CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede freesoft Praktikant
21. maj 2007 - 11:04 Der er 11 kommentarer og
1 løsning

NAT/PAT på ASA 5505 problem

Hej :-)

Har prøvet at lave forwarding af port 3389 til en internt IP via ASDM, men det synes jeg dog ikke ser ud til at virke. Synes også jeg prøvede at åbne for ALT (ind og ud på in og out site) i "security policies", ingen forskel. Kunne ikke få forbindelse til server. I loggen står der:
MinIP DeresIP  Inbound TCP connection denied from MinIP/22331 to DeresIP/3389 flags SYN  on interface outside


Virker til at jeg ca samme problem som http://www.futurehardware.in/569029.htm

Nogle ideér til hvad det kunne være? Hvad har jeg overset?

Mvh. Kim
Avatar billede freesoft Praktikant
21. maj 2007 - 11:09 #1
Kan poste show run, hvis det er.

Hvis det har noget at sige, så er security level for outside 0 og indside 100.
Avatar billede glenn Nybegynder
07. juni 2007 - 12:40 #2
Check din konfiguration for følgende:
static (LAN,WAN) tcp interface 3389 <SERVER-IP> 3389 netmask 255.255.255.255
access-list WAN_in extended permit tcp any interface WAN eq 3389
access-group WAN_in in interface WAN
Avatar billede freesoft Praktikant
07. juni 2007 - 13:02 #3
80.62.165.PPP er public IP'en

access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit udp any host 192.168.1.5 eq 3389
access-list inside_access_in extended permit tcp any host 192.168.1.5 eq 3389
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit udp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit tcp host 87.54.12.XXX eq 3389 host 80.62.195.PPP eq 3389 inactive
access-list inside_nat0_outbound extended permit ip any 192.168.1.240 255.255.255.240

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 80.62.165.PPP 3389 192.168.1.5 3389 netmask 255.255.255.255
static (outside,inside) 192.168.1.1 80.62.165.PPP netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
Avatar billede freesoft Praktikant
21. juni 2007 - 08:22 #4
glenn
Jeg vil da mene at de ting er i min conf.?
Avatar billede glenn Nybegynder
21. juni 2007 - 08:40 #5
Ja. Det kræver lidt logging at finde ud af det.
Prøv til at starte med Packet Tracer'en i ASDM og se om den kan fortælle dig hvad der deny'er pakken.
Avatar billede freesoft Praktikant
21. juni 2007 - 09:05 #6
Har jeg også prøvet, den viser den deny any any regel (den som er nederst).
Avatar billede freesoft Praktikant
21. juni 2007 - 09:13 #7
Denne:
5        any    any    ip    Deny            [Implicit rule]
Under outside (incomming)
Avatar billede glenn Nybegynder
21. juni 2007 - 09:56 #8
Du bliver ikke ramt af en access-list. Nu kan jeg ikke se hele din konfiguration, så det er svært at gennemskue hvor du har lavet fejlen.
Prøv at ændre "access-list outside_access_in extended permit tcp any host 80.62.195.PPP eq 3389" til "access-list outside_access_in extended permit tcp any interface eq 3389" og "static (inside,outside) tcp 80.62.165.PPP 3389 192.168.1.5 3389 netmask 255.255.255.255" til "static (inside,outside) tcp interface 3389 192.168.1.5 3389 netmask 255.255.255.255"
Avatar billede freesoft Praktikant
21. juni 2007 - 11:12 #9
Conf ser sådan her ud:

Result of the command: "sh run"

