Настройка Cisco asa 5505

0

1

Попала в руки погремушка — пытаюсь настроить. Лицензии на 3des нет (то есть ssh только 1, никакой веб-морды и без ASDM), кабель есть — цепляюсь в консоль.

ena
conf t

Делаю интерфейс LAN
interface Vlan1
nameif LAN
security-level 100
ip address 192.168.0.1 255.255.255.0

Делаю интерфейс WAN
interface Vlan2
nameif WAN
security-level 0
ip address 192.168.1.2 255.255.255.0

Переношу порт в WAN
interface Ethernet0/0
switchport access vlan 2

Добавляю DNS
dns domain-lookup WAN
dns server-group DefaultDNS
name-server 8.8.8.8
name-server 8.8.4.4

Добавляю шлюз
route WAN 0.0.0.0 0.0.0.0 192.168.1.1

Цепляю порт 0 в роутер, в порт 1 цепляю ноут, у ноута выставляю на интерфейсе 192.168.0.2/24
С циски пингуются 192.168.0.2 8.8.8.8 ya.ru

Включаю nat
object network LAN
subnet 192.168.0.0 255.255.255.0
nat (LAN,WAN) dynamic interface

Радуюсь успехам. Но, оказывается, что делаю это преждевременно.

Пытаюсь настроить PAT
object network pat22
host 192.168.0.2
nat (LAN,WAN) static interface service tcp 22 22

Добавляю ACL
access-list outside_acl extended permit tcp any object pat22 eq 22
access-group outside_acl in interface WAN

sh xlat показывает:
TCP PAT from LAN:192.168.0.2 22-22 to WAN:192.168.1.2 22-22

packet-tracer input WAN tcp 192.168.1.5 9999 192.168.1.2 22
пишет ALLOW во всех стадиях

Далее попытки ssh 192.168.1.2 заканчиваются обломами.
sh conn показывает наличие соединения

Всё же хочется проброса порта. Что я не доделал?

Ссылка

←	Realtek NIC спамит прерываниями

OpenVPN Server не пингует клиентов, клиенты подключаются и пингуют tun0.

→

TCP PAT from LAN:192.168.0.2 22-22 to WAN:192.168.1.2 22-22

А это точно проброс между разными сетями? Подореваю, что это проброс из внутренней сети во внутреннюю сеть, и без SNAT он работать не будет

router ★★★★★
(28.07.17 18:41:35 MSK)

Ответ на: комментарий от router 28.07.17 18:41:35 MSK

У меня тоже было сомнение по этому поводу, но в документации написано, что это проброс именно из ван в лан. И в примерах для проброса единичного порта тоже больше ничего нет. И пакет-трейсер тоже нормально отрабатывает. Сейчас к коробке доступа уже нет, могу в понедельник показать.

imul ★★★★★
(28.07.17 18:48:45 MSK) автор топика
Последнее исправление: imul 28.07.17 18:50:33 MSK (всего исправлений: 1)

Ответ на: комментарий от imul 28.07.17 18:48:45 MSK

я не об этом. Если ответ от ssh в соответствии с таблицей маршрутизации сервера вернётся в обход asa, ssh клиент отвергнет его ( подключались к 192.168.1.2, а отвечает какой-то левый 192.168.0.2 )

update. Т.е. надо чтобы на сервере asa была как gateway к сети клиента

router ★★★★★
(28.07.17 18:51:31 MSK)
Последнее исправление: router 28.07.17 18:54:48 MSK (всего исправлений: 1)

Ответ на: комментарий от router 28.07.17 18:51:31 MSK

tcpdump на ноуте вообще не показывает пакетов, то есть в ноут они не попадают, застревает где-то в циске. Склоняюсь к сбросу в заводские настройки и повторению.

imul ★★★★★
(28.07.17 18:56:39 MSK) автор топика

Ссылка

Ответ на: комментарий от router 28.07.17 18:51:31 MSK

Гейтвей я ставил. Не было бы исходящих из ноута. А так и входящих нет.

imul ★★★★★
(28.07.17 19:00:02 MSK) автор топика

Ссылка

3DES раньше давали бесплатно, как сейчас не знаю — давно не было надо.

Версия софта-то хоть какая?

frob ★★★★★
(29.07.17 02:41:34 MSK)

Ответ на: комментарий от frob 29.07.17 02:41:34 MSK

Про бесплатно я в курсе. Это не первоочередная задача. Версия CASAS 9.0(1), версия DM 7.1(1)52.

imul ★★★★★
(29.07.17 10:24:26 MSK) автор топика

Ссылка

Вроде всё правильно. А вы пробовали не с 22 портом на внешке?

vodz ★★★★★
(29.07.17 12:40:13 MSK)

Ответ на: комментарий от vodz 29.07.17 12:40:13 MSK

Вроде всё правильно.

За это спасибо, хотя бы сузился круг поиска проблемы.

А вы пробовали не с 22 портом на внешке?

Пробовал. На самом деле проброшено примерно 15 портов tcp и 5 портов udp. И ни один не показывает признаков жизни. Попытка посканировать nmap-ом показывает, что порты в состоянии filtered.
В понедельник сброшу в дефолт и попробую ещё раз.

imul ★★★★★
(29.07.17 16:45:25 MSK) автор топика