Salut tout le monde ,
Je suis à la recherche de quelqu un qui maitrise bien les firewall CISCO ASA 5505 .
Car j'ai du mal à configurer le mien , je pense que je dois oublier un petit truc .
Pour vous expliquer mon problème :
Je veux que mon ASA gere mon accé internet , j'ai mis ma box en mode bridge .
J'ai bien une ip en DHCP , j'ai créé un autre VLAN pour le réseau Inside mais par contre j'arrive pas à sortir ( pas de ping pas d internet ) pourtant j'ai tout laisser sortir au niveau des regle firewall.
J'ai la possibilité de mettre un teamviewer , j'utilise l ASDM ou le terminal .
Je pourrais mettre plus d'info si quelqu un peu m'aider
En vous remerciant
Max
Configuration ASA 5505
Configuration ASA 5505
salut, t'as creer une regle NAT pour la sortie ?
Configuration ASA 5505
Salut merci de ton aide , oui j avais créé une regle NAT static de mon outside vers inside et dans l autre sens
Configuration ASA 5505
il te faut une regle NAT pour le surf.
et ensutie une ACL pour autoriser le trafic.
et ensutie une ACL pour autoriser le trafic.
Configuration ASA 5505
Je vais refaire des testes des que je peux et vous metterez la conf voir si quelqu un vois un oublie de ma part .
En vous remerciant de votre aide
En vous remerciant de votre aide
Configuration ASA 5505
Hello,
si ca peut t'aider, voic l'asdm avec une "bete" config
si ca peut t'aider, voic l'asdm avec une "bete" config
Configuration ASA 5505
Bonjour , j'ai refait des tests mais je reste toujours bloqué .
Mon ASA communique bien vers l exterrieur mais impossible de sortir depuis mon reseau inside . Meme le ping ne passe pas .
Voici la conf de mon ASA , si quelqu un a une idée .
[cpp]ASA# show run
: Saved
:
: Serial Number: JMX1420F4
: Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
:
ASA Version 9.2(3)
!
hostname ASA
enable password 4fNWeMdlJhR2 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 4fNWesd6YhR2 encrypted
names
!
interface Ethernet0/0
switchport access vlan 21
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 11
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport monitor Ethernet0/0
!
interface Vlan1
nameif Inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Vlan21
nameif Outside
security-level 0
ip address dhcp setroute
!
boot system disk0:/asa923-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 212.27.40.240
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network IP-PUBLIC
host 78.210.55.59
object network IP-Gateway-FREE
host 78.210.55.254
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_SERVICE_1
service-object ip
service-object icmp
service-object udp
service-object tcp
service-object tcp destination eq domain
service-object udp destination eq domain
access-list outside_access_in extended permit icmp any4 192.168.1.0 255.255.255.0
access-list Inside_access_in extended permit object-group DM_INLINE_PROTOCOL_2 interface Inside interface Outside
access-list Outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 interface Outside interface Inside
access-list global_access extended permit object-group DM_INLINE_SERVICE_1 any any
pager lines 24
logging enable
logging asdm informational
mtu Inside 1500
mtu Outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any Inside
icmp permit any Outside
asdm image disk0:/asdm-731-100.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (Outside,Inside) source static IP-PUBLIC IP-PUBLIC
access-group Inside_access_in in interface Inside
access-group Outside_access_in in interface Outside
access-group global_access global
route Outside 0.0.0.0 0.0.0.0 78.210.55.254 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
enrollment self
subject-name CN=192.168.1.254,CN=ASA
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
certificate 8c630357
308202fe 308201e6 a0030201 0202048c 63035730 0d06092a 864886f7 0d010105
05003041 310c300a 06035504 03130341 53413116 30140603 55040313 0d313932
2e313638 2e312e32 35343119 30170609 2a864886 f70d0109 02160a41 53412e53
4b594e45 54301e17 0d313630 34303931 33353031 315a170d 32363034 30373133
35303131 5a304131 0c300a06 03550403 13034153 41311630 14060355 0403130d
3139322e 3136382e 312e3235 34311930 1706092a 864886f7 0d010902 160a4153
4da9348d 4636af18 1c10816f b9b30fe7 2900b615 4ac28c0f 77f888fb f46c7db1
0c7fd132 be04c9e3 e9020301 0001300d 06092a86 4886f70d 01010505 00038201
010062f7 4ae49347 823449c6 c51a9812 4bbe6cce 97c2e2f0 4810663a fe0e2283
630aca14 2846dbcb 18e17351 c78af304 f616ec98 f2ff14f1 7dc20de3 090f6fb5
5fcee325 48a8c1df 6fd84ec1 1e6eac13 a0718fa4 972fb015 2868bfbd 82011316
f4a28d28 7d89f251 7c90cb95 b1d86fdb 64c16201 4195f5e9 22f8ed90 35606c3a
07d2c1c4 ea5b6f8a bcd57b5a 343c698b e649a742 c75909d6 d8c6da64 eae2e5ec
db0f1960 6c25119c 4494a02a bc6bec95 cd94f38b 55c76ae7 6c89f93f c1a8b1c2
0382d7ea cd5a9128 33cb1781 8b95ab92 88593f42 d8820dff ed5ebd4b 471e2233
b3dda88a 38adde8a cc4fdb8e 0999eb5f 69d3a0f8 debe936e b0d9a9cd 433a2ca0
67ac
quit
telnet timeout 5
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 Inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcp-client client-id interface Outside
dhcpd address 192.168.1.100-192.168.1.150 Inside
dhcpd dns 212.27.40.240 212.27.40.241 interface Inside
!
threat-detection basic-threat
threat-detection scanning-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 192.168.1.1 source Inside prefer
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 Inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 Inside vpnlb-ip
webvpn
enable Inside
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol l2tp-ipsec
username admin password FcQXeVSg9hY encrypted privilege 15
username fox password M/g/lNkrVRa encrypted
username fox attributes
service-type remote-access
webvpn
url-list value Fox
tunnel-group Fox type remote-access
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/odd ... DCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
hpm topN enable
Cryptochecksum:78ccdd630fccd4ff75cc926ecfaa
: end
[/cpp]
En vous remerciant
Mon ASA communique bien vers l exterrieur mais impossible de sortir depuis mon reseau inside . Meme le ping ne passe pas .
Voici la conf de mon ASA , si quelqu un a une idée .
[cpp]ASA# show run
: Saved
:
: Serial Number: JMX1420F4
: Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
:
ASA Version 9.2(3)
!
hostname ASA
enable password 4fNWeMdlJhR2 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd 4fNWesd6YhR2 encrypted
names
!
interface Ethernet0/0
switchport access vlan 21
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 11
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport monitor Ethernet0/0
!
interface Vlan1
nameif Inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Vlan21
nameif Outside
security-level 0
ip address dhcp setroute
!
boot system disk0:/asa923-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 212.27.40.240
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network IP-PUBLIC
host 78.210.55.59
object network IP-Gateway-FREE
host 78.210.55.254
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group service DM_INLINE_SERVICE_1
service-object ip
service-object icmp
service-object udp
service-object tcp
service-object tcp destination eq domain
service-object udp destination eq domain
access-list outside_access_in extended permit icmp any4 192.168.1.0 255.255.255.0
access-list Inside_access_in extended permit object-group DM_INLINE_PROTOCOL_2 interface Inside interface Outside
access-list Outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 interface Outside interface Inside
access-list global_access extended permit object-group DM_INLINE_SERVICE_1 any any
pager lines 24
logging enable
logging asdm informational
mtu Inside 1500
mtu Outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any Inside
icmp permit any Outside
asdm image disk0:/asdm-731-100.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (Outside,Inside) source static IP-PUBLIC IP-PUBLIC
access-group Inside_access_in in interface Inside
access-group Outside_access_in in interface Outside
access-group global_access global
route Outside 0.0.0.0 0.0.0.0 78.210.55.254 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 Inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
enrollment self
subject-name CN=192.168.1.254,CN=ASA
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
certificate 8c630357
308202fe 308201e6 a0030201 0202048c 63035730 0d06092a 864886f7 0d010105
05003041 310c300a 06035504 03130341 53413116 30140603 55040313 0d313932
2e313638 2e312e32 35343119 30170609 2a864886 f70d0109 02160a41 53412e53
4b594e45 54301e17 0d313630 34303931 33353031 315a170d 32363034 30373133
35303131 5a304131 0c300a06 03550403 13034153 41311630 14060355 0403130d
3139322e 3136382e 312e3235 34311930 1706092a 864886f7 0d010902 160a4153
4da9348d 4636af18 1c10816f b9b30fe7 2900b615 4ac28c0f 77f888fb f46c7db1
0c7fd132 be04c9e3 e9020301 0001300d 06092a86 4886f70d 01010505 00038201
010062f7 4ae49347 823449c6 c51a9812 4bbe6cce 97c2e2f0 4810663a fe0e2283
630aca14 2846dbcb 18e17351 c78af304 f616ec98 f2ff14f1 7dc20de3 090f6fb5
5fcee325 48a8c1df 6fd84ec1 1e6eac13 a0718fa4 972fb015 2868bfbd 82011316
f4a28d28 7d89f251 7c90cb95 b1d86fdb 64c16201 4195f5e9 22f8ed90 35606c3a
07d2c1c4 ea5b6f8a bcd57b5a 343c698b e649a742 c75909d6 d8c6da64 eae2e5ec
db0f1960 6c25119c 4494a02a bc6bec95 cd94f38b 55c76ae7 6c89f93f c1a8b1c2
0382d7ea cd5a9128 33cb1781 8b95ab92 88593f42 d8820dff ed5ebd4b 471e2233
b3dda88a 38adde8a cc4fdb8e 0999eb5f 69d3a0f8 debe936e b0d9a9cd 433a2ca0
67ac
quit
telnet timeout 5
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 Inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcp-client client-id interface Outside
dhcpd address 192.168.1.100-192.168.1.150 Inside
dhcpd dns 212.27.40.240 212.27.40.241 interface Inside
!
threat-detection basic-threat
threat-detection scanning-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 192.168.1.1 source Inside prefer
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 Inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 Inside vpnlb-ip
webvpn
enable Inside
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-tunnel-protocol l2tp-ipsec
username admin password FcQXeVSg9hY encrypted privilege 15
username fox password M/g/lNkrVRa encrypted
username fox attributes
service-type remote-access
webvpn
url-list value Fox
tunnel-group Fox type remote-access
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/odd ... DCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
hpm topN enable
Cryptochecksum:78ccdd630fccd4ff75cc926ecfaa
: end
[/cpp]
En vous remerciant
Configuration ASA 5505
Merci de ta reponse Vhnet , je constate que je n'ai pas activer le Nat au meme endroit que toi , je ne sais pas si ca joue ?
Mais meme avant le NAT je suis bloqué au niveau du firewall n je n'arrive meme pas a pinger mon ip public (j'ai bien mis la passerelle)
Merci
Mais meme avant le NAT je suis bloqué au niveau du firewall n je n'arrive meme pas a pinger mon ip public (j'ai bien mis la passerelle)
Merci
Configuration ASA 5505
Dans un premier tant, tu peux faire une regle simple :
Interface any, source any, destination any, protocol ICMP
et voir si le ping passe.
access-list global_access extended permit icmp any any
Si ca passe pas, c'est que tu as un problème de NAT
Interface any, source any, destination any, protocol ICMP
et voir si le ping passe.
access-list global_access extended permit icmp any any
Si ca passe pas, c'est que tu as un problème de NAT
Configuration ASA 5505
Bonsoir,
Petite question : tu as définis 2 VLAN de niveau 3 : VLAN-21 et VLAN-1
Tu as mis le port 5 dans le VLAN-21(outside)
Mais aucun port n'est dans le VLAN-1, juste un dans le VLAN-11 qui n'est pas défini. Est-ce intentionnel, ou une erreur ?
Sinon, il y a un outil bien pratique pour le debug, c'est packet tracer dans l'asdm. Il simule le chemin du paquet de la source vers la dest en te montrant toutes les étapes (routes, nat, acl, ...) tu devrais voir là ou ça bloque.
Petite question : tu as définis 2 VLAN de niveau 3 : VLAN-21 et VLAN-1
Tu as mis le port 5 dans le VLAN-21(outside)
Mais aucun port n'est dans le VLAN-1, juste un dans le VLAN-11 qui n'est pas défini. Est-ce intentionnel, ou une erreur ?
Sinon, il y a un outil bien pratique pour le debug, c'est packet tracer dans l'asdm. Il simule le chemin du paquet de la source vers la dest en te montrant toutes les étapes (routes, nat, acl, ...) tu devrais voir là ou ça bloque.
Configuration ASA 5505
Salut Flash ,
En faite je pense que j'ai un problème de firmware ou autre , car sur l'asdm j'ai bien le port 0 dans le vlan 21 ( outside ) et le reste dans le vlan 1 ( inside ) .
Packet tracer ne fonctionne pas a chaque fois j'ai une erreur ( peu etre problème de firmware ) est ce que quelqu un peu me recup le dernier firmware le 7.2.4 avec l asdm car je n'ai pas de compte cisco, que je puisse tester .
En tout cas le vlan 1 fonctionne bien car j arrive bien a joindre l'ASA .
En vous remerciant
En faite je pense que j'ai un problème de firmware ou autre , car sur l'asdm j'ai bien le port 0 dans le vlan 21 ( outside ) et le reste dans le vlan 1 ( inside ) .
Packet tracer ne fonctionne pas a chaque fois j'ai une erreur ( peu etre problème de firmware ) est ce que quelqu un peu me recup le dernier firmware le 7.2.4 avec l asdm car je n'ai pas de compte cisco, que je puisse tester .
En tout cas le vlan 1 fonctionne bien car j arrive bien a joindre l'ASA .
En vous remerciant
Configuration ASA 5505
asa924-k8.bin si tu veux et asdm 751.bin
Configuration ASA 5505
Oui je veux bien , tu peux me les mettres sur un hebergeur que je puisse les recuperer . Merci
Configuration ASA 5505
MP envoyé
Configuration ASA 5505
Merci Vhnet , je pars pour le nouvel ans , je teste tout ca à mon retour semaine prochaine , je vous tiens informer . ( Packet tracer refonctionne déja ) encore merci . Max
Configuration ASA 5505
Salut tout le monde , je commence à m en sortir grace à vous . Mon problème venez bien de la configuration du NAT , merci a Vhnet pour ces screenshot.
Configuration ASA 5505
Salut Maxime
Pas de problème !
Tant mieux si ton soucis est résolu
Pas de problème !
Tant mieux si ton soucis est résolu