Problema de roteamento entre sub-redes diretamente conectadas com ASA-5510

2

Este é um problema com o qual venho lutando há algum tempo, com uma resposta aparentemente simples (não são todos os problemas de TI?).

E esse é o problema de passar tráfego entre duas sub-redes diretamente conectadas com um ASA

Embora esteja ciente de que a prática recomendada é ter Internet - > Firewall - > Roteador, em muitos casos isso não é possível.

Por exemplo, em ter um ASA com duas interfaces, chamado OutsideNetwork (10.19.200.3/24) e InternalNetwork (10.19.4.254/24). Você esperaria que o Outside conseguisse, digamos, 10.19.4.1, ou pelo menos 10.19.4.254, mas o ping na interface só traz más notícias.

Result of the command: "ping OutsideNetwork 10.19.4.254"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.19.4.254, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

Naturalmente, você supõe que pode adicionar uma rota estática, sem sucesso.

[ERROR] route Outsidenetwork 10.19.4.0 255.255.255.0 10.19.4.254 1
Cannot add route, connected route exists

Neste ponto, você pode ver se é um problema de NAT ou lista de acesso.

access-list Outsidenetwork_access_in extended permit ip any any
access-list Internalnetwork_access_in extended permit ip any any

Não há nat dinâmica (ou nat estática) e o tráfego não-nativo é permitido.

Quando eu tento pingar o endereço acima (10.19.4.254 da Outsidenetwork), recebo essa mensagem de erro do nível 0 de log (depuração).

Routing failed to locate next hop for icmp from NP Identity Ifc:10.19.200.3/0 to Outsidenetwork:10.19.4.1/0

Isso me levou a definir < em> autorização de tráfego de mesma segurança , e atribuiu os mesmos, menores e maiores números de segurança entre as duas interfaces.

Eu estou negligenciando algo óbvio? Existe um comando para definir rotas estáticas classificadas como mais altas que as rotas conectadas?

    
por ŹV - 26.09.2010 / 22:22

2 respostas

4

Existem alguns problemas na sua pergunta. Primeiro, eu não pensaria naturalmente que eu poderia chegar à rede interna pela rede externa. O ASA é um FIREWALLL que não é um roteador. Se fizesse isso, não estaria fazendo o seu trabalho. Um roteador fará isso muito bem.

O segundo maior problema é com o seu comando de rota. Você não precisa disso. Você tem 2 redes conectadas localmente. O firewall sabe como chegar a ambos. Eles estão diretamente conectados. Assim, você não precisa de um comando de rota para informar ao firewall qual é o próximo salto.

Com essa coisa fora do caminho, vamos para uma resposta. O ASA exige que todas as redes tenham um nível de segurança anexado de 0 a 100. Um nível de segurança mais alto poderá acessar um nível de segurança mais baixo. Um nível de segurança mais baixo precisa de acesso explícito concedido a recursos em um nível superior. Então, vamos começar atribuindo os níveis de segurança adequados:

interface ethernet 0/0
nameif outside
security-level 0
ip address 10.19.200.3 255.255.255.0

interface ethernet 0/1
nameif inside
security-level 100
ip address 10.19.4.254 255.255.255.0

Agora, sua rede interna pode acessar sua rede externa. Se você precisar permitir que sua rede externa acesse sua rede interna, você precisará definir isso em uma lista de acesso e atribuí-la à interface em um grupo de acesso:

access-list outside_access_in extended permit ip any any
access-group outside_access_in in interface outside

Mas ainda não está funcionando? Provavelmente porque você precisa definir mapeamentos estáticos de uma rede para outra. Caso contrário, o firewall não sabe o que fazer. Lembre-se, isso é um firewall, não um roteador:

static (inside,outside) 10.19.4.0 10.19.4.0 netmask 255.255.255.0
static (outside,inside) 10.19.200.0 10.19.200.0 netmask 255.255.255.0

É isso ... você deve ter fluxo livre entre as duas interfaces ... realmente anula o propósito de um firewall, mas parece ser o que você quer. Pelo menos, você tem um ponto de partida e pode restringir o tráfego de lá.

    
por 27.09.2010 / 03:04
1

Não estou certo - mas não há nada aparentemente errado com a sua configuração - acho que o problema está nos testes que você está tentando fazer.

Dizer ao roteador que pingue uma interface com a outra como um endereço de origem é algo que não tenho certeza se funcionaria - pode-se supor que você quer que o tráfego saia dessa interface - nesse caso, está correto, tem nenhuma rota para esse IP.

Você já tentou testar a conectividade a partir de dispositivos externos, e não a partir do próprio roteador?

Contanto que você não tenha ACLs ou NAT em funcionamento, e desde que os outros dispositivos tenham rotas apropriadas para isso, não vejo nenhum motivo para isso não ser apenas roteamento antigo. .

    
por 27.09.2010 / 01:35