Asa 5505 konfigürasyonu

sizin dediklerinizide yaptım packet tracerdan gene geçmedi. Başarısız gösteriyordu. yazmıştım....

Yani packet tracerda bir ilginçlik var. Ben testlerimi hep packet tracerda yapıyordum, o da başarısız olduğunu söylüyordu. Yani sizin konfigürasyonlarda diğer arkadaşların verdikleri tavsiyelerde doğruydu ama beni packet tracer yanılttı. Gerçek bir test yapınca gördümki çalışıyor. 

Gerçek testten kast ettiğim ADSL modeme bir laptop taktım ve bir web server yaptım bu laptopı. Diğer başka bir adsl hatta bağlı olan bir pc den bu laptop web servera  bağlandım. Web server laptopdan da google,msne girdim ve herşey istediğim gibi çalışıyordu.

Çalışan konfigürasyonu test etmek için başka bir hat ve adsl modem kullanarak yapmıştım.

Konfigürasyonu gene değiştirmem gerekiyor maalesef. Şu anda ki test konfigürasyonum gayet iyi çalışıyor ama asıl kullanacağın hattaki ADSL modemin diğer bir portuna takılmış olan bir Nortel router var. Bu router site to site vpn yapıyor. Su andaki firewallsuz baglantı su sekilde çalışıyor

     INTERNET_________ADSL Modem ______ Switch ________Internal Network(192.168.2.0)

                                              |______________Nortel VPN Router_____VPN Bağlantısını kullanan Internal Network (172.x.x.x)

Bu yukardaki anlattığım networkte VPN bağlantısı için ADSL de hiç bir özel konfigürasyon yapılmamış. Aynı konfigürasyonla hem internal hem vpn networkleri interneti kullanıyorlar.

Ben ADSL modemi bridge mode yapınca ve firewallumu ADSL ve internal networklerin arasına alınca öyle sanıyorum ki Nortel VPN internete çıkamayacak. Acaba firewalla nasıl bir konfigürasyon eklemeliyim ki bu VPN şu an yaptığı işi görebilsin.

Ben bunu cumartesi test edeceğim. Ama şu anda yaptığım ayarda vpn için su tür konfigler ekledim.

Public ipme gelen tcp 8080 i kullanmak isteyen TÜM networklere izin ver. Ve bir de static nat uyguladım

UDP 8080 e gelenleri 192.168.2.0 networküne gönder. Bunu böyle yaptım çünkü VPN normalde de direk 192.168.2.0 networküne bağlı. Ne biliiim acaba VPN in static ipsine mi yönlendirmek gerekir. Uzun oldu galiba ben biraz gidip VPN bu tür bağlantı da nasıl çalışıyor ona bakayım.

Aslında biraz karışık olmuş 🙂

biraz taoparlıyıp yazarsan yardımcı olmaya çalışırım. bu arada nortel contivty mi ? eger öle ise mesela contivty i asa nın arkasına alabilirsin ki ben o şekilde kullanıyorum...

yani asa üzerinde yeni bir bacak tanımlayıp asa nortel oaraya baglanabilir yada tam olarak anlatırsan yapıyı açıklayıcı olarak. Bir çıkış yolu bulalalım....

Selametle...

Tamam bastan anlatmaya calisayim. Oncelikle bu binada 2 farkli kullanilan network var; ilki direk adsl modeme bir switch yoluyla baglanan kullanicilar. Sanki evdeki adsl modeminizden internete cikar gibi kullaniyorlar. Bu network 192.168.2.0 ipleri dagitiyor.Hic bir ozel konfigurasyon yok yani, VLAN felanda yok.

Neyse diger network (172.x.x.x) gene ayni ADSL Modemin farkli bir portuna bagli. ADSLin bu portu, nortel contivitye bagli.  uzak lokasyon ile VPN yapilmakta ve Bizim kullanicilar  internete cikarkende o uzak lokasyondan internete erisim saglaniyor.

 Su anda ki adsl modem konf'gurasyonuma dikkat ettim hic bir ilginc konfigurasyon yok ama sadece IPSec trafiginin gecisine izin ver demis,

Ben diyorumki acaba ACL tanimlasam ve desemki su ipden gelen (uzak lokasyonun static ipsi) IPsec  trafiginin gecisine izin ver. Sanki o zaman olurmus gibi geliyor ama bir taraftan o trafik inside vlana girebilecek mi. Yani 3. bir vlan mi tanimlamak gerekiyor.

Iste boyle bir dizayn var. Umarim aciklayabilmisimdir.

nortelin ip adresi nedir ?

adsl modem 2 farklı ip havuzu ile nasıl gelnebiliyor ?

nortelin içeriye dağıttıgı adres 172.22.99.x

static ipsini bilemiyorum cünkü birileri zamanında kurup gitmiş bu cihazları ve consoleuna bile giremiyorum. Ama bu networke bağlı herhangi bir client makineye oturup aldığım static ipyi görüyorum. O da 80li bişeyler.  Ama nortelin  dış bacağında kullandığı static ip yi bilmiyorum. 🙁

Her neyse bir makale buldum ve orada gördüm nasıl yapmam gerektiğini

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008045a2d2.shtml

Diyelimki benim adslin static ipsi 80.5.5.5 ve Nortelimin static ipsi 80.5.5.40 uzaktaki Nortelin static ipside 80.5.5.45 olsun

Once bunlar arasında static bir route yapmam gerkiyor Mesela

172.22.99.0 networkunun gatewayi nortelin iç bacağı olan 172.22.99.1 diye belirtmem gerekiyor.

Daha sonra access-listler oluşturmam gerekiyor mesela

 80.5.5.45(uzaktaki nortel) den gelip               80.5.5.40(local nortel)a,  IPSec uzerinden gelen paketlere izin ver 

demem gerekiyor sanırım yani vurgulamak istediğim bu aclleri yazarken kural koyarken ADSLin ipsini deilde tamamen nortel uzerindeki ipleri kullanmam gerekiyor ......mu acaba 🙂 Hahahaha sıyırdım en sonunda. Neyse pardon... Sizce durum nedir eser hocam, dogru yoldamıyım

Yolunda gitmiyen bir şey var oda contivty direk nete baglanmaz yada sizdeki başka bir ürün olmasın yani sormak istedigim hangi teknolojiyi kullanarak nete baglanıp real ip alıyor.

contivity tam modelini sölermisiniz bana ?

Selametle...

ürünün modeli contivity 1100 ve sanirim diger tarafatada ayni cihaz var. Contivity 1100 4 portu bulunan adslimin bir portuna direk bagli ama konfigurasyon nasil bilemiyorum. Siz bana contivity direk baglanmaz yazmissiniz. Sakincasi yoksa sizdeki contivitynin nasil baglandigini soyleyebilirmisiniz. Yada normalde site to site vpn yaparken bu cihazlari adsl uzerinden nasil bagladiklarini soylesenizde olur.

Merhaba;

Bendeki ürürün aynısı 🙂 Şimdi bir portu lan bir portu wan olarak düşünebilirsin. Ama wan portu bir modem yada external bir network baglı olmalı contivity nin lan bacagı asa da dmz gibi bir bacaga girecek ve asa onu kurallar dahilinde içeri yani asa nın lanına girmesine izin verecek ama site to site cihazda tam nasıl dı hatırlamıyorum diyecem sana zaten cihaza erişemiyormuşsun ki dahada ele alırsak konuyu sen asa yı yeni konumlandırdın ve bu nedenle nortelde kesinlikle ayar yapman gerekecek ki lan bacagı şu an konuşmuyor olmalı onun için cihaza erişmeyi denemelisin.

Selametle....

Eser öncelikle sana sonsuz tesekkurler ediyorum. Ben calistigim yerde cok yeniyim hala nasil kurmuslar cozmeye gayret ediyorum. Bugun yurt disindaki vpn yaptigimiz ITcilere mail attim. Bana bunun static ipsi lazim seklinde, onlarda neden bir sorun mu var dediler.  Yoo dedim asa firewall kurmaya calisiyorum.... ve onlarda bu sozlesmemize aykiri bizim contivity boxin onune hic bir sey koyamazsiniz  dediler. Patrona gidip anlattim guldu evet dedi. Bende kahroldum lan dedim kendi kendime o zaman ne diye bana bunu kuralim dediler ki... Her neyse tecrube oldu en azindan su anda basit bir firewall nasil kurulur onu ogrendim. Hatta kurdugum ASA5505 ile bir makale bile yazmayi dusunuyorum, diger arkadaslar kurmayi denerse ornek olur ama acaba herkes bu sitede makale yazabilirmi yazamay ise ben sana, her turlu resmi ve konfigi adim adim yazip mail atabilirim sende sakincasi yoksa yuklersin. Simdi ki yapmam gereken data storage sistemleriyle ilgili bilgi edinmek. Ustelik bunun fail over olmasi gerekiyor. Bu konuyu arastirmam gerekiyor. Senin makalelerin vardi onlari okumakla basliyacagim sanirim web sayfanda epey bir dokuman var.

Tekrar tesekkur ediyorum

Merhaba,

Duyurular ve Uyarılar kısmında yer alan "makale nasıl olmalıdır" konularına bağlı olarak makale yazabilirsiniz.

