Probleme de connexion internet avec ASA 5505
seal14
-
seal14 Messages postés 1 Statut Membre -
seal14 Messages postés 1 Statut Membre -
Bonjour,
Je viens d'installer et configurer un ASA 5505 derriere une LiveBox orange. J'ai branché mon ordi au ASA et aussi le ASA à la Box. J'ai fais la configuration en utilisant le sartup wizard depuis https://192.168.1.1/admin. Le probleme est que après ma configuration je n'arrive pas à aller sur internet. Il n'arrive pas à avoir mon serveur DNS.
Quelqu'un aurait une idée sur ce genre de probleme.
PS: le but est de mettre en place un VPN
Je viens d'installer et configurer un ASA 5505 derriere une LiveBox orange. J'ai branché mon ordi au ASA et aussi le ASA à la Box. J'ai fais la configuration en utilisant le sartup wizard depuis https://192.168.1.1/admin. Le probleme est que après ma configuration je n'arrive pas à aller sur internet. Il n'arrive pas à avoir mon serveur DNS.
Quelqu'un aurait une idée sur ce genre de probleme.
PS: le but est de mettre en place un VPN
A voir également:
- Probleme de connexion internet avec ASA 5505
- Gmail connexion - Guide
- D'où peut venir un problème de connexion internet sur un ordinateur ? - Guide
- Arcep ma connexion internet - Accueil - Box & Connexion Internet
- Comment savoir si quelqu'un utilise ma connexion internet - Guide
- Gps sans internet - Guide
4 réponses
peux-tu filer ta config de l'ASA et peux-tu communiquer avec l'extérieur par IP depuis ton ASA et depuis une machine en inside?
Bonjour,
Ci-dessou ma config. Pour des question de sécurité j'ai dû changer certain ip par des noms:
Result of the command: "show running"
: Saved
:
ASA Version 8.2(5)
!
hostname ciscoasa
domain-name Nom_Domain
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address dhcp
!
interface Vlan2
nameif outside
security-level 0
ip address mon_IP_public 255.255.255.0
!
interface Vlan5
no nameif
security-level 50
ip address dhcp
!
ftp mode passive
dns server-group DefaultDNS
domain-name leNomDeDomaine
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet Ip_Connexion_Extern 255.255.255.255 outside
telnet timeout 5
ssh Ip_Connexion_Extern 255.255.255.255 outside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.132 inside
dhcpd dns IP_DNS_Server1 IP_DNS_Server2 interface inside
dhcpd ping_timeout 9000 interface inside
dhcpd domain processia.com interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
call-home reporting anonymous prompt 2
Cryptochecksum:ebe4927e5dd61dc0af9c62d7c34f0727
: end
Merci d'avance
Ci-dessou ma config. Pour des question de sécurité j'ai dû changer certain ip par des noms:
Result of the command: "show running"
: Saved
:
ASA Version 8.2(5)
!
hostname ciscoasa
domain-name Nom_Domain
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address dhcp
!
interface Vlan2
nameif outside
security-level 0
ip address mon_IP_public 255.255.255.0
!
interface Vlan5
no nameif
security-level 50
ip address dhcp
!
ftp mode passive
dns server-group DefaultDNS
domain-name leNomDeDomaine
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet Ip_Connexion_Extern 255.255.255.255 outside
telnet timeout 5
ssh Ip_Connexion_Extern 255.255.255.255 outside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.132 inside
dhcpd dns IP_DNS_Server1 IP_DNS_Server2 interface inside
dhcpd ping_timeout 9000 interface inside
dhcpd domain processia.com interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
call-home reporting anonymous prompt 2
Cryptochecksum:ebe4927e5dd61dc0af9c62d7c34f0727
: end
Merci d'avance
pour pinger de inside vers outside tu as 2 possibilités:
1) inspecter ICMP
2) appliquer une ACL qui autorise ICMP en inbound sur l'interface outside
Voici les 2 configs:
1)
policy-map global_policy
class inspection_default
inspect icmp
2)
access-list icmp_out_in extended permit icmp any any
access-group icmp_out_in in interface outside
1) inspecter ICMP
2) appliquer une ACL qui autorise ICMP en inbound sur l'interface outside
Voici les 2 configs:
1)
policy-map global_policy
class inspection_default
inspect icmp
2)
access-list icmp_out_in extended permit icmp any any
access-group icmp_out_in in interface outside
Salut,
livebox orange ...
