Ich habe mir also eine Cisco ASA gekauft und versuche, zwei Schnittstellen dazu zu bringen, vollständig miteinander zu kommunizieren. Ein anderer Techniker hier bei der Arbeit, der mehr weiß, sagt, dass ich dafür eine Security Plus-Lizenz benötige und meine ASA eine Basislizenz hat. Ist das unbedingt wahr? Ich habe auch Probleme, eine SSH-Verbindung vom Internet zu meiner ASA herzustellen. Könnte das auch an meiner aktuellen Lizenz liegen? Wenn ich mir die Dokumentation von Cisco zu meiner ASA anschaue, ist sie nicht so informativ, sondern eher ein kurzer Überblick.
Ich bin für jede Hilfe dankbar!
AKTUALISIEREN
Aktuelle ASA-Konfiguration http://pastebin.com/WSz8wNNv
Antwort1
Standardmäßig lassen ASAs keinen Datenverkehr mit dieser Sicherheitsstufe in eine andere Schnittstelle mit derselben Sicherheitsstufe eintreten. Dies ist Ihr Hauptproblem. same-security-traffic permit intra-interfaceDer Befehl ist erforderlich.
Verwendung: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
Die ALLOW_WIREDund ALLOW_WIRELESSACLs sind definiert, werden aber nicht auf Schnittstellen angewendet. Darüber hinaus empfehle ich, die ACLs von Standard-ACLs in erweiterte ACLs zu ändern. Erweiterte ACLs ermöglichen die Steuerung des Datenverkehrs über Quelle und Ziel, anstatt nur über die Quelle des Datenverkehrs.
Empfohlene Änderungen: (Aktualisiert am 17.02.2017: Aktualisierung der ACLs, um uneingeschränkten ausgehenden Zugriff wie gewünscht zu ermöglichen)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
Beachten Sie, dass die erste Regel in jeder ACL zwar überflüssig ist, aber hinzugefügt wurde, um zusätzlichen Kontext zur Verwendung der Regel zu bieten.
Testen: Die gesamte Ausgabe sollte „Up“ ergeben.
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2