Configuracion Basica ASA 5505 para empezar

**mariano** · 10-Aug-2011

Esto es lo basico para salir andando con un ASA5505

Configurar la Inside

Código:

ASA5505(config)# interface Vlan 1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shut

Configurar la Outside

Código:

ASA5505(config)# interface Vlan 2
ASA5505(config-if)# nameif outside
ASA5505(config-if)# security-level 0
ASA5505(config-if)# ip address x.x.x.x 255.255.255.0
ASA5505(config-if)# no shut

Asignar la Ethernet 0/0 a una Vlan (ej: 10)

Código:

ASA5505(config)# interface Ethernet0/0
ASA5505(config-if)# switchport access vlan 10
ASA5505(config-if)# no shut

NAT y Global

Código:

ASA5505(config)# nat (inside) 1 0 0
ASA5505(config)# global (outside) 1 interface

Default Route

Código:

ASA5505(config)# route outside 0 0 x.x.x.x 1

kristo.m · Hace 3 semanas

Hola Mariano queria hacerte una consulta,
tengo un problema con una configuracion de un ASA 5505, tengo 2 pooles IP para usar en mi interface OUTSIDE, y lo tengo configurado asi
global (outside) 1 interface
global (outside) 2 200.xx.xx.xx

por lo que lei para que esto funcione, digo que me atienda los 2 POOLES no solo el que tengo configurado en la interfaz, debo habilitarle el PROXY-ARP en la interface OUTSIDE, aca viene el problema, no encuentro la sintaxis correcta para habilitarlo, intente parado sobre la interfaz VLAN (config-if)# y no existe el comando , intente parado sobre la interfaz fisica (config-if)# y tampoco existe el comando, y en configuracion global (config)# y nada...
La version de IOS es 8.0(4) y el device manager es Version 6.1(3)

Si me podes iluminar con este tema te lo agradeceria
Slds

**mariano** · Hace 3 semanas

No termino de entender el problema.
Vos que res sacar una red por la IP de la interface y otra red por la 200.x.x.x?
Podrias poner la configuracion que tenes?
Esta en produccion el equipo?
Salu2

**cristian** · Hace 3 semanas

Perdon que me meta pero me intriga la pregunta. Nos podrias contar exactamente que necesitas hacer? Dejando de lado los comandos Cisco por un momento para entender mejor el objetivo teorico.

Cita:

Originalmente publicado por kristo.m

Hola Mariano queria hacerte una consulta,
tengo un problema con una configuracion de un ASA 5505, tengo 2 pooles IP para usar en mi interface OUTSIDE, y lo tengo configurado asi
global (outside) 1 interface
global (outside) 2 200.xx.xx.xx

por lo que lei para que esto funcione, digo que me atienda los 2 POOLES no solo el que tengo configurado en la interfaz, debo habilitarle el PROXY-ARP en la interface OUTSIDE, aca viene el problema, no encuentro la sintaxis correcta para habilitarlo, intente parado sobre la interfaz VLAN (config-if)# y no existe el comando , intente parado sobre la interfaz fisica (config-if)# y tampoco existe el comando, y en configuracion global (config)# y nada...
La version de IOS es 8.0(4) y el device manager es Version 6.1(3)

Si me podes iluminar con este tema te lo agradeceria
Slds

kristo.m · Hace 3 semanas

Hola, en principio gracias por contestar.
Les cuento la topologia, es un ASA 5505 donde mi ISP me da dos POOLES distintos de IP a publicar en internet
uno es 190.xx.xx.xx y el otro es 200.xx.xx.xx
a traves de el pool de la 190 tengo unas VPN's ruteadas y dinamicas y sobre el pool de la 200 necesito hacer un static-NAT para contestar por ahi unos webservices y una webpage.
Lo tenian configurado sobre otro asa y funciona, pero al realizar la configuracion nuevamente solo me atiende lo que es pool de la 190.xx.xx.xx
La configuracion del NAT-PAT esta asi

global (outside) 1 interface
global (outside) 2 200.xx.xx.xx
nat (inside) 0 access-list NO-NAT
nat (inside) 1 0.0.0.0 0.0.0.0

me habian tirado una onda, como que debia habilitar el proxy-arp en la interface outside, pero el comando no lo puedo poner, por lo que realmente no se si es solo eso.
Lo raro es que sobre otro ASA5505 la config esta igual y si funciona
Si a alguien se le ocurre alguna idea desde ya les agradesco

Slds

**mariano** · Hace 3 semanas

Para publicar un server necesitas hacer un "static".

Seria algo asi:

Código:

access-list inbound permit tcp any IP-PUBLICADA eq www
access-group inbound in interface outside
static (inside,outside) tcp 200.x.x.x www IP-LOCAL-WEBSERVER www netmask 255.255.255.255

Ahi estarias publicando un web server en el puerto 80, en este caso el server estaria en la inside, pero eso lo definis en la static.
No te olvides que la acl tiene que permitir el trafico en la interface publica y el static es el que deriva a la ip local el trafico http en este caso.

El global (outside) 2 lo que haria seria matchear con un nat con ID 2. En este caso no lo estas usando vos, osea que no queres salir por el ID 2 sino que queres entrar por ese pool (me equivoco?). Si es asi estaria de mas.
Solo tenes que publicar con la static que te puse, si es solo eso tendria que andar con ese ejemplo.

Aca tenes un pdf de cisco muy completo.
http://www.cisco.com/en/US/docs/secu...nce/cmdref.pdf

Otra cosa. Fijate de publicar los mensajes en las zonas abiertas, como esta seccion del foro es para tutoriales y guias la tengo moderada.
Si creas un post nuevo linkeando como referencia este es mejor, ademas no tenes que esperar la moderacion.
Gracias