Eu tenho uma regra de acesso e uma regra de NAT que funciona bem com o software Security Appliance versão 8.0
A regra é a seguinte:
No entanto, estou tendo problemas para fazer com que a mesma regra funcione em um ASA em execução no Security Appliance Software Versão 8.4.
Sei que a configuração mudou, acho que devo criar um objeto de rede para ath-security e definir minhas regras de acesso e NAT ao mesmo tempo, mas não configurei nada em um ASA em anos e fiquei um pouco acima da minha cabeça.
Eu configuro da seguinte forma:
O que estou fazendo de errado aqui?
Os CORP-OUTSIDE e NM-OUTSIDE devem ser diferentes; estes são dois ASAs diferentes. O XXXX-OUTSIDE é um objeto de rede para o endereço IP externo de cada dispositivo. CORP-OUTSIDE está no ASA com o software 8.0, NM-OUTSIDE está no ASA com o software 8.4
show running-config retorna o seguinte no ASA com o software 8.0:
static (inside,outside) tcp interface www LVMSecurity www netmask 255.255.255.255
show running-config retorna o seguinte no ASA com o software 8.3:
object network AthertonSecurity-2.123 nat (inside,outside) static interface service tcp www www
Usando a ferramenta ASDM Packet Trace, recebo o seguinte erro no 8.3 ASA:
Info: (sp-security-failed) Slowpath security checks failed
Descobri isso, postando o que acredito ser a resposta:
O problema estava com a ACL nas configurações das Regras de acesso. Parece no software 8.3 Destination Criteria, Destination: não deve mais ser a 'interface externa', mas o próprio destino do Network Object.
Parece que a Cisco mudou a configuração de ser o que parece para trás, para a maneira correta?