Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Làm Sao Config ASA5520 Version 8.4 (4)1 Ra Internet!!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Làm Sao Config ASA5520 Version 8.4 (4)1 Ra Internet!!

    Dear All

    Pác nào hướng dẫn giúp em làm cách nào config ASA5520 version 8.4(4)1 ra Internet với!!!

    Thanks!!!

  • #2
    trời, bạn fải đưa ra đò hình cụ thể, kết nối thê nào và nhu cầu ra sao, thì mọi người mới hướng dẫn chứ...hỏi như vậy thì pó tay thôi...
    forever and me

    Comment


    • #3
      Chào tieudongta, cấu hình ASA 8.4 ra net thì cơ chế cũng như 8.2 hay 8.0 thôi, chỉ có cái là cấu hình nat thay đổi tí xíu. Ví dụ:
      Mô hình:


      Cấu hình có thêm các chính sách cho Server:

      //object definitions
      object network obj_any
      subnet 0.0.0.0 0.0.0.0
      object network obj-192.168.1.2
      host 192.168.1.2
      object network obj-192.168.1.3
      host 192.168.1.3

      //NAT Assignments
      object network obj_any
      nat (inside,outside) dynamic interface
      object network obj-192.168.1.2
      nat (inside,outside) static 1.1.1.3 service tcp www www
      object network obj-192.168.1.3
      nat (inside,outside) static 1.1.1.3

      //ACL Interface Binding
      access-group outside_access_in in interface outside
      //ACL Entries–Note the real IP address
      access-list outside_access_in extended permit tcp any host 192.168.1.2 eq www
      access-list outside_access_in extended permit tcp any host 192.168.1.3 eq smtp
      access-list outside_access_in extended permit tcp any host 192.168.1.3 eq https
      access-list outside_access_in extended permit icmp any host 192.168.1.3
      Lâm Văn Tú
      Email :
      cntt08520610@gmail.com
      Viet Professionals Co. Ltd. (VnPro)
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257 (5 lines)
      Fax (08) 35124314
      Tập tành bước đi....


      Comment


      • #4
        Originally posted by lamvantu View Post
        Chào tieudongta, cấu hình ASA 8.4 ra net thì cơ chế cũng như 8.2 hay 8.0 thôi, chỉ có cái là cấu hình nat thay đổi tí xíu. Ví dụ:
        Mô hình:


        Cấu hình có thêm các chính sách cho Server:
        Thanks Bạn Tú!!!

        Comment


        • #5
          Originally posted by yakuzazu View Post
          trời, bạn fải đưa ra đò hình cụ thể, kết nối thê nào và nhu cầu ra sao, thì mọi người mới hướng dẫn chứ...hỏi như vậy thì pó tay thôi...

          Mình có mô hình vậy nè!

          172.10.10.0/24 (inside)
          113.160.183.131 (outside) FPT cấp

          giờ cấu hình làm sao cho inside ra internet là ok!

          Comment


          • #6
            Originally posted by lamvantu View Post
            Chào tieudongta, cấu hình ASA 8.4 ra net thì cơ chế cũng như 8.2 hay 8.0 thôi, chỉ có cái là cấu hình nat thay đổi tí xíu. Ví dụ:
            Mô hình:


            Cấu hình có thêm các chính sách cho Server:
            Làm mãi vẫn không ra internet được!

            Static NAT/PAT Pre-8.3 NAT 8.3 NAT Regular Static NAT static (inside,outside) 192.168.100.100 10.1.1.6 netmask  255.255.255.255 object network obj-10.1.1.6    host 10.1.1.6    nat (inside,outside) static 192.168.100.100    Regular Static PAT static (inside,outside) tcp 192.168.100.100 80 10.1.1.1...

            Comment


            • #7
              Bạn có thể show cấu hình lên được không, nhớ chỉ rõ IP nhé. Và bạn nói không ra Net được thì cách bạn test như thế nào?
              Lâm Văn Tú
              Email :
              cntt08520610@gmail.com
              Viet Professionals Co. Ltd. (VnPro)
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257 (5 lines)
              Fax (08) 35124314
              Tập tành bước đi....


              Comment


              • #8
                Originally posted by lamvantu View Post
                Bạn có thể show cấu hình lên được không, nhớ chỉ rõ IP nhé. Và bạn nói không ra Net được thì cách bạn test như thế nào?

