Questão Licença Cisco ASA 5505, conectividade de interface "verdadeira"


Então eu comprei um Cisco ASA e estou tentando obter 2 interfaces para se comunicar completamente uns com os outros. Outro técnico aqui no trabalho que sabe mais diz que para isso acontecer eu preciso de uma licença de segurança mais e meu ASA tem uma licença básica. Isso é necessariamente verdade? Também estou tendo problemas de conexão com o SSH da Internet para o meu ASA, isso também pode estar sob a minha licença atual? Olhando para a documentação do cisco no meu ASA, não é tão informativo que é mais uma rápida visão geral.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

Muita ajuda apreciada!

ATUALIZAR

Configuração atual do ASA http://pastebin.com/WSz8wNNv


0


origem


O que significa "comunicar plenamente uns com os outros" significa? - David Schwartz
bem ... ping, compartilhamentos de acesso, etc ... Comunicação completa ... Como se estivessem na mesma sub-rede. Eles estão em sub-redes separadas, mas podem conversar um com o outro. - xR34P3Rx
Então quer dizer que você quer usá-lo para rotear entre sub-redes? Para que isso funcione, os outros dispositivos precisarão saber para enviar tráfego para este dispositivo. Você configurou isso nesses dispositivos? - David Schwartz
na verdade, no momento estou trabalhando nisso e eu tenho um dispositivo em outra interface para pingar o outro, mas não funciona para todos os dispositivos. Por exemplo, meu PC em com fio pode pingar qualquer coisa na sub-rede sem fio, mas se eu colocar o meu PC em wireless, ele não pode ping meu servidor na rede com fio, mas pode ping meu servidor linux. Parece que pings funcionam para alguns dispositivos e não para outros. Não tenho certeza porque isso é. - xR34P3Rx
Solucione um caso em que o ping não funcione e veja o que está errado. O ping é enviado? A outra extremidade recebe isso? Envia uma resposta? A resposta é recebida? Meu palpite será que as tabelas de roteamento não estão corretas em algumas das máquinas e eles não têm idéia de que precisam usar este ASA para alcançar a outra sub-rede. As rotas padrão dos dispositivos apontam para o ASA? - David Schwartz


Respostas:


Por padrão, os ASAs não permitem o tráfego do nível de segurança para entrar em outra interface do mesmo nível de segurança. Esse é o seu principal problema. same-security-traffic permit intra-interface comando é necessário.

Uso: https://www.cisco.com/c/pt/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

o ALLOW_WIRED e ALLOW_WIRELESS As ACLs são definidas, mas não aplicadas a nenhuma interface. Além disso, recomendo alterar as ACLs de ACLs padrão para ACLs estendidas. As ACLs estendidas permitem o controle do tráfego por meio de origem e destino, em vez de apenas a origem do tráfego.

Mudanças Recomendadas: (Atualizado em 2017/02/17: Atualizando as ACLs para permitir acesso de saída irrestrito, conforme solicitado)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Observe que, embora a primeira regra em cada ACL seja supérflua, ela foi adicionada para fornecer um contexto adicional sobre como a regra é usada.

Teste: Toda saída deve resultar em "Up".

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2

1



apenas tentei e funcionou! O único problema agora é que, enquanto esses dois grupos de acesso estão ativos, nem a rede pode acessar a Internet ... - xR34P3Rx
eu tentei fazer um access-list que permite que cada sub-rede seja qualquer destino. ip e acrescentou ao meu access-group para o encaminhamento de porta, mas ainda não teve acesso. - xR34P3Rx
As ACLs têm uma instrução de "negação implícita" no final. A extended permit ip any any precisaria ser adicionado no final de cada ACL, se você deseja que a Internet seja acessada de cada uma das sub-redes. - TDurden
por exemplo, para ALLOW_WIRED_TO_WIRELESS, eu teria que criar uma segunda ACL com o mesmo nome, mas com extended permit ip any any? - xR34P3Rx
Sim, embora tecnicamente seja a mesma ACL. ALLOW_WIRED_TO_WIRELESS é uma ACL única e estendida, mesmo que seja composta de várias regras. Vou ajustar a solução para que a saída fique mais clara. Tenha em mente que, como todas as outras ACLs, a ordem é importante. As ACLs são executadas de uma ordem de cima para baixo. - TDurden