Cisco asa firmware 9.1(4) NAT en ACL issue

**plizz** · 12/04/14 17:45

Ik ben bezig met het configureren van Cisco asa 5510 met firmware 9.1(4) en ASDM 7.1(3). De NAT configuratie is sinds firmware 8.3 anders geworden. Nu bots ik tegen een probleem, port forward van outside naar inside. Het nat gedeelte is momenteel niet van belang, want de asa houdt de ssh sessie tegen (drop). De ssh session wordt gedropt door access rule deny ip any any volgens de logs. Terwijl permit tcp any any eq ssh voor die deny access rule staat.
Zie ik iets over het hoofd? Bij firmware 8.2 werkt het prima.

De access-list van outside interface:
access-list Outside_access_in; 5 elements; name hash: 0xe796c137
access-list Outside_access_in line 1 extended permit tcp any any eq ssh
access-list Outside_access_in line 2 extended permit icmp any any echo-reply
access-list Outside_access_in line 3 extended permit icmp any any unreachable
access-list Outside_access_in line 4 extended permit icmp any any time-exceeded
access-list Outside_access_in line 5 extended deny ip any any

Nat regel:
object network Terminalserver
host 192.168.3.4
nat (Inside,Outside) static interface service tcp ssh ssh

**Kevin Bentlage** · 13/04/14 17:13

Je bent zover ik kan zien vergeten om het network object Terminalserver te koppelen aan je access-list. Dit zou je alsvolgt kunnen doen;

Access List
access-list outside extended permit tcp any object Terminalserver eq ssh

Object
object network Terminalserver
host 192.168.3.4
nat (inside,outside) static interface service tcp ssh ssh

**T. Verhaeg** · 13/04/14 17:45

Hoezo, hij heeft toch een any any op SSH als tcp service staan en die staat boven de implicit deny:
access-list Outside_access_in line 1 extended permit tcp any any eq ssh
@plizz : Hoe zitten je security levels in elkaar? En ik neem aan dat je eens translatie doet van inside (hoogste security level) naar outside (lager security level) om de terminal server met SSH van buiten af bereikbaar te maken?

**plizz** · 13/04/14 17:56

Inside interface heeft security level 100 en Outside interface heeft level 0. Het is de bedoeling om de Terminalserver via ssh vanaf buiten te bereiken.

**Kevin Bentlage** · 13/04/14 17:59

@T. Verhaeg : Whoops, je hebt helemaal gelijk!

**plizz** · 17/04/14 19:31

Ik heb weer vanaf begin de Cisco asa geconfigureerd via ASDM. Ik kreeg een melding van ASDM toen ik NAT aanmaakte.

[OK] object network Inside object network Inside
[OK] subnet 192.168.3.0 255.255.255.0
[WARNING] nat (Inside,Outside) static interface
All traffic destined to the IP address of the Outside interface is being redirected.
WARNING: Users may not be able to access any service enabled on the Outside interface.

Betekent dat ik geen poorten meer kan forwarden?

**plizz** · 21/04/14 16:58

Update:
Probleem is opgelost. Het heeft niks met de access-list te maken. Het was een configuratie fout bij NAT gedeelte voor Inside naar Outside. Ik heb een NAT rule aangemaakt i.p.v. een NAT Object Rule. Hierdoor werkt port forward niet.

Nog bedankt voor het meedenken.

Onderwerp Gereedschap

Toon

Onderwerp: Cisco asa firmware 9.1(4) NAT en ACL issue

Cisco asa firmware 9.1(4) NAT en ACL issue

Webhostingtalk.nl

Link met ons

Partners

Contact