Você esqueceu a licença em uso, mas, considerando a "sem interface de encaminhamento Vlan300", estou assumindo a licença "Base".
De qualquer forma, por que essas declarações?
same-security-traffic permit intra-interface ... access-list opc-access-in extended permit tcp host 192.168.77.4 host 192.168.77.50 eq 44818 ... access-group opc-access-in in interface VLAN-OPC
Parece que eles tentam filtrar o tráfego entre hosts nas mesmas sub-redes, mas esse tráfego não deve cruzar o firewall, não é? Quem é 192.168.77.50? A única coisa que posso pensar é que você está tentando mapear o dispositivo industrial com um IP da rede OPC ... fazendo "static (VLAN-AWTP, VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255" e aplicando intra-interface e assim por diante.
Além disso, as interfaces totalmente funcionais têm o mesmo nível de segurança (0) e, além disso, as políticas de serviço aplicadas a interfaces específicas não fazem muito sentido para mim.
Por favor, não me entenda mal, mas eu estou apenas tentando descobrir o quadro geral.
Indo para as possíveis soluções que posso pensar:
-
Como existem diferentes variantes de RPC e como o RPC usa um mapeador de ponto final (EPM) para gerar novas conexões para o cliente que iniciam as solicitações na porta 135 (semelhante ao comportamento ativo do FTP), um possível problema pode estar relacionado ao suporte limitado de algumas variantes / mensagens RPC de versões ASA < 9.4 ( link - "DCERPC suporte de inspeção para a mensagem UUID do ISystemMapper RemoteGetClassObject opnum3 "); Dependendo das chamadas usadas pelo software (se chamadas não-EPM forem usadas, por exemplo), uma atualização pode ser necessária (lembre-se das alterações nas instruções de configuração, especialmente a partir de 8.3).
-
Dado que você nos disse que o ping e o RDP funcionam, mas o RPC, retrabalho a configuração completa provavelmente não é uma ótima solução, mas tentarei escrever uma configuração mais simples, supondo que:
- Você não precisa de NAT entre redes internas que usam endereçamento IP privado (o nat-control parece realmente desativado).
- Você não precisa de comunicação intra-interface.
ASA Version 8.2(5) ! hostname AAA-AAAAA enable password HxFQQ4ozRZkZGyAK encrypted passwd HxFQQ4ozRZkZGyAK encrypted names ! interface Ethernet0/0 switchport nonegotiate switchport mode access switchport access vlan 100 ! interface Ethernet0/1 switchport nonegotiate switchport mode access switchport access vlan 200 ! interface Ethernet0/2 switchport nonegotiate switchport mode access switchport access vlan 300 ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! interface Vlan100 no forward interface Vlan300 nameif VLAN-AWTP security-level 100 ip address 192.168.127.4 255.255.255.0 ! interface Vlan200 nameif VLAN-OPC security-level 20 ip address 192.168.77.1 255.255.255.0 ! interface Vlan300 nameif VLAN-MWTP security-level 90 ip address 192.168.50.245 255.255.255.0 ! ftp mode passive access-list vws-access-out extended permit tcp host 192.168.77.4 host 192.168.127.50 eq 44818 pager lines 24 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 3600 access-group vws-access-out out interface VLAN-AWTP timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh 192.168.127.0 255.255.255.0 VLAN-AWTP ssh timeout 60 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username aaaaaaaa password Tpz8OQBnrHIDp010 encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect dcerpc ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email [email protected] destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:f545ff56444cbffecda9d652f2261e2d : end
Não posso garantir que funcione no seu contexto, é claro, mas o "debug dcerpc?" e "rastreador de pacotes?" comandos podem ser úteis para capturar os erros no seu dispositivo ao vivo.