CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede barzog Nybegynder
07. juli 2009 - 09:22 Der er 1 kommentar

port forward / vpn på cisco asa 5505

Hejsa

Vi har lige anskaffet os en ASA5505 i forbindelse med at vi flyttede, og den volder mig nu lidt problemer.

1: Jeg har fået lavet hul igennem på SMTP (men er det rigtigt sat op?)

2: Mangler hul igennem på http til 192.168.1.4 (det samme gælder for et par andre porte, men hvis jeg har port 80 på plads, kan jeg vel finde ud af det hehe

3: VPN: Jeg har sat den op til split tunneling, men vi kan stadig ikke se vores "eget" net ved opkobling til VPNen - nogen ideer til hvorfor?

Opsætningen er pastet ind herunder:

------------------------------------------

: Saved
:
ASA Version 7.2(4)
!
hostname ciscoasa
domain-name firma.local
enable password XwCqRe52SrTQLlP7 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address [ekstern_ip] 255.255.255.224
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name firma.local
access-list outside_access_in extended permit icmp any any inactive
access-list outside_access_in extended permit tcp any any eq smtp
access-list outside_access_in extended permit tcp any host [ekstern_ip] eq www
access-list outside_access_in extended permit tcp any host [ekstern_ip] eq pop3
access-list firma_splitTunnelAcl standard permit any
access-list inside_nat0_outbound extended permit ip any 192.168.1.128 255.255.255.128
access-list outbound extended permit gre any any
access-list outbound extended permit tcp any any eq pptp
access-list outbound extended permit ip any any
access-list outbound extended permit tcp any any eq pop3
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool VPN_Pool 192.168.1.150-192.168.1.199 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any inside
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface smtp 192.168.1.4 smtp netmask 255.255.255.255
static (outside,inside) tcp interface smtp 192.168.1.4 smtp netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.1.4 www netmask 255.255.255.255
static (inside,outside) tcp interface pop3 192.168.1.4 pop3 netmask 255.255.255.255
static (outside,inside) tcp interface pop3 192.168.1.4 pop3 netmask 255.255.255.255
access-group outside_access_in in interface outside
access-group outbound in interface inside
route outside 0.0.0.0 0.0.0.0 [ekstern_ip] 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa-server firma-dc protocol radius
aaa-server firma-dc (inside) host 192.168.1.2
timeout 5
key [password]
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs group1
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
dhcpd address 192.168.1.2-192.168.1.33 inside
!

group-policy firma internal
group-policy firma attributes
dns-server value 192.168.1.2
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value firma_splitTunnelAcl
default-domain value firma.local
tunnel-group firma type ipsec-ra
tunnel-group firma general-attributes
address-pool VPN_Pool
authentication-server-group firma-dc
default-group-policy firma
tunnel-group firma ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect pptp
!
service-policy global_policy global
smtp-server 192.168.1.4
prompt hostname context
Cryptochecksum:c2776edb1f7d4cd8ddc942837826ddcc
: end
asdm image disk0:/asdm-524.bin
no asdm history enable
Avatar billede henrik_meyer Nybegynder
28. december 2010 - 13:36 #1
Hej,

Grunden til din www/HTTP forward ikke virker er at du bruger "Interface" i din static NAT og IP i din ACL:

static (inside,outside) tcp interface www 192.168.1.4 www netmask 255.255.255.255
access-list outside_access_in extended permit tcp any host [ekstern_ip] eq www

For at få det til at virke skal du bruge en af 2 muligheder:

static (inside,outside) tcp [ekstern_ip] www 192.168.1.4 www netmask 255.255.255.255
access-list outside_access_in extended permit tcp any host [ekstern_ip] eq www

eller

static (inside,outside) tcp interface www 192.168.1.4 www netmask 255.255.255.255
access-list outside_access_in extended permit tcp any interface  eq www
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
I går 18:46 Kan det passe ;-) Af fjorbak i Routere & Switches
I går 15:27 Billeder kan ikke åbnes Jpeg.modd Af KristinaS i Billedbehandling
I går 13:44 eM Client Af valby i E-mail programmer
I går 13:33 Facebook gruppe Af Btimmer i Sociale medier
White papers
Flere white papers »


Premium
Teaser billede
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
Læs mere »
Europas største software-leverandør stryger frem på cloud-fronten – men 97 procent af overskuddet er forduftet
Frustrerede synshaller og billister: Motorstyrelsens it-system plages af store driftsforstyrrelser
Fire år gamle Wiz takker nej til Alphabets historiske opkøbstilbud på 160 milliarder kroner: Satser i stedet på børsnotering
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Sådan forbereder energiselskabet OK sig på cyberangreb: "Prisen for ikke at gøre noget kan være forfærdeligt høj"
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »