CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede freesoft Praktikant
21. maj 2007 - 11:04 Der er 11 kommentarer og
1 løsning

NAT/PAT på ASA 5505 problem

Hej :-)

Har prøvet at lave forwarding af port 3389 til en internt IP via ASDM, men det synes jeg dog ikke ser ud til at virke. Synes også jeg prøvede at åbne for ALT (ind og ud på in og out site) i "security policies", ingen forskel. Kunne ikke få forbindelse til server. I loggen står der:
MinIP DeresIP  Inbound TCP connection denied from MinIP/22331 to DeresIP/3389 flags SYN  on interface outside


Virker til at jeg ca samme problem som http://www.futurehardware.in/569029.htm

Nogle ideér til hvad det kunne være? Hvad har jeg overset?

Mvh. Kim
Avatar billede freesoft Praktikant
21. maj 2007 - 11:09 #1
Kan poste show run, hvis det er.

Hvis det har noget at sige, så er security level for outside 0 og indside 100.
Avatar billede glenn Nybegynder
07. juni 2007 - 12:40 #2
Check din konfiguration for følgende:
static (LAN,WAN) tcp interface 3389 <SERVER-IP> 3389 netmask 255.255.255.255
access-list WAN_in extended permit tcp any interface WAN eq 3389
access-group WAN_in in interface WAN
Avatar billede freesoft Praktikant
07. juni 2007 - 13:02 #3
80.62.165.PPP er public IP'en

access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit udp any host 192.168.1.5 eq 3389
access-list inside_access_in extended permit tcp any host 192.168.1.5 eq 3389
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit udp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit tcp host 87.54.12.XXX eq 3389 host 80.62.195.PPP eq 3389 inactive
access-list inside_nat0_outbound extended permit ip any 192.168.1.240 255.255.255.240

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 80.62.165.PPP 3389 192.168.1.5 3389 netmask 255.255.255.255
static (outside,inside) 192.168.1.1 80.62.165.PPP netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
Avatar billede freesoft Praktikant
21. juni 2007 - 08:22 #4
glenn
Jeg vil da mene at de ting er i min conf.?
Avatar billede glenn Nybegynder
21. juni 2007 - 08:40 #5
Ja. Det kræver lidt logging at finde ud af det.
Prøv til at starte med Packet Tracer'en i ASDM og se om den kan fortælle dig hvad der deny'er pakken.
Avatar billede freesoft Praktikant
21. juni 2007 - 09:05 #6
Har jeg også prøvet, den viser den deny any any regel (den som er nederst).
Avatar billede freesoft Praktikant
21. juni 2007 - 09:13 #7
Denne:
5        any    any    ip    Deny            [Implicit rule]
Under outside (incomming)
Avatar billede glenn Nybegynder
21. juni 2007 - 09:56 #8
Du bliver ikke ramt af en access-list. Nu kan jeg ikke se hele din konfiguration, så det er svært at gennemskue hvor du har lavet fejlen.
Prøv at ændre "access-list outside_access_in extended permit tcp any host 80.62.195.PPP eq 3389" til "access-list outside_access_in extended permit tcp any interface eq 3389" og "static (inside,outside) tcp 80.62.165.PPP 3389 192.168.1.5 3389 netmask 255.255.255.255" til "static (inside,outside) tcp interface 3389 192.168.1.5 3389 netmask 255.255.255.255"
Avatar billede freesoft Praktikant
21. juni 2007 - 11:12 #9
Conf ser sådan her ud:

Result of the command: "sh run"