business livebox ou livebox ... classique ou pro ?
si c'est la seconde, tu écris:
adresse ip publique sur ton interface outside, ça n'est pas possible: ce sont des adresses ip privée qu'il y a sur ce type de box et on ne peut pas désactiver la nat.
Ton asa devrait donc être configuré en pont, je n'ai pas l'impression que c'est le cas
De plus, dans ce cas tu vas avoir deux dhcp: celui de la box et celui de l'ASA, ça va être compliqué.
Aussi,
si tu arrives à passer un vpn ipsec entrant à travers la lbx, ce sera quasi un exploit.
il faut des routeurs plus professionnels pour ce jeu là (les business livebox le sont)
--
et ... Voili Voilou Voila !
livebox orange ...
business livebox ou livebox ... classique ou pro ?
si c'est la seconde, tu écris:
adresse ip publique sur ton interface outside, ça n'est pas possible: ce sont des adresses ip privée qu'il y a sur ce type de box et on ne peut pas désactiver la nat.
Ton asa devrait donc être configuré en pont, je n'ai pas l'impression que c'est le cas
De plus, dans ce cas tu vas avoir deux dhcp: celui de la box et celui de l'ASA, ça va être compliqué.
Aussi,
si tu arrives à passer un vpn ipsec entrant à travers la lbx, ce sera quasi un exploit.
il faut des routeurs plus professionnels pour ce jeu là (les business livebox le sont)
--
et ... Voili Voilou Voila !
salut brupala,
j'avais pas fait attention à ça :) quelle idée ont les gens de mettre du matériel de pro derrière des box faites pour la maison :)?
mais bon suffit juste de mettre l'outside pour recevoir une IP de la box par dhcp ou desactiver le DHCP sur la box et mettre une IP privée comme tu l'as dit et ça devrait fonctionner.
pour le double NAT , il n'est pas obligé de natter sur l'ASA et c'est la box qui nattera tout
j'avais pas fait attention à ça :) quelle idée ont les gens de mettre du matériel de pro derrière des box faites pour la maison :)?
mais bon suffit juste de mettre l'outside pour recevoir une IP de la box par dhcp ou desactiver le DHCP sur la box et mettre une IP privée comme tu l'as dit et ça devrait fonctionner.
pour le double NAT , il n'est pas obligé de natter sur l'ASA et c'est la box qui nattera tout
bonjour,
Il s'agit d'une liveBox Pro. Mon ASA est en PAT et non en NAT. Faut-il necessairement desactiver le DHCP sur la box? Dans ce cas le IP privé doit etre demandé aupres du fournisseur internet?
J'ai revu maconfig en mettant le outside en DHCP. Mon soucis est que j'ai fais "Enable DHCP server on the inside interface" ce qui me permet de donner une pool d'adress DHCP 192.168.xx.xx 192.168.xx.xx et cela fait que le DNS 1 de Orange (80.10.246.2) et le DNS 2 (80.10.246.129) ne sont pas dans ce rang donné. Faut il laissé vide les DNS 1 et DNS 2 et laissé le DHCP s'en occupé? ou changer le DHCP Adtresse Pool?
Merci de votre reponse
Il s'agit d'une liveBox Pro. Mon ASA est en PAT et non en NAT. Faut-il necessairement desactiver le DHCP sur la box? Dans ce cas le IP privé doit etre demandé aupres du fournisseur internet?
