Probleme ACL/VLAN
Urel
-
Urel_RT Messages postés 197 Statut Membre -
Urel_RT Messages postés 197 Statut Membre -
Salut a tous,
Voila j'ai un réseau composé de 1 switch Allied Telesyn sur le quel j'ai créer 1 vlan (j'ai garder le vlan natif, donc 2 vlan en tout), le tout connecté a un firewall cisco ASA5510
Mon soucis est que j'ai créé un VLAN, configuré correctement ( j'ai accès a internet), mais impossible de communiqué entre les vlans.
Je pense que c'est un problème d'ACL, qui empêche certains paquets de passer, mais j'ai beau tout essayer ( les permit any any des deux cotés,...) rien ne passe :/)
Help, merci
Voila la config des interfaces et ACL:
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address x.x.x.117 255.255.255.248
ospf cost 10
!
interface Ethernet0/1
nameif Inside
security-level 100
ip address 192.168.2.120 255.255.255.0
ospf cost 10
!
interface Ethernet0/1.10
vlan 10
nameif VLAN_10
security-level 100
ip address 192.168.3.10 255.255.255.0
ospf cost 10
!
access-list Outside_access_in extended permit tcp any host COURRIER.BIDULE.COM object-group DM_INLINE_TCP_1
access-list Outside_access_in extended permit tcp SMTP-ORANGE 255.255.252.0 host COURRIER.BIDULE.COM eq smtp
access-list Outside_access_in remark management port 25
access-list Outside_access_in extended permit tcp any any eq smtp
access-list VPNCLIENT_splitTunnelAcl standard permit any
access-list Inside_nat0_outbound extended permit ip any 10.0.20.0 255.255.255.192
access-list Inside_access_in extended permit ip any any
access-list Inside_access_in extended permit object-group TCPUDP any any inactive
access-list Inside_access_in remark management port 25
access-list Inside_access_in extended deny tcp any any eq smtp
access-list VLAN_10_access_in extended permit ip any any
[...]
nat-control
global (Outside) 101 interface
nat (Outside) 101 10.0.20.0 255.255.255.0
nat (Inside) 101 0.0.0.0 0.0.0.0
nat (VLAN_10) 101 0.0.0.0 0.0.0.0
static (Inside,Outside) COURRIER.BIDULE.COM SERVEUR2003 netmask 255.255.255.255
access-group Outside_access_in in interface Outside
access-group Inside_access_in in interface Inside
access-group VLAN_10_access_in in interface VLAN_10
Inside correspond au reseau local ( le vlan 1 ou natif)
Voila j'ai un réseau composé de 1 switch Allied Telesyn sur le quel j'ai créer 1 vlan (j'ai garder le vlan natif, donc 2 vlan en tout), le tout connecté a un firewall cisco ASA5510
Mon soucis est que j'ai créé un VLAN, configuré correctement ( j'ai accès a internet), mais impossible de communiqué entre les vlans.
Je pense que c'est un problème d'ACL, qui empêche certains paquets de passer, mais j'ai beau tout essayer ( les permit any any des deux cotés,...) rien ne passe :/)
Help, merci
Voila la config des interfaces et ACL:
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address x.x.x.117 255.255.255.248
ospf cost 10
!
interface Ethernet0/1
nameif Inside
security-level 100
ip address 192.168.2.120 255.255.255.0
ospf cost 10
!
interface Ethernet0/1.10
vlan 10
nameif VLAN_10
security-level 100
ip address 192.168.3.10 255.255.255.0
ospf cost 10
!
access-list Outside_access_in extended permit tcp any host COURRIER.BIDULE.COM object-group DM_INLINE_TCP_1
access-list Outside_access_in extended permit tcp SMTP-ORANGE 255.255.252.0 host COURRIER.BIDULE.COM eq smtp
access-list Outside_access_in remark management port 25
access-list Outside_access_in extended permit tcp any any eq smtp
access-list VPNCLIENT_splitTunnelAcl standard permit any
access-list Inside_nat0_outbound extended permit ip any 10.0.20.0 255.255.255.192
access-list Inside_access_in extended permit ip any any
access-list Inside_access_in extended permit object-group TCPUDP any any inactive
access-list Inside_access_in remark management port 25
access-list Inside_access_in extended deny tcp any any eq smtp
access-list VLAN_10_access_in extended permit ip any any
[...]
nat-control
global (Outside) 101 interface
nat (Outside) 101 10.0.20.0 255.255.255.0
nat (Inside) 101 0.0.0.0 0.0.0.0
nat (VLAN_10) 101 0.0.0.0 0.0.0.0
static (Inside,Outside) COURRIER.BIDULE.COM SERVEUR2003 netmask 255.255.255.255
access-group Outside_access_in in interface Outside
access-group Inside_access_in in interface Inside
access-group VLAN_10_access_in in interface VLAN_10
Inside correspond au reseau local ( le vlan 1 ou natif)
A voir également:
- Probleme ACL/VLAN
- Vlan tagged untagged explication - Forum Réseau
- Untagged & Tagged ! - Forum CISCO
- Tag untag vlan ✓ - Forum Réseau
- ACL avec un Routage Inter-VLAN - Forum CISCO
- Dhcp vlan ✓ - Forum DHCP
5 réponses
On m'avais dit que allied c'était pourri et ben c'est confirmé, la conf est difficile à comprendre!!
Je vais quand même essayé de t'aider.
Déjà vérifie le routage pour voir si tu a toutes les routes nécessaires au bout fonctionnement. (sh ip route sur cisco!! mais allied je ne sais pas!!)
