Cisco ASA 5505

**keitaro_bzh** · 14/11/2012, 14h20

Bonjour à tous,

Je viens vers vous avant que je ne devienne chauve.

Commençons par expliquer la config en place
Routeur xDSL nominal (appelons le Ra) avec l'ip x.x.x.A/29
Routeur xDSL secours (appelons le Rb) avec l'ip x.x.x.B/29
LAN en 192.168.1.0/24

Je dois mettre en place un pare-feu Cisco ASA 5505. J'ai déjà mis en place pas mal de routeurs, ainsi que des pare-feu logiciels (linux), mais la, c'est la prise de tête.

Après moults expériences, j'ai configuré mes deux interfaces de la façon suivante:
Inside: 192.168.1.1/24
Outside: x.x.x.B/29

En effet, j'ai essayé toutes les solutions possibles, et la seule trouvée est de brancher R1 et d'attribuer l'adresse R2 à mon Cisco. Du coup, R2 n'est pas branché. Toujours est-il que la, après avoir rajouté la route, j'ai enfin accès à Internet (passage par la config du NAT).

Bref, je voulais aller plus loin pour ouvrir un port TSE et tester une connexion à distance, et la malgré un ajout d'objet, et de règles, impossible d'atteindre mon serveur. Le pire, c'est que je ne vois aucune alerte sur le monitoring... pourtant, je suis en IP fixe..

Bref, si qqn connait bien les ASA 5505, je suis preneur de ces bons conseils.

**Cybher** · 14/11/2012, 15h20

bonjour,

Envoyé par keitaro_bzh

En effet, j'ai essayé toutes les solutions possibles, et la seule trouvée est de brancher R1 et d'attribuer l'adresse R2 à mon Cisco. Du coup, R2 n'est pas branché. Toujours est-il que la, après avoir rajouté la route, j'ai enfin accès à Internet (passage par la config du NAT).

es tu sur que tu as sélectionné une IP dans le bon réseau? tu as normalement 6 adresses disponibles dans ce réseau

Envoyé par keitaro_bzh

Bref, je voulais aller plus loin pour ouvrir un port TSE et tester une connexion à distance, et la malgré un ajout d'objet, et de règles, impossible d'atteindre mon serveur. Le pire, c'est que je ne vois aucune alerte sur le monitoring... pourtant, je suis en IP fixe..

dans quel sens ce fait ta connexion à distance? depuis ton réseau vers l'extérieur ou dans l'autre sens?
si c'est de l'extérieur vers un serveur interne, il faut faire de le translation de port, pour dire que ta connexion de ton IP publique sur le port RDP est natté vers l'adresse IP privée de ton serveur

**keitaro_bzh** · 14/11/2012, 15h42

Bonjour Cybher,

Envoyé par Cybher

es tu sur que tu as sélectionné une IP dans le bon réseau? tu as normalement 6 adresses disponibles dans ce réseau

Oui, j'ai essayé de brancher Ra et Rb sur mes deux ports de mon VLAN et d'attribuer une adresse à mon interface, mais je n'avais jamais internet. et même un ping de mes deux routeurs ne fonctionnait pas depuis le cisco

dans quel sens ce fait ta connexion à distance? depuis ton réseau vers l'extérieur ou dans l'autre sens?
si c'est de l'extérieur vers un serveur interne, il faut faire de le translation de port, pour dire que ta connexion de ton IP publique sur le port RDP est natté vers l'adresse IP privée de ton serveur

Je voudrais accéder depuis Internet sur mon serveur TSE. En effet, il faut que je déclare une route vers mon serveur sur le port TSE (3389), mais je l'ai fait dans les rules. il faut que je le fasse dans les NAT Rules? Je tente

**Cybher** · 14/11/2012, 15h56

salut,

en fait, depuis internet, tu es d'accord que tu vas chercher à joindre ton IP publique sur le port 3389? donc il faut bien que ton firewall dit que cela doit être natté sur ton adresse IP privée. sinon cela ne pourra jamais arriver jusqu'à ton serveur

petit lien sur le static PAT: http://www.cisco.com/en/US/docs/secu...html#wp1042484

Invité · 14/11/2012, 22h42

Commençons par expliquer la config en place
Routeur xDSL nominal (appelons le Ra) avec l'ip x.x.x.A/29
Routeur xDSL secours (appelons le Rb) avec l'ip x.x.x.B/29
LAN en 192.168.1.0/24

J'ai du mal à visualiser l'archi cible...

