Licencia Cisco ASA 5505, conectividad de interfaz "verdadera"

tag-icon tag-icon networking firewall license
Licencia Cisco ASA 5505, conectividad de interfaz "verdadera"

Así que compré un Cisco ASA y estoy intentando conseguir que 2 interfaces se comuniquen completamente entre sí. Otro técnico aquí en el trabajo que sabe más dice que para que esto suceda necesito una licencia de seguridad plus y mi ASA tiene una licencia base. ¿Es esto necesariamente cierto? También tengo problemas para conectarme a SSH desde Internet a mi ASA. ¿Esto también podría estar bajo mi licencia actual? Al mirar la documentación de Cisco en mi ASA, no es tan informativo, es más bien una descripción general rápida.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

¡Se agradece mucha ayuda!

ACTUALIZAR

Configuración ASA actual http://pastebin.com/WSz8wNNv

Respuesta1

De forma predeterminada, los ASA no permiten que el tráfico del nivel de seguridad ingrese a otra interfaz del mismo nivel de seguridad. Este es tu principal problema. same-security-traffic permit intra-interfaceSe requiere comando.

Uso: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

Las ACL ALLOW_WIREDy ALLOW_WIRELESSestán definidas pero no se aplican a ninguna interfaz. Además, recomiendo cambiar las ACL de ACL estándar a ACL extendidas. Las ACL extendidas permiten el control del tráfico según el origen y el destino, en lugar de solo el origen del tráfico.

Cambios recomendados: (Actualizado el 17/02/2017: Actualización de las ACL para permitir el acceso saliente sin restricciones, según lo solicitado)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Tenga en cuenta que, si bien la primera regla de cada ACL es superflua, se agregó para brindar contexto adicional sobre cómo se usa la regla.

Pruebas: Todos los resultados deberían resultar en "Arriba".

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2

información relacionada