Как настроить фаерволл cisco ASA для организации связи между двумя устройствами?
Помогите разобраться с простой ситуацией. Сразу скажу, что познания в сетевых делах у меня минимальные, поэтому я сходу не могу решить эту простую задачу, а для спеца тут дел наверняка на 5 минут, но так сложилось, что выпало в проекте настроить такое оборудование, чем я никогда раньше не занимался. Сроки горят, а связи нет! Есть два устройства (именно устройства, не компьютеры). IP1=192.168.5.50, IP2=192.168.1.201. Они друг с другом должны обмениваться данными. Соединяются они через межсетевой экран cisco ISA 3000. Что нужно настроить в этом фаерволе, что бы всё заработало? Маршруты, NAT, что-то одно или всё вместе? И как именно? Будет ли при этом возможность подключиться ноутом в порт вместо одного из устройств и сделать ping другого устройства для проверки связи? Работаю с ASA с помощью ASDM. Хотелось бы не прибегать к работе с CLI, лучше через мышекликанье. Можно ли как-то сделать копирование running-config в startup-config с помощью мыши? BVI IP=192.168.1.202. Возможно подключение ещё устройства с IP=192.168.1.51. Как узнать, в каком режиме работает ASA, в routed or transparent? Если настраивать маршрут, то какой адрес шлюза задавать? Правильно я понимаю, что изменения активируются, записываются в устройство по кнопке Apply? Конфигурация прилагается. Заранее спасибо!
: Hardware: 1783-SAD4T0S, 8192 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
: Written by user1 at 10:56:41.958 NOVDT Sat Aug 14 2021
!
ASA Version 9.6(2)
!
firewall transparent
hostname stratix5950
enable password 6qQOg/48CzKPezeS encrypted
names
!
interface GigabitEthernet1/1
nameif outside1
bridge-group 1
security-level 0
!
interface GigabitEthernet1/2
nameif inside1
bridge-group 1
security-level 100
!
interface GigabitEthernet1/3
nameif outside2
bridge-group 1
security-level 0
!
interface GigabitEthernet1/4
nameif inside2
bridge-group 1
security-level 100
!
interface Management1/1
management-only
nameif management
security-level 100
ip address 169.254.0.1 255.255.255.0
!
interface BVI1
description FW-001
ip address 192.168.1.202 255.255.255.0
!
ftp mode passive
clock timezone NOVST 6
clock summer-time NOVDT recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit inter-interface
object network 192.168.1.99
host 192.168.1.99
object network TTT
host 192.168.1.99
object network 192.168.5.50
object network 192_168_1_201
host 192.168.1.201
object network 192_168_5_50
host 192.168.5.50
access-list allowAll extended permit ip any any
access-list sfrCipAccessList extended permit udp any any neq 2222
access-list sfrCipAccessList extended permit tcp any any
access-list etherAll ethertype permit any
pager lines 24
logging asdm informational
hardware-bypass boot-delay module-up sfr
hardware-bypass GigabitEthernet 1/1-1/2
hardware-bypass GigabitEthernet 1/3-1/4
mtu outside1 1500
mtu inside1 1500
mtu outside2 1500
mtu inside2 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 1024
!
object network 192_168_1_201
nat (inside2,outside2) static 192.168.5.90
object network 192_168_5_50
nat (outside2,inside2) static 192.168.1.60
access-group etherAll in interface outside1
access-group allowAll in interface outside1
access-group etherAll in interface inside1
access-group allowAll in interface inside1
access-group etherAll in interface outside2
access-group allowAll in interface outside2
access-group etherAll in interface inside2
access-group allowAll in interface inside2
route inside1 192.168.1.51 255.255.255.255 192.168.1.1 1
route outside1 192.168.1.85 255.255.255.255 192.168.1.1 1
route inside2 192.168.1.201 255.255.255.255 192.168.1.1 1
route outside2 192.168.5.50 255.255.255.255 192.168.1.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
user-identity default-domain LOCAL
http server enable
http 169.254.0.0 255.255.255.0 management
http 192.168.1.98 255.255.255.255 management
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
no ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 169.254.0.5-169.254.0.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl server-version tlsv1.2
dynamic-access-policy-record DfltAccessPolicy
username user1 password .swFj2RXERmq51zP encrypted
!
class-map sfrclass
match access-list sfrCipAccessList
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
class sfrclass
sfr fail-open monitor-only
set connection random-sequence-number disable
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:6638538ce5bfedeebad69e60ffc59385
: end
firewall transparent
Похоже что у вас asa настроена в trasparent mode.Если правильно помню в таком режиме вам понадобиться еще одно устройство L3 для того чтобы соеденить две разные подсети.
Да, настроена в транспарент. Но знающие люди переводили в routed, там у них тоже ничего не получилось. А что в качестве устройства L3 подойдёт? Маршрутизатор?