J'ai revu maconfig en mettant le outside en DHCP. Mon soucis est que j'ai fais "Enable DHCP server on the inside interface" ce qui me permet de donner une pool d'adress DHCP 192.168.xx.xx 192.168.xx.xx et cela fait que le DNS 1 de Orange (80.10.246.2) et le DNS 2 (80.10.246.129) ne sont pas dans ce rang donné. Faut il laissé vide les DNS 1 et DNS 2 et laissé le DHCP s'en occupé? ou changer le DHCP Adtresse Pool?
Merci de votre reponse
Mon ASA est en PAT et non en NAT
le PAT est un cas particulier du NAT, tu translates tes adresses de inside vers une adresse en outside.
Mais depuis la version 7.0 tu n'es plus obligé de natter le traffic qui passe par l'ASA car le comportement par défaut est : no nat-control donc tu pourrais laisser la Box natter toutes les adresses mais il te faudra configurer une route statique sur la box qui pointe vers le sous-réseau en inside.
Moi à ta place je ne configure pas le serveur DHCP sur mon ASA, je mets l'outside en IP fixe dans le range de la Box et je configure un second pool sur la box pour inside et sur l'ASA je configure un relais DHCP. Comme ça tu auras toutes les bonnes infos sur tes machines en inside( y compris les DNS) mais ta BOX devrait faire proxy DNS donc tu pourrais dans ce pool attribuer comme server DNS l'IP de ta box (en outside)
les adresses ip en dhcp sur un routeur , ça n'existe pas, il faut des adresses fixes.
Si tu mets ton ASA en pont, c'est autre chose.
tu peux désactiver le serveur dhcp de la box si il n'y a que le firewall de connecté dessus et qu'il est en routeur nat.
Je serai toujours étonné que l'on confie des engins comme un ASA à des gens qui n'ont aucune formation et même des compétences en réseau assez approximatives.
Sinon,
la livebox, pro ou classique, ça ne fait guère de différence, encore une fois les vraies livebox pro sont les business livebox.
Avec l'ASA en pont, tu ne mets pas de serveur dhcp dessus, tu ne laisses que celui de la box.
Si tu mets ton ASA en pont, c'est autre chose.
tu peux désactiver le serveur dhcp de la box si il n'y a que le firewall de connecté dessus et qu'il est en routeur nat.
Je serai toujours étonné que l'on confie des engins comme un ASA à des gens qui n'ont aucune formation et même des compétences en réseau assez approximatives.
Sinon,
la livebox, pro ou classique, ça ne fait guère de différence, encore une fois les vraies livebox pro sont les business livebox.
Avec l'ASA en pont, tu ne mets pas de serveur dhcp dessus, tu ne laisses que celui de la box.
les adresses ip en dhcp sur un routeur , ça n'existe pas, il faut des adresses fixes.
Ca veux dire quoi cette phrase ?
tu peux désactiver le serveur dhcp de la box si il n'y a que le firewall de connecté dessus et qu'il est en routeur nat.
Pourquoi dans ce cas seulement ?
Avec l'ASA en pont
Pourquoi vouloir absolument que le firewall soit en mode transparent ?
Que trouves-tu de mauvais à la solution proposée dans mon précédent commentaire ?
grand merci à ciscowarrior pour son pragmatisme! Son aide m'a été très appréciable. En résumé, j'ai refais la config en changeant l'adresse du router en 192.168.2.1. Il fallait une adresse fixe en outside (du router) qui est une adresse (non occupée) dans l'intervalle donné par le DHCP de la live box. Le inside de la live box reste 192.168.2.1 et il est en DHCP. A la fin il faut créer la route qui permet d'aller sur internet car il n'y a pas de route par défaut qui le permet:
route 0.0.0.0 0.0.0.0 ip_passerelle_live_box .
Merci à tous
route 0.0.0.0 0.0.0.0 ip_passerelle_live_box .
Merci à tous