Si oui essai de virer toutes les ACL et teste comme ça on saura si le problème vient de là.
Voilà tiens moi au courant de l'avancement.
Je vais quand même essayé de t'aider.
Déjà vérifie le routage pour voir si tu a toutes les routes nécessaires au bout fonctionnement. (sh ip route sur cisco!! mais allied je ne sais pas!!)
Si oui essai de virer toutes les ACL et teste comme ça on saura si le problème vient de là.
Voilà tiens moi au courant de l'avancement.
j'ai pensé a virer les acl sauf que c'est en entreprise et c'est pas evident ^^
Apres pour les route c'est bon, j'ai acces au net avec le VLAN 10 et le VLAN 1 donc logiquement.. je vais test quand meme.
Gateway of last resort is 217.xxx.xxx.xxx to network 0.0.0.0
C X.X.X.X 255.255.255.248 is directly connected, Outside
C 192.168.2.0 255.255.255.0 is directly connected, Inside
C 192.168.3.0 255.255.255.0 is directly connected, VLAN_10
S* 0.0.0.0 0.0.0.0 [1/0] via 217.xxx.xxx.xxx, Outside
Apres pour les route c'est bon, j'ai acces au net avec le VLAN 10 et le VLAN 1 donc logiquement.. je vais test quand meme.
Gateway of last resort is 217.xxx.xxx.xxx to network 0.0.0.0
C X.X.X.X 255.255.255.248 is directly connected, Outside
C 192.168.2.0 255.255.255.0 is directly connected, Inside
C 192.168.3.0 255.255.255.0 is directly connected, VLAN_10
S* 0.0.0.0 0.0.0.0 [1/0] via 217.xxx.xxx.xxx, Outside
salut,
est ce que tu peux tester le ping depuis l'ASA sur un PC de chaque vlan:
1- avec comme adresse source celle du FW sur le vlan (ça devrait fonctionner sans problème mais c'est pour voir si rien sur le PC ne bloque ICMP)
2- avec comme adresse source celle du FW dans l'autre vlan.
dans les options du ping, on peut choisir l'adresse source.
est ce que tu peux tester le ping depuis l'ASA sur un PC de chaque vlan:
1- avec comme adresse source celle du FW sur le vlan (ça devrait fonctionner sans problème mais c'est pour voir si rien sur le PC ne bloque ICMP)
2- avec comme adresse source celle du FW dans l'autre vlan.
dans les options du ping, on peut choisir l'adresse source.
En fait je me met carrement dans le FW ( avec putty) et j'arrive a pinguer l'AP¨qui se trouve dans le vlan10 ( c'est un vlan pour le wifi, par contre je pingue pas le pc connecté en wifi de ssus :/ )
mais si je sort du FW, je pingue a partir d'un pc du vlan 1, ca passe pu
j'ai aussi rajouter un autre vlan20, qui est configuré comme le vlan 10, sauf que la le pc qui se trouve dans le vlan20 ne peut pas etre pingué :/
je commence a péter un cable ><'
mais si je sort du FW, je pingue a partir d'un pc du vlan 1, ca passe pu
j'ai aussi rajouter un autre vlan20, qui est configuré comme le vlan 10, sauf que la le pc qui se trouve dans le vlan20 ne peut pas etre pingué :/
je commence a péter un cable ><'
Est-ce que sa pourrai etre un soucis de NAT?
car le nat permet de translater une adresse ver une autre, hors ici, comme j'ai des reseaux différents, ca permettrai d'atteindre ces reseaux
D'un coté je pense que c'est ca, et de l'autre non ><
car le nat permet de translater une adresse ver une autre, hors ici, comme j'ai des reseaux différents, ca permettrai d'atteindre ces reseaux
D'un coté je pense que c'est ca, et de l'autre non ><
Il n'y a plus du VLAN 20?
Plus d'ACL?
Plus de NAT.
Et ça ne fonctionne toujours pas?
Vu que c'est le FW qui fait le routage le problème viendrait plus de lui alors, il doit surement y avoir des règle de filtrage!!!
Dans un vlan (10 ou 1) tu ping bien les autres membre du vlan en question?
Tu ping la passerelle? la passerelle de l'autre vlan?
Tu a essayé un petit trace route pour voir ou intervient le problème?
Voilà tout ce qui me passe par la tête. xD
Plus d'ACL?
Plus de NAT.
Et ça ne fonctionne toujours pas?
Vu que c'est le FW qui fait le routage le problème viendrait plus de lui alors, il doit surement y avoir des règle de filtrage!!!
Dans un vlan (10 ou 1) tu ping bien les autres membre du vlan en question?
Tu ping la passerelle? la passerelle de l'autre vlan?
Tu a essayé un petit trace route pour voir ou intervient le problème?
Voilà tout ce qui me passe par la tête. xD
le VLAN existe mais il est pas dans la conf que j ai mise, mais c'est les meme parametre que le vlan10
je ne peut pas désactiver les ACL pour des raison de production
enlever le NAT ne changerai rien je pense
a partir d'un vlan, je ping tout de ce vlan
a partir d'un vlan je ping bien la passerelle et j'ai acces au net
par contre impossible de pinguer le FW ( 192.168.2.120 ) a partir d'un des vlan
par contre le trace route j'ai pas test
je ne peut pas désactiver les ACL pour des raison de production
enlever le NAT ne changerai rien je pense
a partir d'un vlan, je ping tout de ce vlan
a partir d'un vlan je ping bien la passerelle et j'ai acces au net
par contre impossible de pinguer le FW ( 192.168.2.120 ) a partir d'un des vlan
par contre le trace route j'ai pas test
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question