                Mò từ sáng tới giờ cuối cùng cũng được! nhưng mình ping từ route "ping 8.8.8.8 hay ping 210.245.31.10" thì ok hết. còn máy không hiểu sao không ra internet được.

                config cua mình ne:

                HCM

                ASA Version 8.4(4)1
                !
                hostname HCM
                enable password y3bCO0LVxPszDC9z encrypted
                passwd 2KFQnbNIdI.2KYOU encrypted
                names
                !
                interface Ethernet0/0
                nameif inside
                security-level 100
                ip address 172.10.10.254 255.255.255.0
                !
                interface Ethernet0/1
                nameif outside
                security-level 0
                pppoe client vpdn group FPT
                ip address pppoe
                !
                interface Ethernet0/2
                shutdown
                no nameif
                no security-level
                no ip address
                no security-level
                no ip address
                !
                interface Management0/0
                nameif management
                security-level 100
                ip address 192.168.1.1 255.255.255.0
                management-only
                !
                boot system disk0:/asa844-1-k8.bin
                ftp mode passive
                object network SITE-B-HCM
                subnet 172.10.10.0 255.255.255.0
                object network SITE-A-TH
                subnet 172.10.11.0 255.255.255.0
                object network obj_any
                subnet 0.0.0.0 0.0.0.0
                access-list VPN-INTERESTING-TRAFFIC extended permit ip object SITE-B-HCM object
                SITE-A-TH
                pager lines 24
                logging asdm informational
                mtu inside 1500
                mtu outside 1500
                mtu management 1500
                no failover
                icmp unreachable rate-limit 1 burst-size 1
                asdm image disk0:/asdm-649-103.bin
                no asdm history enable
                arp timeout 14400
                nat (inside,outside) source static SITE-B-HCM SITE-B-HCM destination static SITE
                -A-TH SITE-A-TH
                !
                object network SITE-B-HCM
                nat (inside,outside) dynamic 118.69.255.125
                object network obj_any
                nat (inside,outside) static 118.69.255.125
                route outside 0.0.0.0 0.0.0.0 118.69.255.125 1
                route outside 113.160.183.131 255.255.255.255 123.29.4.227 1
                route outside 172.10.11.0 255.255.255.0 113.160.183.131 1
                timeout xlate 3:00:00
                timeout pat-xlate 0:00:30
                timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
                timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
                timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
                timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
                timeout tcp-proxy-reassembly 0:01:00
                timeout floating-conn 0:00:00
                dynamic-access-policy-record DfltAccessPolicy
                user-identity default-domain LOCAL
                http server enable
                http 192.168.1.0 255.255.255.0 management
                http 172.10.10.0 255.255.255.0 inside
                no snmp-server location
                no snmp-server contact
                crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
                crypto map outside_map 1 match address VPN-INTERESTING-TRAFFIC
                crypto map outside_map 1 set pfs
                crypto map outside_map 1 set peer 113.160.183.131
                crypto map outside_map 1 set ikev1 transform-set ESP-3DES-SHA
                crypto map outside_map interface outside
                crypto ikev1 enable outside
                crypto ikev1 policy 10
                authentication pre-share
                encryption 3des
                hash sha
                group 2
                lifetime 86400
                telnet timeout 5
                ssh timeout 5
                ssh key-exchange group dh-group1-sha1
                console timeout 0
                management-access inside
                threat-detection basic-threat
                threat-detection statistics access-list
                no threat-detection statistics tcp-intercept
                webvpn
                tunnel-group 113.160.183.131 type ipsec-l2l
                tunnel-group 113.160.183.131 ipsec-attributes
                ikev1 pre-shared-key *****
                !

                *** Mình cấu hình VPN site to site show ra thì ok nhưng mình khong biet sai chỗ nào mà mãng bên trong không thay nhau.
                show crypto isakmp sa

                Active SA: 1
                Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
                Total IKE SA: 1

                1 IKE Peer: 113.160.183.131
                Type : L2L Role : responder
                Rekey : no State : MM_ACTIVE
                Last edited by tieudongta; 08-11-2012, 04:16 PM. Reason: sua

                Comment


                • #9
                  Originally posted by tieudongta View Post
                  Mò từ sáng tới giờ cuối cùng cũng được! nhưng mình ping từ route "ping 8.8.8.8 hay ping 210.245.31.10" thì ok hết. còn máy không hiểu sao không ra internet được.

                  config cua mình ne:

                  HCM

                  ASA Version 8.4(4)1
                  !
                  hostname HCM
                  enable password y3bCO0LVxPszDC9z encrypted
                  passwd 2KFQnbNIdI.2KYOU encrypted
                  names
                  !
                  interface Ethernet0/0
                  nameif inside
                  security-level 100
                  ip address 172.10.10.254 255.255.255.0
                  !
                  interface Ethernet0/1
                  nameif outside
                  security-level 0
                  pppoe client vpdn group FPT
                  ip address pppoe
                  !
                  interface Ethernet0/2
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  no security-level
                  no ip address
                  !
                  interface Management0/0
                  nameif management
                  security-level 100
                  ip address 192.168.1.1 255.255.255.0
                  management-only
                  !
                  boot system disk0:/asa844-1-k8.bin
                  ftp mode passive
                  object network SITE-B-HCM
                  subnet 172.10.10.0 255.255.255.0
                  object network SITE-A-TH
                  subnet 172.10.11.0 255.255.255.0
                  object network obj_any
                  subnet 0.0.0.0 0.0.0.0
                  access-list VPN-INTERESTING-TRAFFIC extended permit ip object SITE-B-HCM object
                  SITE-A-TH
                  pager lines 24
                  logging asdm informational
                  mtu inside 1500
                  mtu outside 1500
                  mtu management 1500
                  no failover
                  icmp unreachable rate-limit 1 burst-size 1
                  asdm image disk0:/asdm-649-103.bin
                  no asdm history enable
                  arp timeout 14400
                  nat (inside,outside) source static SITE-B-HCM SITE-B-HCM destination static SITE
                  -A-TH SITE-A-TH
                  !
                  object network SITE-B-HCM
                  nat (inside,outside) dynamic 118.69.255.125
                  object network obj_any
                  nat (inside,outside) static 118.69.255.125
                  route outside 0.0.0.0 0.0.0.0 118.69.255.125 1
                  route outside 113.160.183.131 255.255.255.255 123.29.4.227 1
                  route outside 172.10.11.0 255.255.255.0 113.160.183.131 1
                  timeout xlate 3:00:00
                  timeout pat-xlate 0:00:30
                  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
                  timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
                  timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
                  timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
                  timeout tcp-proxy-reassembly 0:01:00
                  timeout floating-conn 0:00:00
                  dynamic-access-policy-record DfltAccessPolicy
                  user-identity default-domain LOCAL
                  http server enable
                  http 192.168.1.0 255.255.255.0 management
                  http 172.10.10.0 255.255.255.0 inside
                  no snmp-server location
                  no snmp-server contact
                  crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
                  crypto map outside_map 1 match address VPN-INTERESTING-TRAFFIC
                  crypto map outside_map 1 set pfs
                  crypto map outside_map 1 set peer 113.160.183.131
                  crypto map outside_map 1 set ikev1 transform-set ESP-3DES-SHA
                  crypto map outside_map interface outside
                  crypto ikev1 enable outside
                  crypto ikev1 policy 10
                  authentication pre-share
                  encryption 3des
                  hash sha
                  group 2
                  lifetime 86400
                  telnet timeout 5
                  ssh timeout 5
                  ssh key-exchange group dh-group1-sha1
                  console timeout 0
                  management-access inside
                  threat-detection basic-threat
                  threat-detection statistics access-list
                  no threat-detection statistics tcp-intercept
                  webvpn
                  tunnel-group 113.160.183.131 type ipsec-l2l
                  tunnel-group 113.160.183.131 ipsec-attributes
                  ikev1 pre-shared-key *****
                  !

                  *** Mình cấu hình VPN site to site show ra thì ok nhưng mình khong biet sai chỗ nào mà mãng bên trong không thay nhau.
                  show crypto isakmp sa

                  Active SA: 1
                  Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
                  Total IKE SA: 1

                  1 IKE Peer: 113.160.183.131
                  Type : L2L Role : responder
                  Rekey : no State : MM_ACTIVE
                  Hi, bạn thử cấu hình thêm các ACL cho phép ping thử. Ví dụ:

                  access-list ping permit icmp any any echo-reply
                  access-list ping in inter outside
                  Lâm Văn Tú
                  Email :
                  cntt08520610@gmail.com
                  Viet Professionals Co. Ltd. (VnPro)
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel: (08) 35124257 (5 lines)
                  Fax (08) 35124314
                  Tập tành bước đi....


                  Comment


                  • #10
                    Originally posted by lamvantu View Post
                    Hi, bạn thử cấu hình thêm các ACL cho phép ping thử. Ví dụ:
                    Hi Ban Tu!!!

                    Giờ VPN thì chạy rồi nhưng không hiểu sao ping không thấy mạng trong và máy con không ra nét được!!!

                    g

                    Comment


                    • #11
                      Originally posted by tieudongta View Post
                      Hi Ban Tu!!!

                      Giờ VPN thì chạy rồi nhưng không hiểu sao ping không thấy mạng trong và máy con không ra nét được!!!

                      g
                      Ping không thấy mạng con là sao bạn, còn phần máy con không ra nét được bạn nghiên cứu thêm về split tunneling trong IPSec VPN (nôm na của thèn này là xác định traffic cần mã hóa-chui qua đường hầm)
                      :
                      Lâm Văn Tú
                      Email :
                      cntt08520610@gmail.com
                      Viet Professionals Co. Ltd. (VnPro)
                      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                      Tel: (08) 35124257 (5 lines)
                      Fax (08) 35124314
                      Tập tành bước đi....


                      Comment


                      • #12
                        Hi bạn
                        Bạn thêm phần inspect cho traffic nhé. Version 8.4 mặc định ko có inspect như các ver cũ hơn :)

                        Comment

                        Working...
                        X