Итак, что мы имеем:
1. На компе нет езернета — его только для конфига
2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать
3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4
4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254
5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками
6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались.
тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN.
int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200
Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4
asa(config)# int e0/0.10
asa(config-if)# vlan 100
asa(config-if)# ip address 10.100.100.254 255.255.255.0
asa(config-if)# security-l 0
asa(config-if)# nameif outside
asa(config)# int e0/0.20
asa(config-if)# vlan 200
asa(config-if)# ip address 10.200.200.254 255.255.255.0
asa(config-if)# security-l 100
asa(config-if)# nameif inside
3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24
static (outside,inside) 10.200.200.2 10.100.100.1
Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1
Осталось малость: подделать адрес источника на 4.4.4.4
static (inside,outside) 4.4.4.4 10.200.200.1
Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100
Осталось пропустить снаружи телнет (и ssh) трафик:
access-list FROMOUT permit tcp any any eq 23
access-list FROMOUT permit tcp any any eq 22
Реальные буду слишком простыми. Поэтому для них (типичных задач) планирую летом цикл коротеньких статеек.
ЗЫ Как показывает практика, только олимпиадные (нетипичные, сложные, непонятные) задачи развивают творческий подход и человека. Только нерешаемая проблема вызывает энтузиазм.
ИМХО, гораздо полезнее разобрать по косточкам такую «академическую» задачу, которая в себе несет несколько технологий, чем тупо прорешать учебник :)
FastEthernet0/0.10 is up, line protocol is up
Internet address is 10.100.100.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/0.20 is up, line protocol is up
Internet address is 10.200.200.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
Итак, что мы имеем:
1. На компе нет езернета — его только для конфига
2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать
3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4
4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254
5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками
6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались.
тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN.
int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200
Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4
Решение:
1. Подключаем хвост АСЫ е0/0 к порту f0/0
2. Создаём 2 подынтерфейса
asa(config)# int e0/0.10
asa(config-if)# vlan 100
asa(config-if)# ip address 10.100.100.254 255.255.255.0
asa(config-if)# security-l 0
asa(config-if)# nameif outside
asa(config)# int e0/0.20
asa(config-if)# vlan 200
asa(config-if)# ip address 10.200.200.254 255.255.255.0
asa(config-if)# security-l 100
asa(config-if)# nameif inside
3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24
static (outside,inside) 10.200.200.2 10.100.100.1
Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1
Осталось малость: подделать адрес источника на 4.4.4.4
static (inside,outside) 4.4.4.4 10.200.200.1
Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100
Осталось пропустить снаружи телнет (и ssh) трафик:
access-list FROMOUT permit tcp any any eq 23
access-list FROMOUT permit tcp any any eq 22
access-group FROMOUT in int outside
и мы в дамках :))
ЗЫ Как показывает практика, только олимпиадные (нетипичные, сложные, непонятные) задачи развивают творческий подход и человека. Только нерешаемая проблема вызывает энтузиазм.
ИМХО, гораздо полезнее разобрать по косточкам такую «академическую» задачу, которая в себе несет несколько технологий, чем тупо прорешать учебник :)
Если меня выпустят из серверной и дадут слово:))))) А то мож на месте расстреляют :)
А это моя «домашняя заготовка» — нетривиальное второе решение :)
Можно и без опции /route (на старых рутерах её кажется не было), но с ней — вообще супер ( а я про неё забыл :) Мудрил в итоге)
Собсно, хинт: мое решение (оба) не предполагают использование компа, как точки входа в сеть. Только команды колотить :)
telnet 10.100.100.1
:))
Не пустит в телнет — только с адреса 4.4.4.4, как вы уже догадались, можно залезть.
И тоже: телнет-клиента на АСА нет :)
Да, если бы это был рутер, было бы все архипросто :)
Расстрою вас:
1. На АСА нет интерфейсов лупбек
2. На АСА нет телнет клиента
Увы, думаем дальше :)
FastEthernet0/0.10 is up, line protocol is up
Internet address is 10.100.100.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/0.20 is up, line protocol is up
Internet address is 10.200.200.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/1 is administratively down
FastEthernet0/0.10 10.100.100.1 YES NVRAM up up
FastEthernet0/0.20 10.200.200.1 YES NVRAM up up
FastEthernet0/1 Unassigned shutdown
Gate> sh ip ro
C 10.100.100.0/24 is directly connected, f0/0.10
C 10.200.200.0/24 is directly connected, f0/0.20
S* 0.0.0.0/0 [1/0] via 10.100.100.254
Начало положено: ждём ошеломляющих резалтов :)
По консоли (она есть) мы подключиться можем. Но не знаем enable secret
Давайте команды — поглядим. Я не утверждаю, что мои решения — единственные :)
^
% Invalid input detected at '^' marker.
Gate>
Я вообще где можно от номеров ушёл.
А создать 2 конструкции типа XXX1 и XXX2 в-общем не сложно и понятно, что относятся к одному и тому же.
А хеш тем и отличается, что его нельзя обратно «дехешировать»
Поэтому пароли типа secret нельзя «расшифровать».
ЗЫ ПОэтому, кстати, нельзя использовать пользователя типа
user secret для подключения, скажем, по CHAP
Хорошо, когда есть выбор :)
Моя задача — дать пищу для размышлений и пути решения.
Никогда не претендую на истину в последней инстанции :)