Le VLAN /29 est public (non RFC1918) et donc l'interface VLAN du 5505 est l'outside ?

Comment le secours vers Rb est sensé se déclencher ?

Steph

**keitaro_bzh** · 15/11/2012, 09h38

Envoyé par IP_Steph

J'ai du mal à visualiser l'archi cible...

Le VLAN /29 est public (non RFC1918) et donc l'interface VLAN du 5505 est l'outside ?

Comment le secours vers Rb est sensé se déclencher ?

Steph

Physiquement, ils m'ont mis deux routeurs sur deux lignes distinctes. Ils sont branchés en cascade entre eux, et le tech qui les as mis en place (un prestataire externe à notre fournisseurs) m'a dit de les brancher sur mon pare-feu. Mais en effet, comment se déclenche le secours, je sais pas. Je vais mener mon enquète et faire un retour

Invité · 15/11/2012, 10h16

Je pense que c'est cette archi que tu dois mettre en oeuvre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
       I N T E R N E T
         ^        ^
         |        |
         |        |  
       |\|      |\|
       |        |
       |        |
       Ra       Rb
       |        |
    |--------------| VLAN /29 (RFC1918)
            |
            | outside
            | 
         +-----+
         | ASA |-------->
         +-----+ inside

où ton réseau /29 est RFC1918, c'est très probablement un VLAN d'interco avec ton ISP. Peux-tu me confirmer que ce /29 est bien dans l'espace d'adressage 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16 ? Parce que dans le cas contraire, la donne est différente !

Je ne comprends pas la cascade entre les 2 routeurs R s'ils sont sur 2 lignes xDSL distinctes, ça n'a aucun sens !

Comme tu vois, on essaie de décrypter ce qui est en train de se passer

Quels que soient les acteurs mis en jeu dans ce projet, la moindre des choses c'est quand même de t'expliquer, à toi le client, ce qui est en train d'être réalisé sur **TON** réseau. Entre autres :
- fournir un schéma précis **physique** et **logique** (VLAN et IP) parce que sans ces infos, je vois mal comment tu peux mettre en oeuvre l'ASA (et du même coup, on aura nous aussi beaucoup de mal à t'aider),
- comment est déclenché le backup sur Rb ? L'ASA doit faire pointer une default route sur une adresse virtuelle ?

Steph

**keitaro_bzh** · 15/11/2012, 10h31

Non, malheureusement pas, le réseau /29 à une adresse publique (109.x.x.x/29).

C'est pourquoi j'ai du utiliser l'IP de ma connexion Rb (donc qui au final, c'est pas branché à mon ASA) au niveau de mon interface outside.

Je vais essayer de faire un schéma

Invité · 15/11/2012, 11h12

Envoyé par keitaro_bzh

Non, malheureusement pas

Ca n'est pas un problème...
Disons que cette info était structurante pour ton déploiement.

Steph

**keitaro_bzh** · 15/11/2012, 12h24

Voici le schéma de ce que je pensais mettre en place

Voici le schéma de ce que j'ai mis actuellement

J'ai eu un retour très explicite de mon fournisseur: "Pour ce qui est du swap, lorsqu’un des 2 routeur tombe, l’autre prend le relais automatiquement."...

