Como posso configurar minha rede para permitir o tráfego bidirecional entre dois lans?

Navegue suas respostas
1

Aqui está minha configuração atual: (e isso pode exigir retrabalho):

  • 2 redes LAN - 192.168.41.0, 192.168.21.0
  • 2 IPs públicos (eles são atribuídos a nós especificando endereços MAC - não sub-redes) 24.53.x.x, e a outra é 192.34.x.x
  • Netgear Router
  • Roteador Linksys
  • ASA 5505 com licença base

Vou tentar diagramar a rede da melhor maneira possível por enquanto. Eu irei melhorar mais tarde quando tiver melhor acesso a ferramentas. Eu incluí minha configuração ASA Run:

  • Modem a cabo - > Mudar
  • Alternar - > Netgear Router e ASA 5505 Netgear
  • O roteador hospeda a rede 192.168.41.0 e recebe um dos IPs públicos
  • O ASA 5505 hospeda a rede 192.168.21.0 e recebe o outro IP público
  • Eu conecto o comutador por trás de cada rede (para o roteador e o ASA) - então há 3 interruptores totais
  • Em uma tentativa de unir as duas redes, adicionei um roteador Linksys ao switch atrás da rede 21.0 e atribui ao roteador um endereço na rede 21.0 (192.168.21.254).
  • Em seguida, conectei uma linha à porta da Internet no roteador Linksys e atribuí o endereço IP à rede 41.0 (192.168.41.2).
  • No roteador 41.0 (Netgear Router), adicionei uma rota à rede 21.0 através do endereço 41.2
  • No ASA para a rede 21.0, adicionei uma rota à rede 41.0 pelo endereço 21.254. Eu também adicionei algumas linhas de ACL para permitir o tráfego, bem como a mesma intranet de segurança.

Anteriormente, eu consegui fazer o tráfego fluir de uma maneira (21,0 pode acessar 41,0, mas não o contrário). Eu estou supondo que tem algo a ver com um problema na minha lógica de estrutura ou minha lógica nat. Atualmente, posso executar ping na rede 41.0 da rede 21.0, mas tenta usar outras portas (como o telnet, o servidor smtp da porta 25) falha. Espero que, com o seu apoio, possamos começar com o que tenho aqui e começar a solucionar problemas.

ASA CONFIG 

: Saved
:
ASA Version 8.2(1)
!
hostname lilprecious
domain-name mydomain.local
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd lVYsshR/yoydoM2/ encrypted
no names
name 192.168.21.10 precious_private
name 192.168.21.1 asa_private
name 192.34.x.56 precious_public
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.21.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.34.x.56 255.255.252.0
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
 switchport access vlan 2
!
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
 domain-name mydomain.local
dns server-group PRECIOUS
 name-server 192.168.21.10
 domain-name mydomain.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service exchange_server
 service-object icmp
 service-object tcp-udp eq www
 service-object tcp eq 587
 service-object tcp eq https
 service-object tcp eq smtp
object-group service temp
 service-object tcp-udp eq 64092
object-group service temp2
 service-object tcp-udp eq 59867
access-list CASVPN_splitTunnelAcl standard permit 192.168.21.0 255.255.255.0
access-list CASVPN_splitTunnelAcl standard permit 192.168.20.0 255.255.255.0
access-list CASVPN_splitTunnelAcl standard permit 192.168.41.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.21.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.20.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.20.0 255.255.255.0 192.168.41.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.41.0 255.255.255.0 192.168.21.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.21.0 255.255.255.0 192.168.41.0 255.255.255.0
access-list ping extended permit icmp any any echo-reply
access-list ping extended permit tcp any host 192.34.x.56 eq www
access-list ping extended permit object-group exchange_server any host 192.34.x.56
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpn_clients 192.168.20.100-192.168.20.199 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface smtp 192.168.21.10 smtp netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.21.10 www netmask 255.255.255.255
static (inside,outside) tcp interface https 192.168.21.10 https netmask 255.255.255.255
static (inside,outside) tcp interface 587 192.168.21.10 587 netmask 255.255.255.255
access-group ping in interface outside
route outside 0.0.0.0 0.0.0.0 192.34.xx.1 1
route inside 192.168.41.0 255.255.255.0 192.168.21.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server Precious protocol ldap
aaa-server Precious (inside) host 192.168.21.10
 timeout 5
 ldap-base-dn DC=mydomain,DC=local
 ldap-scope subtree
 ldap-login-password *
 ldap-login-dn CN=aduser,CN=Users,DC=mydomain,DC=local
 server-type auto-detect
http server enable
http 192.168.21.0 255.255.255.0 inside
http 192.168.20.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 5
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
telnet 192.168.21.0 255.255.255.0 inside
telnet 192.168.20.0 255.255.255.0 inside
telnet timeout 20
ssh timeout 20
console timeout 0
management-access inside
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy CASVPN internal
group-policy CASVPN attributes
 wins-server value 192.168.21.10
 dns-server value 192.168.21.10
 vpn-tunnel-protocol IPSec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value CASVPN_splitTunnelAcl
 default-domain value mydomain.local
tunnel-group CASVPN type remote-access
tunnel-group CASVPN general-attributes
 address-pool vpn_clients
 authentication-server-group Precious
 default-group-policy CASVPN
tunnel-group CASVPN ipsec-attributes
 pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:3b181b87399ae99bb504d3cd42adc880
: end
    
por Zach 01.03.2013 / 16:00

2 respostas

1

Você parece ter problemas com o roteamento assimétrico e, como no exemplo B aqui: link

Além disso, adicionar terceira interface com a licença básica pode não ajudar você, já que o ASA5505 precisa de uma licença separada para a DMZ ou a terceira VLAN. Isso é da Cisco:

Interfaces de VLAN máxima ativa para sua licença No modo roteado, você pode configurar as seguintes VLANs, dependendo da sua licença:

  • Licença base - 3 VLANs ativas. A terceira VLAN só pode ser configurada para iniciar o tráfego para um outra VLAN.
  • Licença do Security Plus - 20 VLANs ativas.

No modo de firewall transparente, você pode configurar as seguintes VLANs dependendo da sua licença:  - Licença básica - 2 VLANs ativas em um grupo de ponte.  - Licença do Security Plus - 3 VLANs ativas: 2 VLANs ativas em 1 grupo de bridge e 1 VLAN ativa para o link de failover.

Solução:

  1. Obtenha switches de rede gerenciáveis que podem fazer o roteamento estático e rotear o tráfego através deles;
  2. Obtenha a licença do Security Plus para o ASA e conecte a rede 192.168.41.0 à terceira VLAN, o NAT e todo o tráfego seguirão o ASA. No entanto, o ASA 5505 tem interfaces de 100Mb e, se você precisar mover uma grande quantidade de dados, a solução 1 com switches gerenciáveis parecerá melhor.
por 03.03.2013 / 06:47
0

Você pode tentar adicionar uma terceira interface de VLAN ao cisco, digamos, Eth 0/6. Use-o como 192.168.41.2 e depois permita o tráfego no cisco. Em seguida, no Netgear, adicione uma rota estática para 192.168.21.x / 24 usando a interface 192.168.41.2 que o Cisco configura. Você também precisará de uma rota estática no cisco voltando para 192.168.41.x / 24 usando a nova interface VLAN como o gateway.

    
por 02.03.2013 / 03:35

Tags

Linux PAM pam_succeed_if.so Erro do IIS 8.0 500.19 apenas no primeiro pedido