Yazılan makaleleri @cozumpark.com">makale@cozumpark.com a göndermenizi müteaakip incelenir ve uygun görülürse yayımlanır.

Makale konusunda gelebilecek her türlü soruya yanıt verebileceğini düşünen her birey sitemizde makale yazabilir.

Eser öncelikle sana sonsuz tesekkurler ediyorum. Ben calistigim yerde cok yeniyim hala nasil kurmuslar cozmeye gayret ediyorum. Bugun yurt disindaki vpn yaptigimiz ITcilere mail attim. Bana bunun static ipsi lazim seklinde, onlarda neden bir sorun mu var dediler.  Yoo dedim asa firewall kurmaya calisiyorum.... ve onlarda bu sozlesmemize aykiri bizim contivity boxin onune hic bir sey koyamazsiniz  dediler. Patrona gidip anlattim guldu evet dedi. Bende kahroldum lan dedim kendi kendime o zaman ne diye bana bunu kuralim dediler ki... Her neyse tecrube oldu en azindan su anda basit bir firewall nasil kurulur onu ogrendim. Hatta kurdugum ASA5505 ile bir makale bile yazmayi dusunuyorum, diger arkadaslar kurmayi denerse ornek olur ama acaba herkes bu sitede makale yazabilirmi yazamay ise ben sana, her turlu resmi ve konfigi adim adim yazip mail atabilirim sende sakincasi yoksa yuklersin. Simdi ki yapmam gereken data storage sistemleriyle ilgili bilgi edinmek. Ustelik bunun fail over olmasi gerekiyor. Bu konuyu arastirmam gerekiyor. Senin makalelerin vardi onlari okumakla basliyacagim sanirim web sayfanda epey bir dokuman var.

 

Tekrar tesekkur ediyorum

Rica ederim ne demek biz burda bu işe başlarken allah rızası için başladık onun için her hangibi bir ticari çıkarımız olmadıgı için çok rahat bir şekilde bildiklerimizi zamanımız ve elimizden geldigince kullanıcılara aktarmaya çalışıyoruz.

Makale yazma konusunda sorun olmaz güzel açıklayıcı türkçe bilgi içeren makaleler her zaman yayınlanabilir. Tabiki makale şartlarına uymak koşulu ile.

Birde storage konusunda baya baya makale var çözümpark üzerinde ki çok ta yeterli bilgiye sahip kişiler olarak destek verilecektir.

İşlerde başarılar....

oncelıkle merabalar benımde asayla ılgılı bı sorum olucaktı bu konuya cok yakın...

 elımde bır tane asa 5520 var outside tarafı 3800 routera baglı ınsıde tarafı ıse 3750 switche baglı 3800 2960 metro ethernet switchıme baglı 3750 switchımın ustunde de prıvete vlanlar var benım sorum su 3750 switchıme baglı bı tane lınux sunucum var...asa ustunde dısarıya butun trafık acık ama dısarıdan lınux sunucuma ssh baglantısını engellıyor aynı sekılde ftp baglantımıda engellıyor...

access-list outside_access_in extended permit tcp any interface outside eq ssh.. asa ustunde bu komutu gırmem sorunumu gıderırmı acaba bu arada asamın outsıde ıp sı private ınsıde ıp sı ıse publıc sunucumunda ıp adresı publıc...bu konuda yardımcı olursanız cok sevınırım...

ıyı gunler... 

Merhaba Fatih Bey;

Sıkıntınızı anladım.... Ama sizden bir show run çıktısı istiyebilirmiyim...

Direk sunu yazın diyecem ve ilerde arıyan arkadaşlar içinde örnek olacaktır...

İyi çalışmalar. 

eser bey slm

su anda cıktıyı veremıyorum cunku cıhaz baska bı yerde daha tam olarak baglantılar yapılmadıgı ıcın telnetlede ulasamıyorum ama sısteme dahıl ettıgım zaman tabıkı burda paylasmaktan mutluluk duyarım...

O zaman access-list interface_access_in extended permit ip sourceip  destinationip eq ssh

sende bu şekilde vermiştin galiba ?? Bide interface baglaman lazım bunun içinde

access-group outside_access_in in interface outside demen gerekir.

İyi

O zaman access-list interface_access_in extended permit ip sourceip  destinationip eq ssh

sende bu şekilde vermiştin galiba ?? Bide interface baglaman lazım bunun içinde

access-group outside_access_in in interface outside demen gerekir.

İyi çalışmalar....

evet eser bey aynı sekılde yaptım ınterface altına uygulamıstım tesekkur ederım yardımlarınız ıcın..