URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23614
[ Назад ]

Исходное сообщение
"Хотим спрятать сервера за cisco asa 5510"
Отправлено fireman2 , 13-Мрт-12 10:05

Провайдер предоставляет доступ в  internet по vlan 357 на наш catalyst 3560 (через порт в  trunk-режиме)
Выделенная нам подсеть провайдером:
62.x.x.48 255.255.255.240
шлюз провайдера:
62.x.x.49
Есть большое желание спрятать в DMZ за имеющейся cisco asa 5510 сервера. (В данный момент пока пробую на одном сервере)
Вот конфиг с asa
ASA Version 7.0(8)
!
hostname ciscoasa
domain-name *******.ru
enable password ******* encrypted
passwd ******* encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 62.x.x.55 255.255.255.240
!
interface Ethernet0/1
nameif DMZ
security-level 50a
ip address 192.168.7.2 255.255.255.0
!
interface Ethernet0/2
nameif inside
security-level 100
ip address 192.168.12.2 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www
pager lines 24
logging enable
logging buffered errors
logging trap notifications
logging asdm informational
logging host inside 192.168.12.194
mtu outside 1500
mtu DMZ 1500
mtu management 1500
mtu inside 1500
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (DMZ,outside) 62.x.x.54 192.168.7.4 netmask 255.255.255.255
access-group OUTSIDE_IN in interface outside
route outside 0.0.0.0 0.0.0.0 62.x.x.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username *** password *** encrypted
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.12.0 255.255.255.0 inside
telnet timeout 10
ssh 192.168.12.0 255.255.255.0 inside
ssh timeout 20
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
!
service-policy global_policy global
Cryptochecksum:21d1412bb8b291eb75ed67a80a655f37
: end
Что я сделал неверно?
П.С. Мне нужен доступ к серверу по www на 80 порт.
Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в такой конфигурации?

Содержание

Хотим спрятать сервера за cisco asa 5510,apex2009, 12:06 , 13-Мрт-12
- Хотим спрятать сервера за cisco asa 5510,fireman2, 12:20 , 13-Мрт-12
  - Хотим спрятать сервера за cisco asa 5510,apex2009, 12:34 , 13-Мрт-12
    - Хотим спрятать сервера за cisco asa 5510,fireman2, 14:27 , 13-Мрт-12
      - Хотим спрятать сервера за cisco asa 5510,ivan, 15:34 , 09-Апр-13

Сообщения в этом обсуждении

"Хотим спрятать сервера за cisco asa 5510"
Отправлено apex2009 , 13-Мрт-12 12:06

> Провайдер предоставляет доступ в internet по vlan 357 на наш catalyst
>
> Что я сделал неверно?
> П.С. Мне нужен доступ к серверу по www на 80 порт.
> Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в
> такой конфигурации?
покажите вывод комманды sh run access-list

"Хотим спрятать сервера за cisco asa 5510"
Отправлено fireman2 , 13-Мрт-12 12:20

>> Провайдер предоставляет доступ в internet по vlan 357 на наш catalyst
>>
>> Что я сделал неверно?
>> П.С. Мне нужен доступ к серверу по www на 80 порт.
>> Возможно ли что нужна дополнительная настройка на оборудовании провайдера для работы в
>> такой конфигурации?
> покажите вывод комманды sh run access-list
ciscoasa# sh run access-list
access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www
В итоге с таким конфигом и такой подачей инета имею:
трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по данному ip из инета сервер не доступен...

"Хотим спрятать сервера за cisco asa 5510"
Отправлено apex2009 , 13-Мрт-12 12:34

> ciscoasa# sh run access-list
> access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www
> В итоге с таким конфигом и такой подачей инета имею:
> трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по
> данному ip из инета сервер не доступен...
я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host 192.168.7.4 eq 80
у меня по аналогичному правилу есть доступ по 80 порту
еще бы поробовал для начала открыть доступ any any к серверу, посмотреть все ли отрабытывает правильно, а потом уже закрывал
во всяком случае у нас совпадают конфиги и IOS

"Хотим спрятать сервера за cisco asa 5510"
Отправлено fireman2 , 13-Мрт-12 14:27

>[оверквотинг удален]
>> access-list OUTSIDE_IN extended permit tcp any host 62.x.x.54 eq www
>> В итоге с таким конфигом и такой подачей инета имею:
>> трассировка к asa работает, трассировака к ip 62.x.x.54 не работает... и по
>> данному ip из инета сервер не доступен...
> я бы попробовал вот так: access-list OUTSIDE_IN extended permit tcp any host
> 192.168.7.4 eq 80
> у меня по аналогичному правилу есть доступ по 80 порту
> еще бы поробовал для начала открыть доступ any any к серверу, посмотреть
> все ли отрабытывает правильно, а потом уже закрывал
> во всяком случае у нас совпадают конфиги и IOS
Не помогло...
Сформулирую более конкретные вопросы:
1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)?
2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать
static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255
ERROR: Static PAT using the interface requires the use of the 'interface' keyword instead of the interface IP address
(Надеюсь, идея понятна: наклепать подинтерфейсов, на каждый реальный ip, и сделать проброс конкретного подинтерфейса на конкретный сервер)

"Хотим спрятать сервера за cisco asa 5510"
Отправлено ivan , 09-Апр-13 15:34

>[оверквотинг удален]
> Не помогло...
> Сформулирую более конкретные вопросы:
> 1.Может ли быть проблема в том, что шлюз 62.x.x.49 не знает что
> адрес 62.х.х.54 надо искать за 62.х.х.55 (62.х.х.55 - адрес asa)?
> 2.Как сделать проброс 62.х.х.55 на произвольный сервер за asa? При попытке написать
> static (DMZ,outside) 62.183.98.54 192.168.7.4 netmask 255.255.255.255
> ERROR: Static PAT using the interface requires the use of the 'interface'
> keyword instead of the interface IP address
> (Надеюсь, идея понятна: наклепать подинтерфейсов, на каждый реальный ip, и сделать проброс
> конкретного подинтерфейса на конкретный сервер)
у меня так сделано:
static (lan,wan) tcp interface 1541 (адрес сервера внутри сети) 1541 netmask 255.255.255.255
static (lan,wan) tcp interface 1560 (адрес сервера внутри сети) netmask 255.255.255.255
static (lan,wan) tcp interface www (адрес сервера внутри сети) www netmask 255.255.255.255