Firewall ASA 5520 (Version 8.0(2)) [Résolu]

[no3man]

bonjour tout le monde j'ai besoin d'aide SVP.
je veux faire un resaeu qui contient 2 routeurs et un firewall ASA dans GNS3 (sous windows7), j'ai b1 configurer les 2 routeurs mais j'arrive pas a pingé de R1 a R2 je croix que ceci est a cause de firewall .
si qeulqu'un peut donné la configuration de firewall qui permet de faire cette connexion; Merci d'avnace.

R1 <------------> ASA <-----------> R2

[IP_Steph]

Salut,

essaies d'abord sans l'ASA dans ton lab GNS3, histoire de vérifier que tes routeurs arrivent bien à se joindre lorsqu'ils sont "back-to-back".

Ensuite tu insères l'ASA et tu t'inspires de l'exemple suivant :

http://www.cisco.com/en/US/products/...80b7c939.shtml

Steph

[no3man]

merci pour la reponse .
concernat les retours j'ai déjà fait une lab de connexion entre 2 routeurs et ils fonctionnent bien.
et j'ai essayer pas mal de configuration mais pas de resultat.
la configuration:

Ciscoasa# conf t
Ciscoasa(config)#int e0/0
Ciscoasa(config-if)#nameif inside
Ciscoasa(config-if)#ip add 192.168.10.1 255.255.255.0
Ciscoasa(config-if)#no shut
Ciscoasa# conf t
Ciscoasa(config)#int e0/1
Ciscoasa(config-if)#nameif outside
Ciscoasa(config-if)#ip add 172.16.1.1 255.255.0.0
Ciscoasa(config-if)#no shut
Ciscoasa(config)# access-list 101 permit icmp any any echo
Ciscoasa(config)# access-list 101 permit icmp any any echo-reply
Ciscoasa(config)# access-group 101 IN interface outside


mais ça marche pas

[IP_Steph]

Quelle est l'adresse IP des interfaces des routeurs ?

Ont-ils chacun une route par défaut ? Si oui, ces routes par défaut pointent bien versles interfaces de l'ASA ?

Steph

[no3man]

bon pour R1 connecté a l'interface (e0/0 192.168.10.1) l'add est 192.168.10.2

pour R2 connecté a l'interface (e0/1 172.16.1.1) l'add est 172.16.1.2

les retours bing sur l'ASA mais la ping ne passe de R1 a R2 et l'inverse

je croix que ASA a interdit le ping de passer

[IP_Steph]

Citation:

Envoyé par IP_Steph

Ont-ils chacun une route par défaut ? Si oui, ces routes par défaut pointent bien versles interfaces de l'ASA ?

[no3man]

quoi ???? si j'ai bien compris ,oui ils ont une route par defaut car ils pings sur ASA

[IP_Steph]

Citation:

Envoyé par no3man

quoi ???? si j'ai bien compris ,oui ils ont une route par defaut car ils pings sur ASA

C'est pas parce qu'ils pingent l'ASA qu'ils ont une route par défaut

Maintenant, entres les commandes suivantes.

sur R1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

add ip route 0.0.0.0 0.0.0.0 192.168.10.1

sur R2

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

add ip route 0.0.0.0 0.0.0.0 172.16.1.1

Steph

[no3man]

Sending 5, 100-byte ICMP Echos to 20.20.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

[IP_Steph]

Citation:

Envoyé par no3man

Sending 5, 100-byte ICMP Echos to 20.20.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Pas la peine de pleurer, t'en verras d'autres

C'est quoi cette adresse 20.20.1.1 ?

Steph

[no3man]

R1 (10.10.1.2)<---------> (10.10.1.1) ASA (20.20.1.1)<-------->(20.20.1.2)R2

seulement un changement d'adresses

[no3man]

je croix que la requête ICMP (echo) ne travers pas le firewall ou la reponse (echo-reply)

mais j'ai defini ça dans access-list

ou il ya un probleme de connexion entre les 2 interface de firewall

[IP_Steph]

Peux-tu copier/coller les displays suivants...

Sur les 2 routeurs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show ip route

Sur l'ASA

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show route

Steph

[no3man]

Bonjour Steph

Routeur 1

Citation:

Gateway of last resort is 10.10.1.1 to network 0.0.0.0

C 10.0.0.0/8 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 10.10.1.1

Routeur 2

Citation:

Gateway of last resort is 20.20.1.1 to network 0.0.0.0

C 20.0.0.0/8 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 20.20.1.1

ASA

Citation:

Gateway of last resort is not set

C 20.0.0.0 255.0.0.0 is directly connected, outside
C 10.0.0.0 255.0.0.0 is directly connected, inside

[IP_Steph]

Maintenant, si tu veux utiliser l'ASA comme simple routeur, il faut configurer le même security-level sur les 2 interfaces :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Ciscoasa(config-if)#nameif inside
Ciscoasa(config-if)#security-level 50
Ciscoasa(config-if)#nameif outside
Ciscoasa(config-if)#security-level 50

et alors tu n'auras plus besoin de ton access-list étendue pour laisser passer les ICMP Echo/Reply.

En fonction de la version de code de l'ASA, je crois que tu peux remplacer les commandes d'interface security-level par la commande globale

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

same-security-traffic permit inter-interface

(je ne suis pas sûr à 100% de la commande, mais ça doit ressembler).

Steph

[no3man]

même problème

soit pour security-level 50

ou pour security-level 0

si tu as GNS3 je t'en prie de tester le code; je veux vérifier que le est que le code qui ça marche pas ou l'ASA .

[IP_Steph]

Citation:

si tu as GNS3 je t'en prie de tester le code; je veux vérifier que le est que le code qui ça marche pas ou l'ASA

Il faut aussi chercher...
Il y a le site Cisco...
Il y a des forums Cisco...

Tout ça pour configurer un ASA en stupide routeur

Bien, laisse-moi réfléchir
Mmmhh...

Ah oui, il y a peut-être une subtilité avec le NAT Exemption avant la release 8.3.

Essaies ceci en commandes globales :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
access-list NAT_EXEMPTION permit ip 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
nat (inside) 0 access-list NAT_EXEMPTION

Steph

[no3man]

Bonsoir steph maintenat la connexion est réaliser

le probleme est dans le routage (c'est comme tu as mentionné) et aussi dans le ping il faut pingé a l'interface de routeur je sais pas pourquoi mais il n'accepte pas de pinger a l'interface de l'ASA

bon merciii beaucoup pour ton aide et au revoir .