Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

ASA5200, từ Inside không ping và đi internet

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • ASA5200, từ Inside không ping và đi internet

    Inside (Webserver)2.182/28 ---------2.181/28(Inside) (ASA5200)(Outside) 2.174/30 -----Leased Line --- -2.173/30 --- Internet.

    Hiện tại trong Inside (Webserver) không ping và đi internet được (nhưng đừng từ ASA thì ping 8.8.8.8 ok và yahoo ok).

    File cấu hình :


    interface GigabitEthernet0/0
    nameif Outside
    security-level 100
    ip address x.x.2.174 255.255.255.252
    !
    interface GigabitEthernet0/1
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface GigabitEthernet0/3
    nameif Inside
    security-level 100
    ip address x.x.2.181 255.255.255.240
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    dns domain-lookup Outside
    dns server-group DefaultDNS
    name-server 8.8.8.8
    object-group icmp-type ICMP_GRP
    icmp-object echo
    icmp-object echo-reply
    icmp-object information-reply
    icmp-object information-request
    icmp-object time-exceeded
    icmp-object timestamp-reply
    icmp-object traceroute
    access-list Inside_access_in extended permit icmp any any object-group ICMP_GRP
    access-list Inside_access_in extended permit tcp any any eq www
    access-list Inside_access_in extended permit tcp any any eq ssh
    pager lines 24
    logging enable
    logging asdm informational
    mtu Outside 1500
    mtu Inside 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-523.bin
    no asdm history enable
    arp timeout 14400
    access-group Inside_access_in in interface Outside
    access-group Inside_access_in in interface Inside
    route Outside 0.0.0.0 0.0.0.0 x.x.2.173 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    aaa authentication ssh console LOCAL
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    ssh version 2
    console timeout 0
    !
    !
    prompt hostname context
    Cryptochecksum:fa2ecc9e2ff38319b35d967c3c2730a8

    Nhờ anh em hướng dẫn giúp.
    Last edited by thanh3d; 22-02-2012, 05:21 PM.
    http://vn-telecom.com

  • #2
    theo em thấy có một số vấn đề thế này ạ:
    - mạng bên trong inside của anh là private đúng ko ạ? vậy em nghĩ anh thiết NAT, anh thử NAT xem có được ko ạ?
    - Cái interface outside thì anh nên để security-level là 0 anh nhé.

    Comment


    • #3
      Cảm ơn bạn đã trả lời.
      Nhưng các địa chỉ IP trong Inside và Outside đều là IP public đó bạn .
      http://vn-telecom.com

      Comment


      • #4
        Originally posted by thanh3d View Post
        Cảm ơn bạn đã trả lời.
        Nhưng các địa chỉ IP trong Inside và Outside đều là IP public đó bạn .
        - OK anh, vậy từ webserver anh có ping được địa chỉ x.x.2.173/30 không anh ?

        Comment


        • #5
          same-security-traffic permit

          Comment


          • #6
            Originally posted by dante04 View Post
            same-security-traffic permit
            trong file config anh ấy đã có command này rồi :access-group Inside_access_in in interface Outside => nên em nghĩ cho câu lệnh anh bảo vào cũng như vậy thôi ạ

            Comment


            • #7
              Originally posted by snowball View Post
              - OK anh, vậy từ webserver anh có ping được địa chỉ x.x.2.173/30 không anh ?
              Không em , chỉ ping được đến ip : 2.181 thôi, ngoài ra không ping được tới ip 2.174 và 2.173.
              http://vn-telecom.com

              Comment


              • #8
                ok anh, vấn đề nó nằm ở cái này anh ạ:
                đó chính là command này của anh :
                access-group Inside_access_in in interface Outside
                access-group Inside_access_in in interface Inside
                vì anh set cái security-level ở interface outside của anh là 100, thế nên khi anh dùng 2 command này anh ko ping được, bây giờ anh thêm command này vào là ok anh nhé : same-security-traffic permit inter-interface

                => Mà em cũng ko hiểu sao dùng cái command của anh lại ko được ? :( nếu như anh tìm được câu trả lời thì anh pm em nhé.

                Comment


                • #9
                  ok, thanks bạn, để mình test thử có gì báo bạn lại sau !

                  theo cisco:


                  same-security-traffic

                  To permit communication between interfaces with equal security levels, or to allow traffic to enter and exit the same interface, use the same-security-traffic command in global configuration mode. To disable the same-security traffic, use the no form of this command.

                  same-security-traffic permit {inter-interface | intra-interface}

                  no same-security-traffic permit {inter-interface | intra-interface}

                  Syntax Description

                  inter-interface Permits communication between different interfaces that have the same security level.

                  intra-interface Permits communication in and out of the same interface.
                  http://vn-telecom.com

                  Comment


                  • #10
                    cái này thì em biết anh ạ, nhưng sao câu lệnh của anh dùng lại ko được. ??

                    Comment


                    • #11
                      Originally posted by snowball View Post
                      cái này thì em biết anh ạ, nhưng sao câu lệnh của anh dùng lại ko được. ??
                      Ok , cảm ơn bạn,
                      Giờ mình muốn từ internet có thể remote desktop và truy cập web trong vùng Inside.


                      access-list OUT-TO-INSIDE extended permit tcp any host 182.237.20.82 eq 3389
                      access-list OUT-TO-INSIDE extended permit tcp any any

                      access-group OUT-TO-INSIDE in interface Outside
                      access-group OUT-TO-INSIDE out interface Outside
                      access-group OUT-TO-INSIDE in interface Inside
                      access-group OUT-TO-INSIDE out interface Inside

                      Nhưng vẫn không chạy dc, ...
                      http://vn-telecom.com

                      Comment


                      • #12
                        Ok. mình đã đổi IP public trên webserver thành IP private --- ok with NAT.
                        http://vn-telecom.com

                        Comment


                        • #13
                          em có một điều rất thắc mắc là sao anh lại để cái interface outside của anh có security level là 100. Anh nên để nó mặc định là 0, và sau đó anh chỉ cần dùng một command này là có thể thực hiện được hết những cái anh cần
                          Access-group Name of access-list in interface outside
                          còn khi anh muốn remote desktop anh chỉ cẩn permit một cái địa chỉ ip anh cần vào trong inside là ok thôi anh ạ

                          Comment

                          Working...
                          X