https://www.opennet.ru/openforum/vsluhforumID6/22479.html Здравствуйте, уважаемый All!<br><br><br>Настраиваю на Cisco ASA 5505 публикацию RDP, находящегося во внутренней сети. Хочу, чтобы при обращении на внешний ip роутера происходило подключение к серверу внутри сети.<br><br>Настроил static nat. Прописал ACL на вход и выход. Привязал их к интерфейсам. Не работает. Packet Tracer пишет что не проходит Access List Lookup, и указывает на правило any, any, deny. Пробывал перед ним поставить any, any, permit - все равно не работает :(<br><br>Подскажите, пожалуйста, где ошибся?<br><br>------------------------------- config started ----------------------------<br>: Saved<br>:<br>ASA Version 8.0(4) <br>!<br>hostname ciscoasa<br>domain-name default.domain.invalid<br>enable password wz3AAGVopO7ekf51 encrypted<br>passwd qqFQnbNIdI.2KYOU encrypted<br>names<br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 192.168.224.11 255.255.255.0 <br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> ip address 92.122.230.225 255.255.255.224 <br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#9 Thu, 14 Apr 2011 15:39:11 GMT &gt;&gt;[оверквотинг удален] <br>&gt; А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что <br>&gt; сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме <br>&gt; входящего на outside вам не нужны.<br><br>1. Вероятнее всего для хоста 192.168.224.121 шлюзом является ASA, проверить сейчас не могу. А разве это имеет для нас значение? Мы же обращаемся на этот хост с интерфейса ASA, лежащего в той же сети, что хост. Обратно хост отправляет трафик на локальный интерфейс циски, а там он уже NAT-ится. <br><br>2. Из сети 192.168.224.0 / 24 хост отвечает на RDP запросы и телнет запросы по 3389 порту. <br>С cisco хост пингуется. Думаю, что с хостом все в порядке<br><br>3. Если я отключаю правило inside_in 192.168.224.0/24 -&gt; any, то интернет у пользователей пропадает. Или Вы имеете ввиду, что для публикации RDP мне нужно одно правило ACL outside_in?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#8 Thu, 14 Apr 2011 12:39:23 GMT &gt;[оверквотинг удален]<br>&gt; access-group inside_in in interface inside <br>&gt; После того, как прописал Ваши ACL и static, пакеты стали проходить и <br>&gt; NAT-иться: <br>&gt; 12.12.12.12 -&gt; 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.<br>&gt; Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на <br>&gt; mail.ru: http://files.mail.ru/XCWUQP <br>&gt; Тем не менее на RDP соединение из вне не проходит. Может быть <br>&gt; у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие <br>&gt; трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но <br>&gt; все безрезультатно.<br><br>А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме входящего на outside вам не нужны.<br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#7 Thu, 14 Apr 2011 12:27:11 GMT Здравствуйте, RET!<br><br>Вот, что сейчас прописано для RDP:<br><br>access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 <br>static (inside,outside) tcp interface 3389 192.168.224.121 3389 netmask 255.255.255.255 <br>access-group outside_in in interface outside<br><br>И вот это для доступа всех машин в интернет:<br><br>nat (inside) 1 192.168.224.0 255.255.255.0<br>access-list inside_in extended permit ip 192.168.224.0 255.255.255.0 any <br>access-group inside_in in interface inside<br><br><br>После того, как прописал Ваши ACL и static, пакеты стали проходить и NAT-иться: <br>12.12.12.12 -&gt; 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.<br><br>Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на mail.ru: http://files.mail.ru/XCWUQP<br><br>Тем не менее на RDP соединение из вне не проходит. Может быть у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но все безрезультатно.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#6 Thu, 14 Apr 2011 07:45:45 GMT Помойму у вас не правильно настроено правило NAT, должно быть так:<br><br>static (inside,outside) tcp 92.122.230.225 3389 168.224.121 3389 netmask 255.255.255.255 <br><br>и на входе в интерфейс outside правило разрешающие RDP:<br><br>access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389<br>access-group outside_in in interface outside<br><br>все остальные правила лишние<br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#5 Thu, 14 Apr 2011 01:19:50 GMT &gt;&gt;[оверквотинг удален] <br>&gt;&gt;&gt; Трассировка не проходит, жалуется на <br>&gt; ACL. Других способов диагностики мне не известно. Делал по мануалу с <br>&gt; cisco.com.<br><br>вы бы показали результат трассировки.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#4 Wed, 13 Apr 2011 19:39:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.<br>&gt;&gt; Может я не правильно прописал NAT?<br>&gt;&gt; static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255 <br>&gt; я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все <br>&gt; интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl <br>&gt; на вход outside интерфейса <br>&gt; access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 <br>&gt; посмотреть, как сработает, будет ли попадать трафик под это правило, а уже <br>&gt; затем расширять правила...<br>&gt; неправильный у ВАс подход к формированию acl <br><br>Я с Вами согласен, что подход к формированию ACL не правильный. Но правильный подход результата не дал. От безвыходности стал разрешать все. Попробовал предложенный Вами вариант, результат тот же. Трассировка не проходит, жалуется на ACL. Других способов диагностики мне не известно. Делал по мануалу с cisco.com. <br> https://www.opennet.ru/openforum/vsluhforumID6/22479.html#3 Wed, 13 Apr 2011 17:09:57 GMT &gt;[оверквотинг удален]<br>&gt; access-list outside_out extended permit ip host 92.122.230.225 any <br>&gt; access-list inside_out extended permit ip any host 192.168.224.121 <br>&gt; access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any <br>&gt; access-group inside_in in interface inside <br>&gt; access-group inside_out out interface inside <br>&gt; access-group outside_in in interface outside <br>&gt; access-group outside_out out interface outside <br>&gt; При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.<br>&gt; Может я не правильно прописал NAT?<br>&gt; static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255 <br><br>я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl на вход outside интерфейса<br>access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 <br>посмотреть, как сработает, будет ли попадать трафик под это правило, а уже затем расширять правила...<br>неправильный у ВАс под https://www.opennet.ru/openforum/vsluhforumID6/22479.html#2 Wed, 13 Apr 2011 13:39:00 GMT &gt;&gt; access-list inside_out extended permit ip host 192.168.224.121 any <br>&gt;&gt; access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389 <br>&gt; заменить на: <br>&gt; access-list inside_out extended permit ip any host 192.168.224.121 <br>&gt; access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any <br><br>Заменил. Не сработало. Сейчас конфиг выглядит так:<br><br>access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389<br>access-list outside_out extended permit ip host 92.122.230.225 any <br>access-list inside_out extended permit ip any host 192.168.224.121 <br>access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any <br>access-group inside_in in interface inside<br>access-group inside_out out interface inside<br>access-group outside_in in interface outside<br>access-group outside_out out interface outside<br><br>При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.<br>Может я не правильно прописал NAT? <br><br>static (outside,inside) tcp 192.168.224.121 3389 92.122 https://www.opennet.ru/openforum/vsluhforumID6/22479.html#1 Wed, 13 Apr 2011 02:04:42 GMT &gt; access-list inside_out extended permit ip host 192.168.224.121 any <br>&gt; access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389 <br><br>заменить на:<br>access-list inside_out extended permit ip any host 192.168.224.121 <br>access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any <br><br>