Como posso configurair minha networking paira permitir o tráfego bidirecional entre dois lans?

Aqui está a minha configuration atual: (e pode exigir a reformulação):

  • 2 networkings LAN – 192.168.41.0, 192.168.21.0
  • 2 IPs públicos (eles são atribuídos a nós especificando endereços MAC – não sub-networking) 24.53.xx e o outro é 192.34.xx
  • Roteador Netgeair
  • Roteador Linksys
  • ASA 5505 com licença de base

Vou tentair diagramair a networking melhor possível por enquanto. Eu melhorairei isso mais tairde, quando tiview melhor access às ferramentas. Incluí meu ASA Run config:

  • Cable modem -> Switch
  • Switch -> Netgeair Router e ASA 5505 Netgeair
  • O roteador hospeda 192.168.41.0 networking e é atribuído um dos IPs públicos
  • ASA 5505 hospeda 192.168.21.0 networking e é atribuído o outro IP público
  • Eu conecto switch atrás de cada networking (paira o roteador e ASA) – então há 3 switches totais
  • Na tentativa de juntair as duas networkings, adicionei um roteador Linksys ao switch atrás da networking 21.0 e atribui ao roteador um endereço na networking 21.0 (192.168.21.254).
  • Em seguida, liguei uma linha paira a porta de internet no roteador Linksys e atribuí-lhe um endereço IP na networking 41.0 (192.168.41.2).
  • No roteador 41.0 (Netgeair Router), adicionei uma rota à networking 21.0 através do endereço 41.2
  • No ASA paira a networking 21.0, adicionei uma rota à networking 41.0 através do endereço 21.254. Eu também adicionei algumas linhas de ACL paira permitir o tráfego, bem como a mesma interface de security intra-interface.

Anteriormente, consegui obter tráfego paira fluir de um jeito (21,0 pode acessair 41,0, mas não o contrário). Estou assumindo que tem algo a view com um problema na lógica da minha estrutura ou com a minha lógica natural. Atualmente, posso fazer ping na networking 41.0 da networking 21.0, mas as tentativas de usair outras portas (como telnet, o server smtp da porta 25) crashm. Espero, com o seu apoio, que possamos começair com o que tenho aqui e começair a solucionair problemas.

ASA CONFIG

: Saved : ASA Version 8.2(1) ! hostname lilprecious domain-name mydomain.local enable password 8Ry2YjIyt7RRXU24 encrypted passwd lVYsshR/yoydoM2/ encrypted no names name 192.168.21.10 precious_private name 192.168.21.1 asa_private name 192.34.x.56 precious_public ! interface Vlan1 nameif inside security-level 100 ip address 192.168.21.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 192.34.x.56 255.255.252.0 ! interface Ethernet0/0 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 switchport access vlan 2 ! ftp mode passive dns domain-lookup inside dns domain-lookup outside dns serview-group DefaultDNS domain-name mydomain.local dns serview-group PRECIOUS name-serview 192.168.21.10 domain-name mydomain.local same-security-traffic permit inter-interface same-security-traffic permit intra-interface object-group service exchange_serview service-object icmp service-object tcp-udp eq www service-object tcp eq 587 service-object tcp eq https service-object tcp eq smtp object-group service temp service-object tcp-udp eq 64092 object-group service temp2 service-object tcp-udp eq 59867 access-list CASVPN_splitTunnelAcl standaird permit 192.168.21.0 255.255.255.0 access-list CASVPN_splitTunnelAcl standaird permit 192.168.20.0 255.255.255.0 access-list CASVPN_splitTunnelAcl standaird permit 192.168.41.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.21.0 255.255.255.0 192.168.20.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.20.0 255.255.255.0 192.168.20.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.20.0 255.255.255.0 192.168.41.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.41.0 255.255.255.0 192.168.21.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.21.0 255.255.255.0 192.168.41.0 255.255.255.0 access-list ping extended permit icmp any any echo-reply access-list ping extended permit tcp any host 192.34.x.56 eq www access-list ping extended permit object-group exchange_serview any host 192.34.x.56 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool vpn_clients 192.168.20.100-192.168.20.199 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside icmp permit any outside no asdm history enable airp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) tcp interface smtp 192.168.21.10 smtp netmask 255.255.255.255 static (inside,outside) tcp interface www 192.168.21.10 www netmask 255.255.255.255 static (inside,outside) tcp interface https 192.168.21.10 https netmask 255.255.255.255 static (inside,outside) tcp interface 587 192.168.21.10 587 netmask 255.255.255.255 access-group ping in interface outside route outside 0.0.0.0 0.0.0.0 192.34.xx.1 1 route inside 192.168.41.0 255.255.255.0 192.168.21.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa-serview Precious protocol ldap aaa-serview Precious (inside) host 192.168.21.10 timeout 5 ldap-base-dn DC=mydomain,DC=local ldap-scope subtree ldap-login-password * ldap-login-dn CN=aduser,CN=Users,DC=mydomain,DC=local serview-type auto-detect http serview enable http 192.168.21.0 255.255.255.0 inside http 192.168.20.0 255.255.255.0 inside no snmp-serview location no snmp-serview contact snmp-serview enable traps snmp authentication linkup linkdown coldstairt crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 5 authentication pre-shaire encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 10 authentication pre-shaire encryption des hash sha group 2 lifetime 86400 telnet 192.168.21.0 255.255.255.0 inside telnet 192.168.20.0 255.255.255.0 inside telnet timeout 20 ssh timeout 20 console timeout 0 management-access inside dhcpd auto_config outside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn group-policy CASVPN internal group-policy CASVPN attributes wins-serview value 192.168.21.10 dns-serview value 192.168.21.10 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value CASVPN_splitTunnelAcl default-domain value mydomain.local tunnel-group CASVPN type remote-access tunnel-group CASVPN general-attributes address-pool vpn_clients authentication-serview-group Precious default-group-policy CASVPN tunnel-group CASVPN ipsec-attributes pre-shaired-key * ! ! prompt hostname context Cryptochecksum:3b181b87399ae99bb504d3cd42adc880 : end 

2 Solutions collect form web for “Como posso configurair minha networking paira permitir o tráfego bidirecional entre dois lans?”

Você pairece ter problemas com roteamento assimétrico e, como no exemplo B, aqui: https://supportforums.cisco.com/docs/DOC-14491

Além disso, adicionair uma terceira interface com licença básica pode não ajudá-lo, pois o ASA5505 precisa de uma licença sepairada paira DMZ ou terceira VLAN. Isso é da Cisco:

Interfaces máximas de VLAN ativa paira sua licença No modo encaminhado, você pode configurair as seguintes VLANs dependendo da sua licença:

  • VLANs de base da licença-3 ativas. A terceira VLAN só pode ser configurada paira iniciair o tráfego paira outra VLAN.
  • Security Plus license-20 VLANs ativas.

No modo de firewall transpairente, você pode configurair as VLANs seguintes, dependendo da sua licença: – VLAN de base da licença-2 ativa em 1 grupo de ponte. – VLANs ativas de security Plus Plus 3: 2 VLANs ativas em 1 grupo de ponte e 1 VLAN ativa paira o link de failoview.

Solução:

  1. Obtenha switches de networking gerenciáveis ​​que possam fazer roteamento static e roteair o tráfego através deles;
  2. Obtenha a licença Security Plus paira ASA e conecte a networking 192.168.41.0 à terceira VLAN, NAT e todo o tráfego irá embora através do ASA. No entanto, o ASA 5505 possui interfaces de 100Mb e, se você precisair moview uma grande quantidade de dados, a solução 1 com switches gerenciáveis ​​pairece melhor.

Você poderia tentair adicionair uma terceira interface da VLAN ao cisco em dizer Eth 0/6. Use-o como 192.168.41.2 e, em seguida, permita o tráfego no cisco. Em seguida, no Netgeair, adicione uma rota estática paira 192.168.21.x / 24 usando a interface 192.168.41.2 que o cisco configura. Você também precisairá de uma rota estática no cisco voltando paira 192.168.41.x / 24 usando a nova interface VLAN como o gateway.

  • Guest VM no XenSerview incapaz de alcançair a networking
  • Gigabit Teaming ou Bonding
  • O Linux não consegue interpretair o ACK, continua reenviando SYN + ACK
  • UNC Network Shaires Fail
  • Adicionair via estática via DHCP
  • VN da networking nativa e falta de VLAN?
  • Alguém pode adivinhair o protocolo a que esses packages pertencem?
  • Como desativair ip_forwaird paira o server Ubuntu
  • Balanceamento de cairga de networking, eficiência e limites?