配置 ASA:我可以浏览出去,但没有传入流量?

网络工程 思科 防火墙 纳特
2021-07-04 16:02:56

我似乎无法让这段代码工作。我不太精通 ASA 设置,但他们似乎在这附近越来越受欢迎,并且有消息说,如果你能在其中工作,你就是他们的人和他们所有朋友的人。今天没必要,我从一个 ASA 复制了一个配置并对其进行了修改,以匹配企业另一个位置所需的设置。我能够上网,但是,当另一个机构试图 ping 所在位置的某些设备以便他们可以完成工作时,无法 ping 设备。我不确定您需要多少更具体的信息,但是对此的任何帮助都非常好。

CISCOASA(config-if)# show run
: Saved
:
ASA Version 8.2(5)
!
hostname CISCOASA
enable password encrypted
passwd encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.#.#.33 255.255.255.240
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 70.#.#.78 255.255.255.224
!
ftp mode passive
clock timezone CST -6
clock summer-time CDT recurring
object-group network StateNet
 network-object 10.#.#.0 255.255.254.0
 network-object 10.#.#.192 255.255.255.240
 network-object 170.#.#.32 255.255.255.224
 network-object 170.#.#.0 255.255.255.0
 network-object 10.#.#.0 255.255.255.0
 network-object 10.#.#.210 255.255.255.255
object-group network Inside
 network-object 10.#.#.32 255.#.#.240
access-list outside_cryptomap extended permit ip object-group Inside object-group StateNet
access-list inside_nat0_outbound extended permit ip object-group Inside object-group StateNet
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 70.#.#.78 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 10.#.#.32 255.255.255.240 inside
http 170.#.#.100 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 170.#.#.5
crypto map outside_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map 1 set nat-t-disable
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 1
 authentication pre-share
 encryption aes-256
 hash sha
 group 5
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn

tunnel-group 170.#.#.5 type ipsec-l2l
tunnel-group 170.#.#.5 ipsec-attributes
 pre-shared-key *****
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous

: end
CISCOASA(config-if)#
3个回答

理想情况下,我们需要更多信息...

  1. 他们试图 ping 但无法访问什么?这个有趣的流量是否与 IPSec 加密有关?
  2. 你用什么来确认互联网可达性?通过防火墙的一个接口或防火墙后面的机器从防火墙 Ping 吗?

然而,简要地看一下你的配置,我注意到以下几点:

access-list outside_cryptomap extended permit ip object-group 
  Inside object-group SUPERS
access-list inside_nat0_outbound extended permit ip object-group 
  Inside object-group SUPERS

SUPERS对象组不会出现在您的配置存在这样这两个配置行实际上不会做任何事情。

此外,它看起来不像您没有处理 IPSec VPN 流量。为确保当它穿过您的出站接口时,它不会被 nat,而是保留它的原始源 IP,因此它可以未经修改地穿越 IPSec VPN 隧道。

问题是您没有应用访问列表。使用access-group命令将访问列表应用于接口,我在您的配置中没有找到命令。

如果没有访问列表,尝试通过您的 ASA 的流量将完全根据您的安全级别进行过滤。这意味着允许来自较高安全级别接口的流量传递到较低安全级别的接口,但不能相反。

目前,您有两个接口:

  • 内部 - 安全级别 100
  • 外部 - 安全级别 0

任何从内部 (100) 开始的流量都将被允许传递到外部 (0)。但是,在外面(0)开头的交通,将不会被允许通过到里面(100)。覆盖此行为的唯一方法是应用访问列表。

请注意,由于 ASA 是有状态设备,从内部发起的连接的返回流量仍将被允许返回,即使返回流量是从外部流向内部。然而,任何从外部发起的流量都将不被允许通过。


仅供参考,访问列表明确地阻止了来自外部的流量访问内部。但我不能肯定地说它是否全权负责可能还有其他事情发生,但无论哪种方式,缺少 ACL 都是您要解决的第一个问题。

编辑:您从未提及“其他机构”是来自公共 Internet 还是来自您配置的 VPN 隧道的另一端。我的回答是假设它们来自公共互联网。

您无法 ping 的原因之一是您的 ASA 配置缺少 ICMP 和 ICMP 错误检查。

修改您的配置以包含以下命令: 

policy-map global-policy
    class-map inspection default
        inspect icmp
        inspect icmp-error
其它你可能感兴趣的问题
上一篇如果以下参数不匹配,VPN 是否仍然有效? 下一篇rtp 与 nat 的连接