Announcement

**nguyenquocle** · 07-04-2009, 04:15 PM

bạn đứng trong inside có khả năng kết nối đến cổng 1433 không?bạn kiểm tra lại trên SQL vì có thể bạn chỉ cho mạng inside .2.0/24 kết nối SQL thôi đó!

**machungba** · 08-04-2009, 05:10 PM

Trong inside mình có thể kết nối tới sql server, trong miền dmz (.3.0/24) mình cũng có thể tạo access-list cho phép webserver kết nối với inside qua port1433 rồi nhưng các máy vpn thì không được, mình thắc mắc là làm thế nào để gán access-list cho vpn interface vì firewall asa chỉ có khái niệm inside, outside, dmz,.. interface thôi chứ không có khái niệm vpn interface để gán access-list .
Giả sử mình có access-list thế này thì gán trên interface nào:
access-list vpn_access_sql extended permit tcp 192.168.4.0 255.255.255.0 192.168.2.0 255.255.255.0 eq 1433

access-list này nhằm mục đích cho các vpn client truy nhập inside qua port 1433

**machungba** · 10-04-2009, 08:56 AM

Rất mong các bạn có kinh nghiệm giúp đỡ

**homeless** · 10-04-2009, 09:34 AM

Lần sau bạn nên post là bạn dung firewall gi, version bao nhiêu luôn dum. ACL apply vào outside interface. Sau này gặp trương hợp đi không được thế này thì bạn nên dùng ACL permit any any và log lại rui apply vào inside, outside, dmz thì khi ban access bạn se thấy traffic di nhu the nào.
Nếu bạn dung cisco firewall ban co the dung capture feature tren firewall de capture traffic từ .4.0/ dến .2.0. Như thế bạn sẽ thấy đươc traffic đi lảm sao

**machungba** · 10-04-2009, 10:23 AM

Cảm ơn bạn Homeless, mình đang dùng ASA5505 version 6. . Đây là mô hình và cấu hình mình đã làm, mong được giúp đỡ vì mình đã mò mẫm mãi mà không giải quyết được
Mục đích:
- Public Web (Webserver : 192.168.3.2)
- Cho phép client kết nối tới SQL server (SQL server: 192.168.2.3)
------------------------------------------
- Firewall đóng vai trò VPN server
- Đã cấu hình VPN thành công (VPN client sau khi vpn sẽ nằm trong dải 192.168.4.0/24)
! Access-list trên outside cho phép traffic HTTP từ bất kỳ và traffic SQL từ VPN client
Access-list outside_acl_in extended permit tcp any any eq 80
Access-list outside_acl_in extended permit tcp any any eq 8080
Access-list outside_acl_in extended permit tcp 192.168.4.0 255.255.255.0 host 192.168.2.3 eq sqlnet
Access-list outside_acl_in extended permit tcp 192.168.4.0 255.255.255.0 host 192.168.2.3 eq 1433
Access-group outside_acl_in in interface outside

! Access-list trên DMZ cho phép traffic http và kết nối sql tới máy trủ SQL
Access-list dmz_acl_in extended permit tcp any any eq 80
Access-list dmz_acl_in extended permit tcp any any eq 8080
Access-list dmz_acl_in extended permit tcp 192.168.3.0 255.255.255.0 host 192.168.2.3 eq sqlnet
Access-list dmz_acl_in extended permit tcp 192.168.3.0 255.255.255.0 host 192.168.2.3 eq 1433
Access-group dmz_acl_in in interface dmz

!Access-list trên Inside cho phép VPN client (192.168.4.0/24) và Webserver (192.168.3.0/24) kết nối tới SQL server
Access-list inside_acl_in extended permit tcp 192.168.3.0 255.255.255.0 host 192.168.2.3 eq sqlnet
Access-list inside_acl_in extended permit tcp 192.168.3.0 255.255.255.0 host 192.168.2.3 eq 1433
Access-list inside_acl_in extended permit tcp 192.168.4.0 255.255.255.0 host 192.168.2.3 eq sqlnet
Access-list inside_acl_in extended permit tcp 192.168.4.0 255.255.255.0 host 192.168.2.3 eq 1433
Access-group inside_acl_in in interface inside

Static (dmz,outside) x.x.x.51 192.168.3.2 netmask 255.255.255.255

Sau khi làm xong thì đã
-public được webside qua địa chỉ x.x.x.51,
-Webserver đã kết nối được tới SQLserver
-VPN client đã remote desktop được máy 192.168.2.3
Nhưng VPN client không thể kết nối tới SQL server (192.168.2.3)

Announcement

Xin hỏi về access-list trên vpn interface

Xin hỏi về access-list trên vpn interface

Comment

Comment

Comment

Comment

Comment