**Cybher** · 15/11/2012, 14h58

euh... dans ce cas, tu dois avoir une adresse virtuelle qui passe sur le routeur actif. sinon je ne vois pas comment la bascule va se faire de manière automatique si tu n'as pas la bonne passerelle

sinon les adresse comme 14.25.98.140 ou 141 devrait fonctionner comme adresse pour l'ASA

Invité · 15/11/2012, 15h20

Voici un aperçu de ce que ça devrait donner :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
       I N T E R N E T
         ^        ^
         |        |
         |        |  
       |\|      |\|
       |        |
       |        |
       Ra       Rb
       |.137    |.138
    |--------------|
         HSRP/VRRP
          .139
            |
            | outside
            | interface Vlan100  14.25.98.140/29
         +-----+
         | ASA |-------->
         +-----+ inside

Il suffit de configurer une interface Vlan 100 par exemple et l'associer à l'interface outside avec l'adresse IP 14.25.98.140/29, puis ensuite "tirer" le Vlan 100 (access vlan) sur les 2 interfaces physiques qui connectent Ra et Rb.

Quant à la bascule automatique, il faut configurer HSRP/VRRP entre Ra et Rb pour "présenter" une adresse virtuelle, 14.25.98.139 à l'ASA. Ainsi, du point de vue l'ASA, il n'existe qu'un next hop pour sortir vers l'Internet (les adresses .137 et .138 sont complètement transparentes pour l'ASA).

C'est une config assez classique, il devrait y avoir des exemples similaires sur le site Cisco. Au pire j'ai quelques exemples dans ma knowledge base qui pourront servir de point de départ. Encore mieux, c'est très facilement modélisable sur GNS3...

Steph

**keitaro_bzh** · 15/11/2012, 15h29

Merci à vous IP_Steph et Cybher.

En effet, je viens d'avoir le tech pour le recettage (hum) de l'intervention et il m'a simplement annoncé que les deux routeurs avaient en effet chacun une adresse IP, mais qu'il avait une IP virtuelle en 139. Du coup, j'ai mis 140 sur mon ASA et bingo, ça marche nickel avec une route en 139.

Reste plus qu'à régler mon histoire de NAT sur les services désirés (type TSE)

Invité · 15/11/2012, 16h43

Envoyé par keitaro_bzh

Reste plus qu'à régler mon histoire de NAT sur les services désirés (type TSE)

Regardes la doc donnée par Cybher, tu as tous les cas de figure.

Fais un premier test avec du static PAT :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

static (inside,outside) tcp 14.25.98.140 3389 192.168.1.x 3389 netmask 255.255.255.255

pour attaquer ton serveur TSE 192.168.1.x en utilisant 14.25.98.140:3389 par exemple.

Steph

**keitaro_bzh** · 15/11/2012, 17h30

Bon, début de parenthèse, ne pas utiliser l'interface graphique... fin de parenthèses. :p

Pour en revenir à ta syntaxe, tu ne m'as même pas laissé le temps de lire la doc. Bref, j'ai fait comme tu m'as dit, mais voila, réponse de l'ASA

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ERROR: This syntax of nat command has been deprecated

J'ai donc cherché un peu plus loin, et j'ai trouvé la syntaxe:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
object network monserveur
host 192.168.1.10
nat (inside,outside) static 10.20.30.40 service tcp 3389 tse

mais il me crie dessus en me sidant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
nat (inside,outside) static 10.20.30.40 service tcp 3389 tse(^sous le s de tse)
ERROR: % Invalid input detected at '^' marker.

j'ai pourtant bien créer mon service tse.. je continue à chercher

**Cybher** · 15/11/2012, 18h28

mais si tu as le droit d'utiliser l'interface graphique

peux tu essayer simplement ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nat (inside,outside) static 10.20.30.40 service tcp 3389 3389

**keitaro_bzh** · 19/11/2012, 14h48

Hello,

bon, je viens de rajouter la règle, pas de message d'erreur, mais impossible de joindre mon serveur...

Invité · 19/11/2012, 16h48

Quelle est la version de code de l'ASA ?

Steph

**keitaro_bzh** · 20/11/2012, 12h09

La version est ASA Version 8.4(2)

Invité · 20/11/2012, 17h38

Essaies ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
access-list tse-in extended permit tcp any host 192.168.1.x eq 3389 log
access-group tse-in in interface outside

object network Serveur_TSE
 host 192.168.1.x
 nat (inside, outside) static interface service tcp 3389 3389

Steph

Cisco ASA 5505

Dépannage et Assistance

Discussions similaires

Partager

Partager