Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 18 sur 18
  1. #1
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut Firewall ASA 5520 (Version 8.0(2))

    bonjour tout le monde j'ai besoin d'aide SVP.
    je veux faire un resaeu qui contient 2 routeurs et un firewall ASA dans GNS3 (sous windows7), j'ai b1 configurer les 2 routeurs mais j'arrive pas a pingé de R1 a R2 je croix que ceci est a cause de firewall .
    si qeulqu'un peut donné la configuration de firewall qui permet de faire cette connexion; Merci d'avnace.

    R1 <------------> ASA <-----------> R2

  2. #2
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Salut,

    essaies d'abord sans l'ASA dans ton lab GNS3, histoire de vérifier que tes routeurs arrivent bien à se joindre lorsqu'ils sont "back-to-back".

    Ensuite tu insères l'ASA et tu t'inspires de l'exemple suivant :

    http://www.cisco.com/en/US/products/...80b7c939.shtml

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  3. #3
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    merci pour la reponse .
    concernat les retours j'ai déjà fait une lab de connexion entre 2 routeurs et ils fonctionnent bien.
    et j'ai essayer pas mal de configuration mais pas de resultat.
    la configuration:

    Ciscoasa# conf t
    Ciscoasa(config)#int e0/0
    Ciscoasa(config-if)#nameif inside
    Ciscoasa(config-if)#ip add 192.168.10.1 255.255.255.0
    Ciscoasa(config-if)#no shut
    Ciscoasa# conf t
    Ciscoasa(config)#int e0/1
    Ciscoasa(config-if)#nameif outside
    Ciscoasa(config-if)#ip add 172.16.1.1 255.255.0.0
    Ciscoasa(config-if)#no shut
    Ciscoasa(config)# access-list 101 permit icmp any any echo
    Ciscoasa(config)# access-list 101 permit icmp any any echo-reply
    Ciscoasa(config)# access-group 101 IN interface outside


    mais ça marche pas

  4. #4
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Quelle est l'adresse IP des interfaces des routeurs ?

    Ont-ils chacun une route par défaut ? Si oui, ces routes par défaut pointent bien versles interfaces de l'ASA ?

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  5. #5
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    bon pour R1 connecté a l'interface (e0/0 192.168.10.1) l'add est 192.168.10.2

    pour R2 connecté a l'interface (e0/1 172.16.1.1) l'add est 172.16.1.2

    les retours bing sur l'ASA mais la ping ne passe de R1 a R2 et l'inverse

    je croix que ASA a interdit le ping de passer

  6. #6
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Citation Envoyé par IP_Steph Voir le message
    Ont-ils chacun une route par défaut ? Si oui, ces routes par défaut pointent bien versles interfaces de l'ASA ?
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  7. #7
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    quoi ???? si j'ai bien compris ,oui ils ont une route par defaut car ils pings sur ASA

  8. #8
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Citation Envoyé par no3man Voir le message
    quoi ???? si j'ai bien compris ,oui ils ont une route par defaut car ils pings sur ASA
    C'est pas parce qu'ils pingent l'ASA qu'ils ont une route par défaut

    Maintenant, entres les commandes suivantes.

    sur R1

    Code :
    add ip route 0.0.0.0 0.0.0.0 192.168.10.1
    sur R2

    Code :
    add ip route 0.0.0.0 0.0.0.0 172.16.1.1
    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  9. #9
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    Sending 5, 100-byte ICMP Echos to 20.20.1.1, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)

  10. #10
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Citation Envoyé par no3man Voir le message
    Sending 5, 100-byte ICMP Echos to 20.20.1.1, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    Pas la peine de pleurer, t'en verras d'autres

    C'est quoi cette adresse 20.20.1.1 ?

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  11. #11
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    R1 (10.10.1.2)<---------> (10.10.1.1) ASA (20.20.1.1)<-------->(20.20.1.2)R2

    seulement un changement d'adresses

  12. #12
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    je croix que la requête ICMP (echo) ne travers pas le firewall ou la reponse (echo-reply)

    mais j'ai defini ça dans access-list

    ou il ya un probleme de connexion entre les 2 interface de firewall

  13. #13
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Peux-tu copier/coller les displays suivants...

    Sur les 2 routeurs

    Sur l'ASA

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  14. #14
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    Bonjour Steph

    Routeur 1

    Gateway of last resort is 10.10.1.1 to network 0.0.0.0

    C 10.0.0.0/8 is directly connected, FastEthernet0/0
    S* 0.0.0.0/0 [1/0] via 10.10.1.1
    Routeur 2

    Gateway of last resort is 20.20.1.1 to network 0.0.0.0

    C 20.0.0.0/8 is directly connected, FastEthernet0/0
    S* 0.0.0.0/0 [1/0] via 20.20.1.1

    ASA
    Gateway of last resort is not set

    C 20.0.0.0 255.0.0.0 is directly connected, outside
    C 10.0.0.0 255.0.0.0 is directly connected, inside

  15. #15
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Maintenant, si tu veux utiliser l'ASA comme simple routeur, il faut configurer le même security-level sur les 2 interfaces :

    Code :
    1
    2
    3
    4
    Ciscoasa(config-if)#nameif inside
    Ciscoasa(config-if)#security-level 50
    Ciscoasa(config-if)#nameif outside
    Ciscoasa(config-if)#security-level 50
    et alors tu n'auras plus besoin de ton access-list étendue pour laisser passer les ICMP Echo/Reply.

    En fonction de la version de code de l'ASA, je crois que tu peux remplacer les commandes d'interface security-level par la commande globale

    Code :
    same-security-traffic permit inter-interface
    (je ne suis pas sûr à 100% de la commande, mais ça doit ressembler).

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  16. #16
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    même problème

    soit pour security-level 50

    ou pour security-level 0

    si tu as GNS3 je t'en prie de tester le code; je veux vérifier que le est que le code qui ça marche pas ou l'ASA .

  17. #17
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    si tu as GNS3 je t'en prie de tester le code; je veux vérifier que le est que le code qui ça marche pas ou l'ASA
    Il faut aussi chercher...
    Il y a le site Cisco...
    Il y a des forums Cisco...

    Tout ça pour configurer un ASA en stupide routeur

    Bien, laisse-moi réfléchir
    Mmmhh...

    Ah oui, il y a peut-être une subtilité avec le NAT Exemption avant la release 8.3.

    Essaies ceci en commandes globales :

    Code :
    1
    2
    access-list NAT_EXEMPTION permit ip 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
    nat (inside) 0 access-list NAT_EXEMPTION
    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  18. #18
    Invité de passage
    Profil pro pal no3man
    Inscrit en
    avril 2010
    Messages
    14
    Détails du profil
    Informations personnelles :
    Nom : pal no3man

    Informations forums :
    Inscription : avril 2010
    Messages : 14
    Points : 2
    Points
    2

    Par défaut

    Bonsoir steph maintenat la connexion est réaliser

    le probleme est dans le routage (c'est comme tu as mentionné) et aussi dans le ping il faut pingé a l'interface de routeur je sais pas pourquoi mais il n'accepte pas de pinger a l'interface de l'ASA

    bon merciii beaucoup pour ton aide et au revoir .

+ Répondre à la discussion
Cette discussion est résolue.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •