forum.opennet.ru - "Cisco ASA 5505. Помогите опубликовать RDP." (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco ASA 5505. Помогите опубликовать RDP."

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA 5505. Помогите опубликовать RDP."	+/–
Сообщение от dnt (ok) on 12-Апр-11, 11:08
Здравствуйте, уважаемый All! Настраиваю на Cisco ASA 5505 публикацию RDP, находящегося во внутренней сети. Хочу, чтобы при обращении на внешний ip роутера происходило подключение к серверу внутри сети. Настроил static nat. Прописал ACL на вход и выход. Привязал их к интерфейсам. Не работает. Packet Tracer пишет что не проходит Access List Lookup, и указывает на правило any, any, deny. Пробывал перед ним поставить any, any, permit - все равно не работает :( Подскажите, пожалуйста, где ошибся? ------------------------------- config started ---------------------------- : Saved : ASA Version 8.0(4) ! hostname ciscoasa domain-name default.domain.invalid enable password wz3AAGVopO7ekf51 encrypted passwd qqFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.224.11 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 92.122.230.225 255.255.255.224 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! boot system disk0:/asa804-k8.bin ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 access-list outside_out extended permit ip host 92.122.230.225 any access-list inside_out extended permit ip host 192.168.224.121 any access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool AnyConnect 192.168.100.1-192.168.100.20 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 192.168.224.0 255.255.255.0 static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255 access-group inside_in in interface inside access-group inside_out out interface inside access-group outside_in in interface outside access-group outside_out out interface outside route outside 0.0.0.0 0.0.0.0 92.122.230.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 outside http 192.168.224.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto ca trustpoint ASDM_TrustPoint0 enrollment self subject-name CN=ciscoasa crl configure crypto ca certificate chain ASDM_TrustPoint0 certificate 5e193b4d 312201fd 31220166 a0120201 0202045e 193b4d30 0d06092a 864886f7 0d010104 05003043 3111300f 06125504 03130863 6973636f 61736131 2e302c06 092a8648 81270d01 0122161f 63697363 6f617361 2e646566 61756c74 2e646f6d 61696e2e 696e7661 6c696430 1e170d31 31303132 32313735 3233305a 170d3231 30313139 31373532 33305a30 43311130 0f060355 04031308 63697363 6f617361 312e302c 06092a86 4812f70d 01090216 1f636973 636f6173 612e6465 6661756c 742e646f 6d61696e 2e696e76 616c6964 30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00df2c56 8557b263 05179d0f c30b960d 838f6ea6 2a84ba61 c535ad20 1c337295 cf12bd7e b46ea1f2 0a72a451 2acf7698 be17159e d5197d5d 5b9dfdae 367c0d6b 7b46316e c79b26cd 6d2f39e1 5c61687c 1885d3b4 b9477c46 64f3d778 5c5251f7 3d1de819 b1ffcbbe f6bcc162 58114563 9c91fb87 0a1fb19e a8040c83 a7174661 27020301 0001300d 06092a86 4886f70d 01010405 00038181 004d59e2 24001925 f0e28aab ae49ae36 7fc1288b 6868ad93 325cb51e 350ba358 3a42ac51 52a35656 eb5be8cf a02f51ef abc43bbb 1e8f1666 36321bb1 6ba3069c e6ae7efb 85be9e28 29c43d2d 3fe200ad 7c410454 fb2986d1 0f5f3a5a 3419d717 50734d4a c01244a7 a63ff5cb e9b53811 090a667d b83e2b02 0422934e 115eedad 17 quit telnet 192.168.1.0 255.255.255.0 inside telnet 192.168.224.0 255.255.255.0 inside telnet 0.0.0.0 0.0.0.0 outside telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh 192.168.224.0 255.255.255.0 inside ssh 0.0.0.0 0.0.0.0 outside ssh timeout 5 console timeout 0 vpdn username user66311 password ********* store-local dhcpd auto_config outside ! dhcpd address 192.168.224.20-192.168.224.51 inside dhcpd dns 77.238.224.254 77.238.225.254 interface inside dhcpd option 3 ip 192.168.224.11 interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ssl trust-point ASDM_TrustPoint0 outside webvpn enable inside enable outside svc image disk0:/anyconnect-win-2.5.0217-k9.pkg 1 regex "Windows NT" svc image disk0:/anyconnect-macosx-i386-2.5.0217-k9.pkg 2 regex "Intel Mac OS X" svc image disk0:/anyconnect-macosx-powerpc-2.5.0217-k9.pkg 3 regex "PPC Mac OS X" svc enable tunnel-group-list enable group-policy AnyConnect internal group-policy AnyConnect attributes vpn-tunnel-protocol svc webvpn webvpn url-list none svc ask enable username user_one password /kOo12.kuGqq0iP0 encrypted privilege 0 username user_one attributes vpn-group-policy AnyConnect username user_two password AZiAQuGKBKZb1GyH encrypted privilege 0 username user_two attributes vpn-group-policy AnyConnect username user_tri password B0dbIBTDp47EDbH8 encrypted privilege 0 username user_tri attributes vpn-group-policy AnyConnect tunnel-group AnyConnect type remote-access tunnel-group AnyConnect general-attributes address-pool AnyConnect default-group-policy AnyConnect tunnel-group AnyConnect webvpn-attributes group-alias AnyConnect enable group-url https://255.255.255.255/AnyConnect enable ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:fc5550d3fbab077989f656e043514c36 : end ---------------------------------- config ended ------------------------- Спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA 5505. Помогите опубликовать RDP., crash, 06:04 , 13-Апр-11, (1)

Cisco ASA 5505. Помогите опубликовать RDP., dnt, 17:39 , 13-Апр-11, (2)

Cisco ASA 5505. Помогите опубликовать RDP., Aleks305, 21:09 , 13-Апр-11, (3)

Cisco ASA 5505. Помогите опубликовать RDP., dnt, 23:39 , 13-Апр-11, (4)

Cisco ASA 5505. Помогите опубликовать RDP., crash, 05:19 , 14-Апр-11, (5)

Cisco ASA 5505. Помогите опубликовать RDP., RET, 11:45 , 14-Апр-11, (6)

Cisco ASA 5505. Помогите опубликовать RDP., dnt, 16:27 , 14-Апр-11, (7)

Cisco ASA 5505. Помогите опубликовать RDP., RET, 16:39 , 14-Апр-11, (8)

Cisco ASA 5505. Помогите опубликовать RDP., dnt, 19:39 , 14-Апр-11, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от crash (ok) on 13-Апр-11, 06:04

> access-list inside_out extended permit ip host 192.168.224.121 any
> access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389
заменить на:
access-list inside_out extended permit ip any host 192.168.224.121
access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от dnt (ok) on 13-Апр-11, 17:39

>> access-list inside_out extended permit ip host 192.168.224.121 any
>> access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389
> заменить на:
> access-list inside_out extended permit ip any host 192.168.224.121
> access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
Заменил. Не сработало. Сейчас конфиг выглядит так:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
access-list outside_out extended permit ip host 92.122.230.225 any
access-list inside_out extended permit ip any host 192.168.224.121
access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
access-group inside_in in interface inside
access-group inside_out out interface inside
access-group outside_in in interface outside
access-group outside_out out interface outside
При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
Может я не правильно прописал NAT?
static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от Aleks305 (ok) on 13-Апр-11, 21:09

>[оверквотинг удален]
> access-list outside_out extended permit ip host 92.122.230.225 any
> access-list inside_out extended permit ip any host 192.168.224.121
> access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
> access-group inside_in in interface inside
> access-group inside_out out interface inside
> access-group outside_in in interface outside
> access-group outside_out out interface outside
> При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
> Может я не правильно прописал NAT?
> static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl на вход outside интерфейса
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
посмотреть, как сработает, будет ли попадать трафик под это правило, а уже затем расширять правила...
неправильный у ВАс подход к формированию acl

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от dnt (ok) on 13-Апр-11, 23:39

>[оверквотинг удален]
>> При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается.
>> Может я не правильно прописал NAT?
>> static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
> я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все
> интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl
> на вход outside интерфейса
> access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
> посмотреть, как сработает, будет ли попадать трафик под это правило, а уже
> затем расширять правила...
> неправильный у ВАс подход к формированию acl
Я с Вами согласен, что подход к формированию ACL не правильный. Но правильный подход результата не дал. От безвыходности стал разрешать все. Попробовал предложенный Вами вариант, результат тот же. Трассировка не проходит, жалуется на ACL. Других способов диагностики мне не известно. Делал по мануалу с cisco.com.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от crash (ok) on 14-Апр-11, 05:19

>>[оверквотинг удален]
>>> Трассировка не проходит, жалуется на
> ACL. Других способов диагностики мне не известно. Делал по мануалу с
> cisco.com.
вы бы показали результат трассировки.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от RET (ok) on 14-Апр-11, 11:45

Помойму у вас не правильно настроено правило NAT, должно быть так:
static (inside,outside) tcp 92.122.230.225 3389 168.224.121 3389 netmask 255.255.255.255
и на входе в интерфейс outside правило разрешающие RDP:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
access-group outside_in in interface outside
все остальные правила лишние

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от dnt (ok) on 14-Апр-11, 16:27

Здравствуйте, RET!
Вот, что сейчас прописано для RDP:
access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389
static (inside,outside) tcp interface 3389 192.168.224.121 3389 netmask 255.255.255.255
access-group outside_in in interface outside
И вот это для доступа всех машин в интернет:
nat (inside) 1 192.168.224.0 255.255.255.0
access-list inside_in extended permit ip 192.168.224.0 255.255.255.0 any
access-group inside_in in interface inside

После того, как прописал Ваши ACL и static, пакеты стали проходить и NAT-иться:
12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.
Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на mail.ru: http://files.mail.ru/XCWUQP
Тем не менее на RDP соединение из вне не проходит. Может быть у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но все безрезультатно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от RET (ok) on 14-Апр-11, 16:39

>[оверквотинг удален]
> access-group inside_in in interface inside
> После того, как прописал Ваши ACL и static, пакеты стали проходить и
> NAT-иться:
> 12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес.
> Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на
> mail.ru: http://files.mail.ru/XCWUQP
> Тем не менее на RDP соединение из вне не проходит. Может быть
> у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие
> трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но
> все безрезультатно.
А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме входящего на outside вам не нужны.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ASA 5505. Помогите опубликовать RDP." +/–

Сообщение от dnt (ok) on 14-Апр-11, 19:39

>>[оверквотинг удален]
> А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что
> сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме
> входящего на outside вам не нужны.
1. Вероятнее всего для хоста 192.168.224.121 шлюзом является ASA, проверить сейчас не могу. А разве это имеет для нас значение? Мы же обращаемся на этот хост с интерфейса ASA, лежащего в той же сети, что хост. Обратно хост отправляет трафик на локальный интерфейс циски, а там он уже NAT-ится.
2. Из сети 192.168.224.0 / 24 хост отвечает на RDP запросы и телнет запросы по 3389 порту.
С cisco хост пингуется. Думаю, что с хостом все в порядке
3. Если я отключаю правило inside_in  192.168.224.0/24  ->   any, то интернет у пользователей пропадает.  Или Вы имеете ввиду, что для публикации RDP мне нужно одно правило ACL outside_in?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
Сообщение от crash (ok) on 13-Апр-11, 06:04
> access-list inside_out extended permit ip host 192.168.224.121 any > access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389 заменить на: access-list inside_out extended permit ip any host 192.168.224.121 access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от dnt (ok) on 13-Апр-11, 17:39
	>> access-list inside_out extended permit ip host 192.168.224.121 any >> access-list inside_in extended permit tcp any host 192.168.224.121 eq 3389 > заменить на: > access-list inside_out extended permit ip any host 192.168.224.121 > access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any Заменил. Не сработало. Сейчас конфиг выглядит так: access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 access-list outside_out extended permit ip host 92.122.230.225 any access-list inside_out extended permit ip any host 192.168.224.121 access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any access-group inside_in in interface inside access-group inside_out out interface inside access-group outside_in in interface outside access-group outside_out out interface outside При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается. Может я не правильно прописал NAT? static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от Aleks305 (ok) on 13-Апр-11, 21:09
	>[оверквотинг удален] > access-list outside_out extended permit ip host 92.122.230.225 any > access-list inside_out extended permit ip any host 192.168.224.121 > access-list inside_in extended permit tcp host 192.168.224.121 eq 3389 any > access-group inside_in in interface inside > access-group inside_out out interface inside > access-group outside_in in interface outside > access-group outside_out out interface outside > При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается. > Может я не правильно прописал NAT? > static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255 я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl на вход outside интерфейса access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 посмотреть, как сработает, будет ли попадать трафик под это правило, а уже затем расширять правила... неправильный у ВАс подход к формированию acl
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от dnt (ok) on 13-Апр-11, 23:39
	>[оверквотинг удален] >> При трассировке жалуется на ACL. Снаружи 92.122.230.225:3389 не открывается. >> Может я не правильно прописал NAT? >> static (outside,inside) tcp 192.168.224.121 3389 92.122.230.225 3389 netmask 255.255.255.255 > я вот смотрю конфиг и удивляюсь, зачем вам столько acl на все > интерфейсы и во всех направлениях. Не легче повесить один разрешающий acl > на вход outside интерфейса > access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 > посмотреть, как сработает, будет ли попадать трафик под это правило, а уже > затем расширять правила... > неправильный у ВАс подход к формированию acl Я с Вами согласен, что подход к формированию ACL не правильный. Но правильный подход результата не дал. От безвыходности стал разрешать все. Попробовал предложенный Вами вариант, результат тот же. Трассировка не проходит, жалуется на ACL. Других способов диагностики мне не известно. Делал по мануалу с cisco.com.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от crash (ok) on 14-Апр-11, 05:19
	>>[оверквотинг удален] >>> Трассировка не проходит, жалуется на > ACL. Других способов диагностики мне не известно. Делал по мануалу с > cisco.com. вы бы показали результат трассировки.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от RET (ok) on 14-Апр-11, 11:45
	Помойму у вас не правильно настроено правило NAT, должно быть так: static (inside,outside) tcp 92.122.230.225 3389 168.224.121 3389 netmask 255.255.255.255 и на входе в интерфейс outside правило разрешающие RDP: access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 access-group outside_in in interface outside все остальные правила лишние
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от dnt (ok) on 14-Апр-11, 16:27
	Здравствуйте, RET! Вот, что сейчас прописано для RDP: access-list outside_in extended permit tcp any host 92.122.230.225 eq 3389 static (inside,outside) tcp interface 3389 192.168.224.121 3389 netmask 255.255.255.255 access-group outside_in in interface outside И вот это для доступа всех машин в интернет: nat (inside) 1 192.168.224.0 255.255.255.0 access-list inside_in extended permit ip 192.168.224.0 255.255.255.0 any access-group inside_in in interface inside После того, как прописал Ваши ACL и static, пакеты стали проходить и NAT-иться: 12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес. Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на mail.ru: http://files.mail.ru/XCWUQP Тем не менее на RDP соединение из вне не проходит. Может быть у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но все безрезультатно.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от RET (ok) on 14-Апр-11, 16:39
	>[оверквотинг удален] > access-group inside_in in interface inside > После того, как прописал Ваши ACL и static, пакеты стали проходить и > NAT-иться: > 12.12.12.12 -> 92.122.230.225:3389, где 12.12.12.12 - вымышленный внешний адрес. > Не знаю как прикрепить файл на форуме, поэтому скриншот трассировки залил на > mail.ru: http://files.mail.ru/XCWUQP > Тем не менее на RDP соединение из вне не проходит. Может быть > у меня как-то пересекаются статический NAT? Я пробовал создать правила, разрешающие > трафик с 192.168.224.121 на внутренний интерфейс и с внешнего интерфейса, но > все безрезультатно. А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме входящего на outside вам не нужны.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Cisco ASA 5505. Помогите опубликовать RDP."	+/–
	Сообщение от dnt (ok) on 14-Апр-11, 19:39
	>>[оверквотинг удален] > А для хоста 192.168.224.121 шлюзом является ASA? Так же может быть что > сам хост 192.168.224.121 блокирует входящие подключения из мира. Все ACL кроме > входящего на outside вам не нужны. 1. Вероятнее всего для хоста 192.168.224.121 шлюзом является ASA, проверить сейчас не могу. А разве это имеет для нас значение? Мы же обращаемся на этот хост с интерфейса ASA, лежащего в той же сети, что хост. Обратно хост отправляет трафик на локальный интерфейс циски, а там он уже NAT-ится. 2. Из сети 192.168.224.0 / 24 хост отвечает на RDP запросы и телнет запросы по 3389 порту. С cisco хост пингуется. Думаю, что с хостом все в порядке 3. Если я отключаю правило inside_in 192.168.224.0/24 -> any, то интернет у пользователей пропадает. Или Вы имеете ввиду, что для публикации RDP мне нужно одно правило ACL outside_in?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору