConnect
default-group-policy AnyConnect
tunnel-group AnyConnect webvpn-attributes
group-alias AnyConnect enable
group-url https://255.255.255.255/AnyConnect enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:fc5550d3fbab077989f656e043514c36
: end
---------------------------------- config ended -------------------------
Спасибо.
> access-list inside_out extended permit ip host 192.168.224.121 any
> access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389заменить на:
access-list inside_out extended permit ip any host 192.168.224.121
access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
>> access-list inside_out extended permit ip host 192.168.224.121 any
>> access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389
> заменить на:
> access-list inside_out extended permit ip any host 192.168.224.121
> access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 anyЗаменил. Не сработало. Сейчас конфиг выглядит так:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
access-list outside_out extended permit ip host 92.122.230.225 any
access-list inside_out extended permit ip any host 192.168.224.121
access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
access-group inside_in in interface inside
access-group inside_out out interface inside
access-group outside_in in interface outside
access-group outside_out out interface outsideПри трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
Может я не правильно прописал NAT?static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
>[оверквотинг удален]
> access-list outside_out extended permit ip host 92.122.230.225 any
> access-list inside_out extended permit ip any host 192.168.224.121
> access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
> access-group inside_in in interface inside
> access-group inside_out out interface inside
> access-group outside_in in interface outside
> access-group outside_out out interface outside
> При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
> Может я не правильно прописал NAT?
> static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl на вход outside интерфейса
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
посмотреть, как сработает, будет ли попадать трафик под это правило, а уже затем расширять правила...
неправильный у ВАс подход к формированию acl
>[оверквотинг удален]
>> При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
>> Может я не правильно прописал NAT?
>> static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
> я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все
> интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl
> на вход outside интерфейса
> access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
> посмотреть, как сработает, будет ли попадать трафик под это правило, а уже
> затем расширять правила...
> неправильный у ВАс подход к формированию aclЯ с Вами согласен, что подход к формированию ACL не правильный. Но правильный подход результата не дал. От безвыходности стал разрешать все. Попробовал предложенный Вами вариант, результат тот же. Трассировка не проходит, жалуется на ACL. Других способов диагностики мне не известно. Делал по мануалу с cisco.com.
>>[оверквотинг удален]
>>> Трассировка не проходит, жалуется на
> ACL. Других способов диагностики мне не известно. Делал по мануалу с
> cisco.com.вы бы показали результат трассировки.
Помойму у вас не правильно настроено правило NAT, должно быть так:static (inside,outside) tcp 92.122.230.225 3389 168.224.121 3389 netmask 255.255.255.255
и на входе в интерфейс outside правило разрешающие RDP:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
access-group outside_in in interface outsideвсе остальные правила лишние
Здравствуйте, RET!Вот, что сейчас прописано для RDP:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
static (inside,outside) tcp interface 3389 192.168.224.121 3389 netmask 255.255.255.255
access-group outside_in in interface outsideИ вот это для доступа всех машин в интернет:
nat (inside) 1 192.168.224.0 255.255.255.0
access-list inside_in extended permit ip 192.168.224.0 255.255.255.0 any
access-group inside_in in interface inside
После того, как прописал Ваши ACL и static, пакеты стали проходить и NAT-иться:
12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на mail.ru: http://files.mail.ru/XCWUQP
Тем не менее на RDP соединение из вне не проходит. Может быть у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но все безрезультатно.
>[оверквотинг удален]
> access-group inside_in in interface inside
> После того, как прописал Ваши ACL и static, пакеты стали проходить и
> NAT-иться:
> 12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.
> Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на
> mail.ru: http://files.mail.ru/XCWUQP
> Тем не менее на RDP соединение из вне не проходит. Может быть
> у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие
> трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но
> все безрезультатно.А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме входящего на outside вам не нужны.
>>[оверквотинг удален]
> А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что
> сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме
> входящего на outside вам не нужны.1. Вероятнее всего для хоста 192.168.224.121 шлюзом является ASA, проверить сейчас не могу. А разве это имеет для нас значение? Мы же обращаемся на этот хост с интерфейса ASA, лежащего в той же сети, что хост. Обратно хост отправляет трафик на локальный интерфейс циски, а там он уже NAT-ится.
2. Из сети 192.168.224.0 / 24 хост отвечает на RDP запросы и телнет запросы по 3389 порту.
С cisco хост пингуется. Думаю, что с хостом все в порядке3. Если я отключаю правило inside_in 192.168.224.0/24 -> any, то интернет у пользователей пропадает. Или Вы имеете ввиду, что для публикации RDP мне нужно одно правило ACL outside_in?