: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name NAVN.dk
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 80.62.195.PPP 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
domain-name NAVN.dk
access-list outside_20_cryptomap extended permit ip any 10.10.1.0 255.255.255.0
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit udp any any
access-list inside_access_in extended permit udp any host 192.168.1.5 eq 3389
access-list inside_access_in extended permit tcp any host 192.168.1.5 eq 3389
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any interface inside eq 3389
access-list outside_access_in extended permit udp any host 80.62.195.PPP eq 3389
access-list outside_access_in extended permit tcp host 87.54.12.XXX eq 3389 host 80.62.195.PPP eq 3389 inactive
access-list inside_nat0_outbound extended permit ip any 192.168.1.240 255.255.255.240
access-list NAVN_VPN standard permit host 192.168.1.5
access-list NAVN_VPN standard permit 192.168.1.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool VPNPool 192.168.1.242-192.168.1.254 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp 80.62.165.86 3389 192.168.1.5 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 3389 192.168.1.5 3389 netmask 255.255.255.255
static (outside,inside) 192.168.1.1 80.62.195.PPP netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
route outside 0.0.0.0 0.0.0.0 80.62.195.GW 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy NAVNVPN internal
group-policy NAVNVPN attributes
dns-server value 194.239.134.83 193.162.153.164
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value NAVN_VPN
default-domain value NAVN.local
split-dns none
username admin password f/IrCALPyYTeGddF encrypted privilege 0
username admin attributes
vpn-group-policy NAVNVPN
username hphp password easmZQ6J/beSPG6f encrypted privilege 0
username hphp attributes
vpn-group-policy NAVNVPN
username tmtm password h0Kf5h2P1LI3pKdQ encrypted privilege 0
username tmtm attributes
vpn-group-policy NAVNVPN
username NAVN password AgMGOKMkMdw54Bde encrypted privilege 0
username NAVN attributes
vpn-group-policy NAVNVPN
vpn-simultaneous-logins 10
username jwjw password bDMuipGL/8KTQoKM encrypted privilege 0
username jwjw attributes
vpn-group-policy NAVNVPN
username msms password ogOzXn4SeNEJjxvV encrypted privilege 0
username msms attributes
vpn-group-policy NAVNVPN
http server enable
http 83.90.203.XXX 255.255.255.255 outside
http 87.60.195.XXX 255.255.255.255 outside
http 87.54.12.XXX 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set peer 80.160.154.161
crypto map outside_map 20 set transform-set ESP-DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group NAVNVPN type ipsec-ra
tunnel-group NAVNVPN general-attributes
address-pool (inside) VPNPool
address-pool VPNPool
default-group-policy NAVNVPN
tunnel-group NAVNVPN ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.35-192.168.1.129 inside
dhcpd dns 194.239.134.83 193.162.153.164 interface inside
dhcpd enable inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect icmp
  inspect ipsec-pass-thru
  inspect pptp
policy-map type inspect ipsec-pass-thru Default_IPSec_Path_Through
parameters
  esp
  ah
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:e89fec57de15c738493466b49aaf0a10
: end
Avatar billede freesoft Praktikant
15. juli 2007 - 20:44 #10
Lukker pga. ferie, får tidligst kigge mere på det efter ferien.
Avatar billede freesoft Praktikant
15. august 2007 - 17:17 #11
Nu virker det pludselig :-S
Se http://ciscoforum.dk/forum/forum_posts.asp?TID=114&PN=1
Avatar billede freesoft Praktikant
01. marts 2008 - 17:08 #12
Skam løs reklame: http://wiki.kimilise.dk/wiki/Cisco_ASA_5505#.C3.85bne_porte_ind_ad_.28port_forward.29 dette virker når jeg gør sådan.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet netværk kategorien

Titel Indlæg Oprettet Seneste aktivitet
Flytte DNS til VPS server - igen Af crjensen i Andet netværk 3 06/01/202521:54 07/01/202512:57
VPN VS SFTP Af puren i Andet netværk 8 18/12/202413:46 20/12/202411:29
cronjob i Plesk på Ubuntu22 Af crjensen i Andet netværk 1 18/12/202409:26 18/12/202413:39
Flytte domæne til egen VPS server Af crjensen i Andet netværk 9 07/12/202412:27 07/01/202510:30
USB 1.1 og USB 2.0 Af Wombat i Andet netværk 3 06/11/202415:14 07/11/202421:18
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
24 min siden Syntaksfejl, fordi der mangler en operator Af Rene i Access
I dag 10:45 Microsoft Outlook Af made18 i Andet software
I dag 09:53 Lave et ark med forskellige tekst og billede bokse Af lurup i Word
I går 19:34 Synology NAS Af desist i Andet hardware
I går 12:49 Finder i Mac skal bruge adgangskode ved flytning/kopiering af filer Af CHC i Andet software
White papers
Flere white papers »


Premium
Teaser billede
Skal stå for implementeringen af stor EU-lovpakke i Danmark: Sådan kommer det til at ske
Læs mere »
Keld er chef for it-afdeling med 250 medarbejdere: Nu rykkes han helt op i direktionen i Jysk med 31.000 ansatte - får ny titel
Med software kommer opdatering af dansk simulator til at koste 125 millioner kroner
Advarsel: Donald Trumps fiksfakserier kan gøre amerikanske cloud-tjenester knaldende ulovlige i Europa
Se alle »
Computerworld
Teaser billede
Gratis og helt lovligt: Her kan du læse magasiner og aviser fra hele verden
Læs mere »
Test: Hurra - den billigste Mac er nu faktisk også den bedste
Nørgaard: Skal vi satse på open source eller amerikansk big tech i denne urolige tid?
Esbjerg jubler: Nyt datacenter på vej til byen
Se alle »
CIO
Teaser billede
Region Midtjylland dropper LibreOffice: Flytter 36.000 medarbejdere over på Microsoft 365
Læs mere »
Traf afgørende beslutning i 00'erne: Nu høster Salling Group frugterne af sin ERP-strategi
I dag træder ny stor sikkerhedslov fra EU i kraft: Dora-forordningen er nu gældende lov
Her er de største overraskelser i den danske implementering af NIS2: Det skal du være opmærksom på
Se alle »
Job & Karriere
Teaser billede
Merete Søby klar med nyt top-job efter pludselig exit fra Schultz: Her er hendes nye job
Læs mere »
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Dansk headhunter: Dette spørgsmål bliver jeg næsten altid stillet, når jeg forsøger at rekruttere it-folk
Se alle »
White paper
Teaser billede
Sådan: Én løsning til compliance, sikkerhed og overblik
Læs mere »
Sæt professionel døgnvagt på din it-infrastruktur
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »