subject:"Re\: \[FRnOG\] \[TECH\] ACL cisco"

Re: [FRnOG] [TECH] ACL cisco

2013-07-02 Thread Adrien Pestel

Salut,

1) Je ne vois pas la pièce jointe
2) Cela ne marche pas car (sauf indication contraire) tu utilises l'ASA
derrière la Livebox residentiel qui (à ma connaissance) ne fonctionne pas
en mode bridge.
Par conséquence tu réalises (ou pas) du double NAT (berk).
2 bis) Si tu utilises non pas une Livebox résidentiel mais une Livebox pro
(un boitier OneAccess rebranded), tu dois demander à Orange de passer le
modem/routeur en mode routage bloc IP public vers ton firewall.

Je ne pourrais trop te conseiller :
1) D'acheter un modem ADSL (D-Link ou autre truc moisi mais qui marche)
2) Le passer en mode RFC 1483 et mettre le VPI/VCI à 8/35
3) T'assurer d'avoir une IP fixe


Sinon tu peux toujours faire appel à un pro.

Adrien


Le 2 juillet 2013 16:50,  a écrit :

> Bonjour à tous,
> je suis complètement nouveau sur cette liste de diffusion ainsi que dans
> l'administration d'un Cisco ASA. J'aurais donc une question plutôt basique
> mais je m'arrache les cheveux dessus :
> une archi réseau relativement simple fonctionne derrière une Livebox :
> -un pc en 192.168.0.20
> -un TPE en 192.168.0.21
>
> deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip
> publique de la livebox sont redirigés vers le TPE, le 3004 et le 2999 vers
> le PC.
> À priori la livebox ne filtre rien en sortie !
>
> Dans cette configuration tout fonctionne.
>
> L'archi à du être transposée derrière un cisco ASA 5510 (extrait de conf
> en pièce jointe pour ne pas polluer) et là ça ne fonctionne plus, j'ai un
> doute sur les règles de translation..
>
> Merci d'avance !
> Alexis
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL cisco

2013-07-02 Thread Thomas Barandon

Le 2 juillet 2013 17:07, Adrien Pestel  a écrit :

> Salut,
>

Salutations,


> 1) Je ne vois pas la pièce jointe
>

L

> 2) Cela ne marche pas car (sauf indication contraire) tu utilises l'ASA
> derrière la Livebox residentiel qui (à ma connaissance) ne fonctionne pas
> en mode bridge.
> Par conséquence tu réalises (ou pas) du double NAT (berk).
> 2 bis) Si tu utilises non pas une Livebox résidentiel mais une Livebox pro
> (un boitier OneAccess rebranded), tu dois demander à Orange de passer le
> modem/routeur en mode routage bloc IP public vers ton firewall.
>
> Je ne pourrais trop te conseiller :
> 1) D'acheter un modem ADSL (D-Link ou autre truc moisi mais qui marche)
> 2) Le passer en mode RFC 1483 et mettre le VPI/VCI à 8/35
> 3) T'assurer d'avoir une IP fixe
>
>
> Sinon tu peux toujours faire appel à un pro.
>
> Adrien
>
>
> Le 2 juillet 2013 16:50,  a écrit :
>
> > Bonjour à tous,
> > je suis complètement nouveau sur cette liste de diffusion ainsi que dans
> > l'administration d'un Cisco ASA. J'aurais donc une question plutôt
> basique
> > mais je m'arrache les cheveux dessus :
> > une archi réseau relativement simple fonctionne derrière une Livebox :
> > -un pc en 192.168.0.20
> > -un TPE en 192.168.0.21
> >
> > deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip
> > publique de la livebox sont redirigés vers le TPE, le 3004 et le 2999
> vers
> > le PC.
> > À priori la livebox ne filtre rien en sortie !
> >
> > Dans cette configuration tout fonctionne.
> >
> > L'archi à du être transposée derrière un cisco ASA 5510 (extrait de conf
> > en pièce jointe pour ne pas polluer) et là ça ne fonctionne plus, j'ai un
> > doute sur les règles de translation..
> >
> > Merci d'avance !
> > Alexis
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL cisco

2013-07-02 Thread Thomas Barandon

Clic un peu trop rapide

1) Je ne vois pas la pièce jointe
>

Configuration de la ML me semble il.

2 bis) Si tu utilises non pas une Livebox résidentiel mais une Livebox pro
> (un boitier OneAccess rebranded), tu dois demander à Orange de passer le
> modem/routeur en mode routage bloc IP public vers ton firewall.
>

Attention de ne pas confondre livebox residentielle, livebox pro et
business livebox.
Les directboite residentielles/pro ne sont pas des one access
(sagem/inventel).
Les BLB sont bien des One Access (feu bintec pour les plus vieilles) avec
tout ce qu'il faut pour une utilisation entreprise.

Mes 2 cts,
--
Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] ACL cisco

2013-07-02 Thread Thomas Frezouls

Bonsoir,

Il est probable que tu la version logicielle entre le 5505 et 5510 soit 
différente.
Si tu utilises l'ADSM, entre les versions 6 et 7, la configuration du NAT a pas 
mal changé et les imports de conf ne fonctionne pas.

Sinon ce n'est effectivement pas clair entre un double nat, ip publique sur 
business livebox ou autre.
(Double nat avec la Livebox configuré en "dmz" vers l'ip du Cisco ça fonctionne 
et on a parfois pas le choix par exemple si la Livebox sert pour la VOIP... 
Mais c'est moche).

Thomas

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
alexisp...@free.fr
Envoyé : mardi 2 juillet 2013 16:50
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] ACL cisco

Bonjour à tous,
je suis complètement nouveau sur cette liste de diffusion ainsi que dans 
l'administration d'un Cisco ASA. J'aurais donc une question plutôt basique mais 
je m'arrache les cheveux dessus :
une archi réseau relativement simple fonctionne derrière une Livebox : 
-un pc en 192.168.0.20 
-un TPE en 192.168.0.21

deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip publique de 
la livebox sont redirigés vers le TPE, le 3004 et le 2999 vers le PC.
À priori la livebox ne filtre rien en sortie !

Dans cette configuration tout fonctionne.

L'archi à du être transposée derrière un cisco ASA 5510 (extrait de conf en 
pièce jointe pour ne pas polluer) et là ça ne fonctionne plus, j'ai un doute 
sur les règles de translation..

Merci d'avance !
Alexis


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL cisco

2013-07-03 Thread Florent Nolot


Salut

Les pièces jointes ne sont pas autorisées sur la ML je crois

Sinon, exemple sur un 5505 en version 8.2
Mon firewall est en mode routeur entre le 192.168.0.0 outside (box) et 
192.168.10.0 (inside) Je suis donc en double nat

PC <192.168.10.0/24> FW <192.168.0.0/24> Box <---Internet

Pour ton nat, il faut appliquer des acl sur ta outside in pour accepter 
les flux entrants sur le port redirigé
Sur ma box, j'ai par exemple une redirection du 9088 entrant vers le 
192.168.0.20 9088 de mon firewall

Puis sur le FW, je redirige le 9088 entrant vers le 192.168.10.150:80

Le truc a comprendre au début, c'est de faire les règles inside vers outside
C'est en version 8.2. Dans les versions supérieures, cela a changé.

interface Vlan1q
 nameif inside
 security-level 100
 ip address 192.168.10.254 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.0.20 255.255.255.0

access-list TEST extended permit tcp any any eq 9088

global (outside) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0
static (inside,outside) tcp interface 9088 192.168.10.150 www netmask 
255.255.255.255

access-group TEST in interface outside


A+

Florent NOLOT
Université de Reims Champagne-Ardenne

Le 02/07/2013 16:50, alexisp...@free.fr a écrit :

Bonjour à tous,
je suis complètement nouveau sur cette liste de diffusion ainsi que dans 
l'administration d'un Cisco ASA. J'aurais donc une question plutôt basique mais 
je m'arrache les cheveux dessus :
une archi réseau relativement simple fonctionne derrière une Livebox :
-un pc en 192.168.0.20
-un TPE en 192.168.0.21

deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip publique de 
la livebox sont redirigés vers le TPE, le 3004 et le 2999 vers le PC.
À priori la livebox ne filtre rien en sortie !

Dans cette configuration tout fonctionne.

L'archi à du être transposée derrière un cisco ASA 5510 (extrait de conf en 
pièce jointe pour ne pas polluer) et là ça ne fonctionne plus, j'ai un doute 
sur les règles de translation..

Merci d'avance !
Alexis


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL cisco

2013-07-03 Thread Pierre `Sn4kY` DOLIDON


A propos de la question d'origine.

pourrais tu détailler les subnets que tu utilise ?
Quelle est l'IP de la livebox ?
Quelle est l'IP de l'interface outside de l'ASA ?
Quelle est l'IP de l'interface inside de l'ASA ?


Est-tu en "firewall transparent" ou pas ?

Quelles sont les ACL en place ? et sur quelle interface (et dans quel 
sens) sont elles appliquées ?


Merci.

Le 03/07/2013 10:41, Florent Nolot a écrit :

Salut

Les pièces jointes ne sont pas autorisées sur la ML je crois

Sinon, exemple sur un 5505 en version 8.2
Mon firewall est en mode routeur entre le 192.168.0.0 outside (box) et 
192.168.10.0 (inside) Je suis donc en double nat

PC <192.168.10.0/24> FW <192.168.0.0/24> Box <---Internet

Pour ton nat, il faut appliquer des acl sur ta outside in pour 
accepter les flux entrants sur le port redirigé
Sur ma box, j'ai par exemple une redirection du 9088 entrant vers le 
192.168.0.20 9088 de mon firewall

Puis sur le FW, je redirige le 9088 entrant vers le 192.168.10.150:80

Le truc a comprendre au début, c'est de faire les règles inside vers 
outside

C'est en version 8.2. Dans les versions supérieures, cela a changé.

interface Vlan1q
 nameif inside
 security-level 100
 ip address 192.168.10.254 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.0.20 255.255.255.0

access-list TEST extended permit tcp any any eq 9088

global (outside) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0
static (inside,outside) tcp interface 9088 192.168.10.150 www netmask 
255.255.255.255

access-group TEST in interface outside


A+

Florent NOLOT
Université de Reims Champagne-Ardenne

Le 02/07/2013 16:50, alexisp...@free.fr a écrit :

Bonjour à tous,
je suis complètement nouveau sur cette liste de diffusion ainsi que 
dans l'administration d'un Cisco ASA. J'aurais donc une question 
plutôt basique mais je m'arrache les cheveux dessus :

une archi réseau relativement simple fonctionne derrière une Livebox :
-un pc en 192.168.0.20
-un TPE en 192.168.0.21

deux règles NAT tout aussi simples : les ports 1256 et 5214 de l'ip 
publique de la livebox sont redirigés vers le TPE, le 3004 et le 2999 
vers le PC.

À priori la livebox ne filtre rien en sortie !

Dans cette configuration tout fonctionne.

L'archi à du être transposée derrière un cisco ASA 5510 (extrait de 
conf en pièce jointe pour ne pas polluer) et là ça ne fonctionne 
plus, j'ai un doute sur les règles de translation..


Merci d'avance !
Alexis


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL cisco

Re: [FRnOG] [TECH] ACL cisco

Re: [FRnOG] [TECH] ACL cisco

RE: [FRnOG] [TECH] ACL cisco

Re: [FRnOG] [TECH] ACL cisco

Re: [FRnOG] [TECH] ACL cisco

6 matches

Site Navigation

Mail list logo

Footer information