Ayuda con configuracion Cisco ASA5510

raffic · 05-Sep-2009

Hola, hace un mes atras la compañia donde trabajo adquirio un equipo Firewall Cisco ASA 5510.

No tengo experiencia en la configuración de este dispositivo; a este se conectan:

A) Mi salida a internet(outside).

B) una DMZ(DMZ1) que agrupa a los equipos de ruteo de compañias externas, por medio de un switch basico.

C) otra DMZ(DMZ2) que agrupa varios servidores de diferentes servicios(correo, archivos y otros), por medio de un switch basico.

D) Mi red interna (inside).

necesito realizar lo siguiente:

1)Que la DMZ2 pueda ser accesada por los equipos ubicados en mi DMZ1 y algunos de mi red interna.

2)Que algunos equipos que se encuentran en las oficinas de las compañias externas puedan accesar a los equipos de la DMZ2 a traves de un puerto y protocolo especifico.

3)realizar una VPN entre los equipos de mi DMZ2 con los equipos de una de las compañias externas.

las IP configuradas sobre las diferentes interfaces son:

192.168.70.1 inside(LAN interna).
192.168.30.1 DMZ1.
172.16.10.1 DMZ2.
x.x.x.x Outside (conexión internet).

IP diferentes equipos:

172.16.10.2 servidorA
172.16.10.3 servidorB
192.168.30.2 interface LAN ruteadorA
192.168.30.3 interface LAN ruteadorB
192.168.70.231 Servidor archivos.
192.168.70.233 Servidor Aplicativo.

Gracias por su ayuda.

**mariano** · 06-Sep-2009

Hola Raffic Bienvenido.

Cita:

Originalmente publicado por raffic

1)Que la DMZ2 pueda ser accesada por los equipos ubicados en mi DMZ1 y algunos de mi red interna.

Para eso supongo que basta con una ACL

access-list internaTOdmz2 permit ip any 172.16.10.0 255.255.0.0
access-list internaTOdmz2 permit ip any 192.168.70.0 255.255.255.0
access-group internaTOdmz2 in interface dmz2
(o como lo tengas subneteado)

Cita:

Originalmente publicado por raffic

2)Que algunos equipos que se encuentran en las oficinas de las compañias externas puedan accesar a los equipos de la DMZ2 a traves de un puerto y protocolo especifico.

Para eso tenes que definir una static:
static (dmz2,outside) tcp interface 80 IP-servidor 80 netmask 255.255.255.255
Lo que haces ahi es decirle que lo que llegue al puerto 80 de tu interface outside lo direccione al puerto 80 de tu servidor. 80 es solo un ejemplo por si estas publicando un servidor web. Podes poner el puerto que quieras o podes mapear desde el puerto 52323 al 80 y entonces para entrar al servidor web tienen que llegar las peticiones al puerto 52323. Acordate siempre de poner una lista de acceso a la outisde que permite el acceso desde cualquier origen (any) a ese puerto de la outside (el que le hallas puesto a la outside) o si es de un cliente en particular de su ip a la outside.

access-list inbound permit tcp any IP-servidor-web eq www
access-group inbound in interface outside

Cita:

Originalmente publicado por raffic

3)realizar una VPN entre los equipos de mi DMZ2 con los equipos de una de las compañias externas.

Te recomiendo que primero leas esta guia.
http://www.tecnologiayredes.com.ar/s...e-en-5682.html

Despues consulta que duda puntual tenes.
Espero te sirca y cualquier duda avisa y lo miramos.
Salu2

raffic · 06-Sep-2009

Hola Mariano. muchas gracias por tu ayuda.

Como indicaba no tengo experiencia en configuración de un Cisco ASA5510, antes de tener tus comentarios pude obtener un ejemplo guía de la pagina de cisco. Así que guiandome en este, escribi en papel algunas instrucciones que podria usar utilizando el modo grafico para configuración del ASA.

1) añadir regla nat estatica.
Original
Source interface DMZ2
IP address 172.16.10.2
Translated
Interface DMZ1
IP address 192.168.30.1

2) añadir regla nat estatica.
Original
Source interface DMZ2
IP address 172.16.10.3
Translated
Interface DMZ1
IP address 192.168.30.1

3) añadir regla nat estatica.
Original
Source interface DMZ2
IP address 172.16.10.2
Translated
Interface Inside
IP address 192.168.70.1

5) añadir regla de acceso.
interface DMZ1
Source Any
destination 172.16.10.2
Service TCP/protocolo

6) añadir regla de acceso.
interface DMZ1
Source Any
destination 172.16.10.3
Service TCP/protocolo

No sé si esto esta bien???.

tengo algunas inquietudes sobre tus respuestas.

En la 1 no deberia ser access-list internaTOdmz2 permit ip any 192.168.30.0 255.255.0.0.

En la 2 la regla nat debe ser entre la dmz2 y la outside??; debo aclarar que los equipos de ruteo que se encuentran en la dmz1 son parte de enlaces radiales privados, que no vienen por internet.

Por ultimo tienes alguna dirección de correo, donde pueda enviarte un grafico para mayor comprensión.

Muchas Gracias.

**mariano** · 06-Sep-2009

Cita:

Originalmente publicado por raffic

En la 1 no deberia ser access-list internaTOdmz2 permit ip any 192.168.30.0 255.255.0.0.

Vos queres que desde la x.x.30.0 accedan a la dmz2 no?

access-list internaTOdmz2 permit ip 172.16.30.0 255.255.0.0 any
Esto si lo aplicas en la DMZ2. Acordate que la ACL es permit/deny tcp/udp origen destino

Si lo aplicas en la dmz1 seria:
access-list internaTOdmz2 permit ip any 172.16.10.0 255.255.0.0

Eso lo tenes que ver vos depende tu configuracion y tus acl para que no se pisen cosas.

Cita:

Originalmente publicado por mariano

En la 2 la regla nat debe ser entre la dmz2 y la outside??; debo aclarar que los equipos de ruteo que se encuentran en la dmz1 son parte de enlaces radiales privados, que no vienen por internet.

Ah. yo pense que venian de la outside.
Entonces reemplaza la interface por la que corresponde.
Si no me equivoco seria:
static (dmz2,dmz1) tcp 192.168.30.1 80 IP-servidor 80 netmask 255.255.255.255
o algo asi :P suponiendo que sea al puerto 80 que queres acceder.

**mariano** · 06-Sep-2009

Cita:

Originalmente publicado por raffic

3)realizar una VPN entre los equipos de mi DMZ2 con los equipos de una de las compañias externas

Que equipos tienen en las compañias?
Calculo que son Cisco tambien.
Para empezar calculo tambien que tenes conectividad abierta con las compañias, cierto? o sea que aunque no tunelices se ven.
Anda siguiendo la guia paso a paso reemplazando las interfaces, ips y valores por los que corresponda.
Revisa que en los dos equipos esten configurados los mismos valores solo que con las IPs invertidas claro.
Fijate que cuando matcheas un trafico interesante para la vpn con una ACL esta es entre IPs privadas. El tunel ya estaria hecho.
Fijate con eso y avisame.
Suerte

raffic · 06-Sep-2009

Cita:

Originalmente publicado por mariano

Vos queres que desde la x.x.30.0 accedan a la dmz2 no?

access-list internaTOdmz2 permit ip 172.16.30.0 255.255.0.0 any
Esto si lo aplicas en la DMZ2. Acordate que la ACL es permit/deny tcp/udp origen destino

Si lo aplicas en la dmz1 seria:
access-list internaTOdmz2 permit ip any 172.16.10.0 255.255.0.0

Eso lo tenes que ver vos depende tu configuracion y tus acl para que no se pisen cosas.

Ah. yo pense que venian de la outside.
Entonces reemplaza la interface por la que corresponde.
Si no me equivoco seria:
static (dmz2,dmz1) tcp 192.168.30.1 80 IP-servidor 80 netmask 255.255.255.255
o algo asi :P suponiendo que sea al puerto 80 que queres acceder.

Cita:

Originalmente publicado por mariano

Vos queres que desde la x.x.30.0 accedan a la dmz2 no?

access-list internaTOdmz2 permit ip 172.16.30.0 255.255.0.0 any
Esto si lo aplicas en la DMZ2. Acordate que la ACL es permit/deny tcp/udp origen destino

Sí, lo que esta en la 192.168.30.0(DMZ1) acceda a la 172.16.10.0(DMZ2); lo que pasa es que me confundiste al poner la IP(asumo). Debería ser la 192.168.30.0, no???

gracias.

raffic · 06-Sep-2009

Cita:

Originalmente publicado por mariano

Que equipos tienen en las compañias?
Calculo que son Cisco tambien.
Para empezar calculo tambien que tenes conectividad abierta con las compañias, cierto? o sea que aunque no tunelices se ven.
Anda siguiendo la guia paso a paso reemplazando las interfaces, ips y valores por los que corresponda.
Revisa que en los dos equipos esten configurados los mismos valores solo que con las IPs invertidas claro.
Fijate que cuando matcheas un trafico interesante para la vpn con una ACL esta es entre IPs privadas. El tunel ya estaria hecho.
Fijate con eso y avisame.
Suerte

Ok. todavia no reviso bien la guia que me recomendaste. Bueno podría decir que si hay una conectividad abierta con ciertos equipos de las compañías(mira el grafico que te envie).
Asumo que los equipos del lado de las compañias son cisco, ya que los que estan en nuestro extremo(oficinas nuestras) lo son; entonces estaba pensando que la VPN solo debería ser entre nuestra DMZ2(equipos nuestros, en nuestras oficinas) y su equipo colocado en la DMZ1(en nuestras oficinas).

gracias.

**mariano** · 07-Sep-2009

Bueno entonces si no tenes la administracion de los equipos de las compañias, primero que nada te tenes que poner de acuerdo con el admin del otro lado para definir con que parametros van a armar la vpn.
Las VPNs serian entre la 172.16.10.0 y las redes 192.168.11.0 y 33.0 ?

raffic · 07-Sep-2009

Cita:

Originalmente publicado por mariano

Bueno entonces si no tenes la administracion de los equipos de las compañias, primero que nada te tenes que poner de acuerdo con el admin del otro lado para definir con que parametros van a armar la vpn.
Las VPNs serian entre la 172.16.10.0 y las redes 192.168.11.0 y 33.0 ?

Cita:

Originalmente publicado por mariano

Las VPNs serian entre la 172.16.10.0 y las redes 192.168.11.0 y 33.0 ?

exacto. por favor Mario, cuando puedas hechame una mano con lo de las nat estaticas para ver si estan bien planteadas.

gracias.

Saludos.