Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

xin giúp đỡ cấu hình ASA 5525-x

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • xin giúp đỡ cấu hình ASA 5525-x

    Các anh, mô hình mạng e đơn giản chỉ có 2 interface outside và inside. outside có ip wan e lấy đại ip là 10.100.100.1/30, còn inside 192.168.1.0/24
    em tìm đọc tài liệu trên mạng thì đã có thể nat ra internet (em chọn option nat PAT). nhưng e không thể nat port 80 cho máy chủ web của e ra ngoài internet được. e đã cấu hình access rule cho tất cả các gói tin chạy qua và trỏ đến ip máy chủ web.
    do chủ yếu e tìm đọc trên mạng nên không biết diễn tả như thế nào. Các anh có thể hướng dẫn em cấu hình như thể nào để con asa có thể cho máy chủ web e ra internet được k, em cảm ơn rất nhiều

  • #2
    Bạn thử cấu hình như thế này xem sao nhé
    Code:
    object network WebServer
     host 192.168.1.100
     nat (Inside,Outside) static 10.100.100.2 service tcp 80 80
    access-list Outside_access_in extended permit tcp any object WebServer eq 80 
    access-group Outside_access_in in interface Outside
    Do bạn NAT dịch vụ Web ra bên ngoài nên cần phải có IP tĩnh để từ ngoài truy cập vào vì vậy trên Outside Interface bạn đặt IP là 10.100.100.1/24 nhé.
    Link tham khảo: http://www.cisco.com/c/en/us/td/docs...html#wp1074591
    Last edited by Gunz; 22-05-2014, 12:12 PM.

    Comment


    • #3
      a ơi cho em hỏi.
      hệ thống của e có 1 con vigor fly 200 có chức năng quay pppoe và nó như 1 cái gateway nhận ip wan là 100.100.100.1 255.255.255.252 (e lấy đại 1 ip).
      sau đó e lấy 1 dây mạng cắm từ vigor vào asa e lấy ip là 100.100.100.2 255.255.255.252.
      e cấu hình bt đến khi e nat web ra như a chỉ thì nó báo lỗi
      ERROR: 100.100.100.2 overlaps with outside interface address
      ERROR: NAT policy is not downloaded

      A chỉ giúp em là lỗi gì được k, e cảm ơn

      Comment


      • #4
        a cho em hỏi luôn là địa chỉ 100.100.100.2 trong lệnh nat của anh là lấy ở đâu vậy

        Comment


        • #5
          các anh cho em hỏi, e đã nat các dịch vụ ok, và cho mạng trong ra được internet, nhưng khi e đứng từ mạng trong truy cập vào webserver của mình theo tên miền thì lại không được, em cảm ơn

          Comment


          • #6
            Originally posted by vson89 View Post
            các anh cho em hỏi, e đã nat các dịch vụ ok, và cho mạng trong ra được internet, nhưng khi e đứng từ mạng trong truy cập vào webserver của mình theo tên miền thì lại không được, em cảm ơn
            Cho mình hỏi...LAN đã thông internet, nhưng LAN khônng truy cập được qua DMZ (bằng domain), anh xem thử ping đến địa chỉ web-server ok ko? Và LAN đã được cấp DNS-server chưa?

            Thân,
            Lâm Văn Tú
            Email :
            cntt08520610@gmail.com
            Viet Professionals Co. Ltd. (VnPro)
            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
            Tel: (08) 35124257 (5 lines)
            Fax (08) 35124314
            Tập tành bước đi....


            Comment


            • #7
              không, ý mình là các máy trong dmz, và inside khi gõ tên web bằng địa chỉ thì lại không vào được. cụ thể là khi mình từ lan gõ ip của máy web thì ok, nhưng khi mình gõ abc.com thì lại không vào được tương tự như các máy trong vùng dmz khi gõ abc.com cũng không vào được

              Comment


              • #8
                Chào bạn, bạn có thể gửi mình cấu hình và sơ đồ được không? trong sơ đồ con DNS server không bạn? Thanks.
                Lâm Văn Tú
                Email :
                cntt08520610@gmail.com
                Viet Professionals Co. Ltd. (VnPro)
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel: (08) 35124257 (5 lines)
                Fax (08) 35124314
                Tập tành bước đi....


                Comment


                • #9
                  mình xin lỗi vì đã post câu hỏi sai, đây là file cấu hình của mình


                  ASA Version 8.6(1)2
                  !
                  hostname asa5525
                  enable password 8Ry2YjIyt7RRXU24 encrypted
                  passwd 2KFQnbNIdI.2KYOU encrypted
                  names
                  !
                  interface GigabitEthernet0/0
                  nameif inside
                  security-level 100
                  ip address 172.16.3.1 255.255.255.252
                  !
                  interface GigabitEthernet0/1
                  nameif dmz
                  security-level 50
                  ip address 172.16.2.1 255.255.255.192
                  !
                  interface GigabitEthernet0/2
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  interface GigabitEthernet0/3
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  interface GigabitEthernet0/4
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  interface GigabitEthernet0/5
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  interface GigabitEthernet0/6
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  interface GigabitEthernet0/7
                  nameif outside
                  security-level 0
                  ip address 10.166.22.200 255.255.255.0
                  !
                  interface Management0/0
                  shutdown
                  no nameif
                  no security-level
                  no ip address
                  !
                  ftp mode passive
                  object network subnet-dmz
                  subnet 172.16.2.0 255.255.255.192
                  object network subnet-inside
                  subnet 172.16.3.0 255.255.255.252
                  object network webserver-from-outside
                  host 172.16.2.4
                  access-list outsideTOdmz extended permit tcp any host 172.16.2.4 eq www
                  pager lines 24
                  mtu outside 1500
                  mtu inside 1500
                  mtu dmz 1500
                  no failover
                  icmp unreachable rate-limit 1 burst-size 1
                  no asdm history enable
                  arp timeout 14400
                  !
                  object network subnet-dmz
                  nat (dmz,outside) dynamic interface
                  object network subnet-inside
                  nat (inside,outside) dynamic interface
                  object network webserver-from-outside
                  nat (dmz,outside) static interface service tcp www www
                  access-group outsideTOdmz in interface outside
                  route outside 0.0.0.0 0.0.0.0 10.166.22.1 1
                  timeout xlate 3:00:00
                  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
                  timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
                  timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
                  timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
                  timeout tcp-proxy-reassembly 0:01:00
                  timeout floating-conn 0:00:00
                  dynamic-access-policy-record DfltAccessPolicy
                  user-identity default-domain LOCAL
                  no snmp-server location
                  no snmp-server contact
                  snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
                  telnet timeout 5
                  ssh timeout 5
                  console timeout 0
                  vpdn username sotainguyenmtbd password ***** store-local
                  threat-detection basic-threat
                  threat-detection statistics access-list
                  no threat-detection statistics tcp-intercept
                  !
                  class-map inspection_default
                  match default-inspection-traffic
                  !
                  !
                  policy-map type inspect dns preset_dns_map
                  parameters
                  message-length maximum client auto
                  message-length maximum 512
                  policy-map global_policy
                  class inspection_default
                  inspect dns preset_dns_map
                  inspect ftp
                  inspect h323 h225
                  inspect h323 ras
                  inspect ip-options
                  inspect netbios
                  inspect rsh
                  inspect rtsp
                  inspect skinny
                  inspect esmtp
                  inspect sqlnet
                  inspect sunrpc
                  inspect tftp
                  inspect sip
                  inspect xdmcp
                  !
                  service-policy global_policy global
                  prompt hostname context
                  no call-home reporting anonymous
                  call-home
                  profile CiscoTAC-1
                  no active
                  destination address http https://tools.cisco.com/its/service/...es/DDCEService
                  destination address email callhome@cisco.com
                  destination transport-method http
                  subscribe-to-alert-group diagnostic
                  subscribe-to-alert-group environment
                  subscribe-to-alert-group inventory periodic monthly 7
                  subscribe-to-alert-group configuration periodic monthly 7
                  subscribe-to-alert-group telemetry periodic daily
                  Cryptochecksum:b631ddd366aac7082ea5e3bf19adad6e
                  : end

                  khi mình cấu hình với mô hình trên thì khi truy cập từ ngoài vào địa chỉ 10.166.22.200 vào được website.
                  Nhưng khi mình đưa vào mô hình thực tế của công ty thì website lại không NAT được. mình có 1 câu hỏi nhưng không chắc là đúng k, hiện công ty đang có 2 đường truyền và lấy một vigor fly 200 quay pppoe, vigor chỉ đóng vai trò như 1 gateway, địa chỉ ip tĩnh của công ty mình đăng ký là 200.200.200.1 subnet 255.255.255.252, khi cấu hình trên TMG thì mình để địa chỉ ouside bên ngoài là 200.200.200.2 255.255.255.252 gateway trỏ về 200.200.200.1.
                  Khi mình nat theo cấu trúc lệnh này (mình tham khảo từ địa chỉ này: http://www.cisco.com/c/en/us/support...ig-dmz-00.html)
                  object network webserver-external-ip
                  host 200.200.200.2
                  !
                  object network webserver
                  host 172.16.2.4
                  nat (dmz,outside) static webserver-external-ip service tcp www www
                  thì asa báo lỗi như sau:

                  ERROR: Address 200.200.200.2 overlaps with outside interface address.
                  ERROR: NAT Policy is not downloaded


                  Mong các bạn giúp đỡ dùm mình, mình cảm ơn rất nhiều
                  Last edited by vson89; 07-06-2014, 09:04 AM.

                  Comment


                  • #10
                    Thử bỏ đoạn này xem sao:
                    object network webserver-from-outside
                    nat (dmz,outside) static interface service tcp www www
                    Bạn có thể cho mình sơ đồ...vẽ đơn giản để biết IP và thiết bị nằm đâu được không?
                    Thân,
                    Lâm Văn Tú
                    Email :
                    cntt08520610@gmail.com
                    Viet Professionals Co. Ltd. (VnPro)
                    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                    Tel: (08) 35124257 (5 lines)
                    Fax (08) 35124314
                    Tập tành bước đi....


                    Comment


                    • #11
                      đây là sơ đồ của mình:

                      Comment


                      • #12
                        sơ đồ của mình:

                        Comment


                        • #13
                          mình đã bõ dòng đó rồi, nhưng vẫn không được

                          Comment


                          • #14
                            @vson89: LAN không truy cập được Web Server trong DMZ bằng tên miền có thể là do DNS Server của bạn để bên ngoài và đang trỏ tên miền vào IP Public (đang được cấu hình trên Outside Interface của ASA), và theo như mình biết thì ASA không cho phép truy cập từ Inside Interface đến Outside Interface nên kết quả là bạn không thể truy cập được. Phương án giải quyết cho vấn đề này là bạn cấu hình 1 DNS Server nội bộ và cấu hình trỏ tên miền vào Private IP của Web Server.

                            Comment


                            • #15
                              @vson89: Với mô hình bạn đang sử dụng thì bạn có thể làm theo hướng dẫn phía dưới để cấu hình Vigor Fly chạy chế độ bridge, khi đó Vigor Fly sẽ đóng vai trò như 1 converter quang và tất cả việc cấu hình (PPPoE, NAT, Routing....) sẽ thực hiện trên ASA. Theo mình làm như vậy sẽ chủ động trong việc quản lý mạng và hiệu suất sử dụng trong mạng sẽ tốt hơn.

                              Comment

                              Working...
                              X