: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name NAVN.dk
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 80.62.195.PPP 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
domain-name NAVN.dk
access-list outside_20_cryptomap extended permit ip any 10.10.1.0 255.255.255.0
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit udp any host 192.168.1.5 eq 3389
access-list inside_access_in extended permit tcp any host 192.168.1.5 eq 3389
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any interface inside eq 3389
access-list outside_access_in extended permit udp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit tcp host 87.54.12.XXX eq 3389 host 80.62.195.PPP eq 3389 inactive
access-list inside_nat0_outbound extended permit ip any 192.168.1.240 255.255.255.240
access-list NAVN_VPN standard permit host 192.168.1.5
access-list NAVN_VPN standard permit 192.168.1.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool VPNPool 192.168.1.242-192.168.1.254 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp 80.62.165.86 3389 192.168.1.5 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 3389 192.168.1.5 3389 netmask 255.255.255.255
static (outside,inside) 192.168.1.1 80.62.195.PPP netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
route outside 0.0.0.0 0.0.0.0 80.62.195.GW 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy NAVNVPN internal
group-policy NAVNVPN attributes
dns-server value 194.239.134.83 193.162.153.164
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value NAVN_VPN
default-domain value NAVN.local
split-dns none
username admin password f/IrCALPyYTeGddF encrypted privilege 0
username admin attributes
vpn-group-policy NAVNVPN
username hphp password easmZQ6J/beSPG6f encrypted privilege 0
username hphp attributes
vpn-group-policy NAVNVPN
username tmtm password h0Kf5h2P1LI3pKdQ encrypted privilege 0
username tmtm attributes
vpn-group-policy NAVNVPN
username NAVN password AgMGOKMkMdw54Bde encrypted privilege 0
username NAVN attributes
vpn-group-policy NAVNVPN
vpn-simultaneous-logins 10
username jwjw password bDMuipGL/8KTQoKM encrypted privilege 0
username jwjw attributes
vpn-group-policy NAVNVPN
username msms password ogOzXn4SeNEJjxvV encrypted privilege 0
username msms attributes
vpn-group-policy NAVNVPN
http server enable
http 83.90.203.XXX 255.255.255.255 outside
http 87.60.195.XXX 255.255.255.255 outside
http 87.54.12.XXX 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 80.160.154.161
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group NAVNVPN type ipsec-ra
tunnel-group NAVNVPN general-attributes
address-pool (inside) VPNPool
address-pool VPNPool
default-group-policy NAVNVPN
tunnel-group NAVNVPN ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.35-192.168.1.129 inside
dhcpd dns 194.239.134.83 193.162.153.164 interface inside
dhcpd enable inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect icmp
  inspect ipsec-pass-thru
  inspect pptp
policy-map type inspect ipsec-pass-thru Default_IPSec_Path_Through
parameters
  esp
  ah
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:e89fec57de15c738493466b49aaf0a10
: end
Avatar billede freesoft Praktikant
15. juli 2007 - 20:44 #10
Lukker pga. ferie, får tidligst kigge mere på det efter ferien.
Avatar billede freesoft Praktikant
15. august 2007 - 17:17 #11
Nu virker det pludselig :-S
Se http://ciscoforum.dk/forum/forum_posts.asp?TID=114&PN=1
Avatar billede freesoft Praktikant
01. marts 2008 - 17:08 #12
Skam løs reklame: http://wiki.kimilise.dk/wiki/Cisco_ASA_5505#.C3.85bne_porte_ind_ad_.28port_forward.29 dette virker når jeg gør sådan.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet netværk kategorien

Titel Indlæg Oprettet Seneste aktivitet
Chrome Af fjorbak i Andet netværk 5 I dag 09:26 I dag 15:08
Se svensk TV på computeren via TV stick Af valby i Andet netværk 10 27/06/202423:42 29/06/202421:58
Wake-On-LAN og RDP gennem CGNAT Af bat1234 i Andet netværk 7 16/05/202414:22 18/05/202413:57
waoo jeg købte faste ip så jeg kan sette server op aldet andet Af jacob Nielsen i Andet netværk 2 03/03/202415:44 20/03/202412:36
IP cam Af 2deep i Andet netværk 4 16/02/202412:55 16/02/202414:18
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I dag 11:14 Bærbar til Sims 3? Af idamarie i PC
I dag 10:49 Adobe til excel Af densortehingst i Andet software
I dag 09:26 Chrome Af fjorbak i Andet netværk
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »