Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

probleme de routage sur asa5505 ???

J'ai créé des routes statique pour redirigé certain type de traffic vers un autre routeur:
(interface_lan => 10.135.222.252/24)
- route interface_lan 172.16.0.0 255.255.0.0 10.135.222.253 1

un ping (ou une requete http) d'une machine du 10.135.222.0/24 vers une machine du 172.16.0.0/16 fonctionne bien.

par contre un ping (ou une requete http) d'une machine du 172.16.0.0/16 vers une machine du 10.135.222.0/24 ne passe pas.

donc mon asa interdit les reponses du lan 10.135.222.0/24 initié par mon lan 172.16.0.0/16

quelqu'un peut'il maider à autoriser les reponses du lan 10.135.222.0/24 initié par mon lan 172.16.0.0/16
Salut,

As tu créé une ACL qui autorise les flux du 172.16.0.0/16 vers une machine du 10.135.222.0/24 afin que ton ping puisse passer ?

Tu peux passer par packet-tracer pour tester tes règles de filtrages.

Le security level il a quelle valeur ??

@+
salut,
Mon security level de mon interface_lan est 90.

si je fais un packet tracer source:172.16.2.7 - destination:10.135.222.153
j'ai l'erreur suivante:

Type - NAT Subtype - rpf-check Action - DROP
Config
nat (Interface_LAN) 101 0.0.0.0 0.0.0.0
match ip Interface_LAN any Interface_LAN any
dynamic translation to pool 101 (10.135.222.252 [Interface PAT])
translate_hits = 121, untranslate_hits = 0

J'ai essayer d'activer des règles de parfeu "en autorisantdans tous les sens" mais à chaque fois j'ai le meme resultat que précédamment.
Salut,

Là, tu as clairement un problème de NAT,

Tu es obligé de faire de la nat dynamique ??
Sinon pour le retour pense à faire la translation en pat ou nat 1 pour 1 des machines concernés.

Sinon tu as le cas suivant:
Ton besoin je le comprend comme étant une nécessité de joindre une machine d'un sous-réseau à un autre via une fonction de routage.
Pourquoi tu ne passe pas en NAT exempt entre tes deux Lan et tu applique les ACL qui vont bien pour sécuriser la chose.

voici une petit exemple d'implémentation de la Nat exemption.


(l'acl permettant de matcher les flux concernés)


(tu applique ta règle de nat exemption)

Pour ce qui est des ACL tu adapte en fonction de tes besoins.
Pense que ton pare-feu est en statefull, donc des ACL bidirectionnel dans tous les sens ça va te faire de jolie trous de sécurité.

En espérant que cela puisse t'aider.

@+
Salut,

Là, tu as clairement un problème de NAT,

Tu es obligé de faire de la nat dynamique ??
Sinon pour le retour pense à faire la translation en pat ou nat 1 pour 1 des machines concernés.

Sinon tu as le cas suivant:
Ton besoin je le comprend comme étant une nécessité de joindre une machine d'un sous-réseau à un autre via une fonction de routage.
Pourquoi tu ne passe pas en NAT exempt entre tes deux Lan et tu applique les ACL qui vont bien pour sécuriser la chose.

voici une petit exemple d'implémentation de la Nat exemption.


(l'acl permettant de matcher les flux concernés)


(tu applique ta règle de nat exemption)

Pour ce qui est des ACL tu adapte en fonction de tes besoins.
Pense que ton pare-feu est en statefull, donc des ACL bidirectionnel dans tous les sens ça va te faire de jolie trous de sécurité.

En espérant que cela puisse t'aider.

@+
Merci pour ta reponse mais je n'ai pas réussi à faire comme tu disais, donc je ne me suis pas plus pris la tête, j'ai utilisé un switch en coeur de reseau et comme ca je ne suis plus embété.