Cisco ASA 5505-Lizenz, echte Schnittstellenanbindung

0

Also habe ich einen Cisco ASA gekauft und versuche, 2 Schnittstellen für die vollständige Kommunikation miteinander zu bekommen. Ein anderer Techniker hier bei der Arbeit, der mehr weiß, sagt, dass ich dafür eine Sicherheits-Plus-Lizenz benötige und mein ASA eine Basislizenz hat. Ist das unbedingt wahr? Ich habe auch Probleme mit der Verbindung zu SSH aus dem Internet zu meinem ASA. Könnte dies auch unter meiner aktuellen Lizenz liegen? Wenn Sie sich die Dokumentation von Cisco zu meinem ASA ansehen, ist sie nicht so informativ, sondern eher eine schnelle Übersicht.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

Vielen Dank für Ihre Hilfe!

AKTUALISIEREN

Aktuelle ASA-Konfig http://pastebin.com/WSz8wNNv

networking firewall license xR34P3Rx
quelle
Was bedeutet "vollständig miteinander kommunizieren"?
David Schwartz
Nun ... Ping, Zugriffsfreigaben, etc ... Vollständige Kommunikation ... Als ob sie sich im selben Subnetz befinden. Sie befinden sich in separaten Subnetzen, müssen jedoch miteinander kommunizieren können.
xR34P3Rx
Sie möchten es also zum Routen zwischen Subnetzen verwenden? Damit dies funktioniert, müssen die anderen Geräte wissen, wie Datenverkehr an dieses Gerät gesendet wird. Haben Sie das auf diesen Geräten eingerichtet?
David Schwartz
Eigentlich arbeite ich gerade daran und ich habe ein Gerät auf einer anderen Schnittstelle, um das andere anzupingen, aber es funktioniert nicht für alle Geräte. Zum Beispiel kann mein kabelgebundener PC alles im kabellosen Subnetz anpingen, aber wenn ich meinen PC auf kabellos stelle, kann er meinen Server nicht im kabelgebundenen Netzwerk anpingen, sondern meinen Linux-Server. Es scheint, dass Pings für einige Geräte funktionieren und nicht für andere. Ich weiß nicht, warum das so ist.
xR34P3Rx
Beheben Sie einen Fall, in dem Ping nicht funktioniert, und sehen Sie, was schief geht. Wird der Ping gesendet? Empfängt das andere Ende es? Sendet es eine Antwort? Kommt die Antwort durch? Ich gehe davon aus, dass die Routingtabellen auf einigen Computern nicht korrekt sind und sie keine Ahnung haben, dass sie diesen ASA verwenden müssen, um das andere Subnetz zu erreichen. Zeigen die Standardrouten der Geräte auf den ASA?
David Schwartz

Antworten:

1

Standardmäßig erlauben ASAs nicht, dass Verkehr der Sicherheitsstufe auf eine andere Schnittstelle der gleichen Sicherheitsstufe gelangt. Dies ist Ihr primäres Problem. same-security-traffic permit intra-interface Befehl ist erforderlich.

Verwendungszweck: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

Das ALLOW_WIRED und ALLOW_WIRELESS ACLs werden definiert, aber nicht auf Schnittstellen angewendet. Außerdem empfehle ich, die ACLs von Standard-ACLs zu erweiterten ACLs zu ändern. Erweiterte ACLs ermöglichen die Steuerung des Datenverkehrs über Quelle und Ziel und nicht nur über die Quelle des Datenverkehrs.

Empfohlene Änderungen: (Aktualisiert am 17.02.2017: Aktualisierung der ACLs, um uneingeschränkten ausgehenden Zugriff gemäß Anforderung zu ermöglichen.) 

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Beachten Sie, dass die erste Regel in jeder ACL zwar überflüssig ist, jedoch hinzugefügt wurde, um einen zusätzlichen Kontext für die Verwendung der Regel bereitzustellen.

Testen: Alle Ausgaben sollten "Up" ergeben. 

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2
TDurden
quelle
habe es einfach ausprobiert und es hat funktioniert! Das einzige Problem ist jetzt, dass, während diese 2 Zugriffsgruppen aktiv sind, weder Netzwerk noch Netzwerk auf das Internet zugreifen können ...
xR34P3Rx
Ich habe versucht, eine zu machen access-list das erlaubt jedem Subnetz ein beliebiges Ziel. ip und fügte es meinem hinzu access-group für die Portweiterleitung aber noch keinen Zugang bekommen.
xR34P3Rx
ACLs haben am Ende eine "implizite Verweigerung" -Anweisung. Ein extended permit ip any any Müsste am Ende jeder ACL hinzugefügt werden, wenn das Internet von jedem Subnetz aus erreichbar sein soll.
TDurden
so in beispiel für ALLOW_WIRED_TO_WIRELESSIch müsste eine zweite ACL mit dem gleichen Namen, aber mit erstellen extended permit ip any any?
xR34P3Rx
Ja, obwohl es technisch die gleiche ACL ist. ALLOW_WIRED_TO_WIRELESS ist eine einzelne benannte, erweiterte ACL, auch wenn sie aus mehreren Regeln besteht. Ich werde die Lösung anpassen, damit die Ausgabe klarer wird. Beachten Sie, dass die Reihenfolge wie bei allen anderen ACLs wichtig ist. ACLs werden von oben nach unten ausgeführt.
TDurden