Frage : Ausgabe Cisco-ASA NAT

Plan:

There ist ein Kabel versah Modemvorrichtung mit den folgenden Adressen:
Internal Schnittstelle: 10.1.10.1
External Schnittstelle: XXX.XXX.147.33

The interne Schnittstelle wird direkt an die externe Schnittstelle einer ASA5505

ASA5505 externen Schnittstelle angeschlossen: 10.1.10.2
ASA5505 interne Schnittstelle: 192.168.1.1

An Austauschbediener (SBS) sitzt bei 192.168.1.2 und bereitet vor, um mail.

RDP zu empfangen und andere Protokolle arbeiten fein, aber smtp ist nicht.  Aller smtp-Fluss kommt durch Postini (Google) für Hygiene.  Smtp erhält einen SYN und Zeiten heraus der Anschluss.  Der sanierte Config ist hier:

ciscoasa# SHconfig
: Saved
: Geschrieben durch enable_15 am 12:56: 23.279 EDT Montag 21. Juni 2010
!
ASA Version 8.2 (2)
!
hostname ciscoasa
domain-name/>enable Kennwort encrypted
passwd encrypted
names
name 192.168.1.250 XXX-XXX-SBS Beschreibung XXX Schnittstelle auf XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 Beschreibung XXX Schnittstelle auf XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 Beschreibung XXX Schnittstelle auf XXXAPP02
name 192.168.1.3 XXXAPP01 Beschreibung XXXAPP02 Server
der Beschreibung XXXAPP01 Server
name 192.168.1.4 XXXAPP02!
interface Vlan1
nameif inside
Sicherheitniveau 100
ddns Updatehostname-192.168.1.2
DHCP-Klientenupdate-DNS-Bediener both
IP- address192.168.1.1 255.255.255.0
OSPF-Authentisierung null
der OSPF-Kosten 10
!
interface Vlan2
nameif outside
Sicherheitniveau 0
IP- address10.1.10.2 255.255.255.0
OSPF-Kosten 10
!
interface Vlan3
shutdown
keine Vorwärtsschnittstelle Vlan1
nameif dmz
Sicherheitniveau 50
IP address dhcp
OSPF-Kosten 10
!
interface Ethernet0/0
Switchportzugang vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot System disk0: /asa822-k8.bin
boot System disk0: Sommerzeit EDT recurring
dns Gebietnachschlagen inside
dns Bedienergruppe DefaultDNS
/asa724-k8.bin
ftp Modus passive
clock Timezone EST--5
clock Postini
Netz eq 3389
object-group Hafengegenstand tcp
RDP Service der Erlaubnis Intra-interface
object-group der Erlaubnis Zwischen-interface
same-security-traffic des Domain Name ifi.local
same-security-traffic Netzgegenstand 207.126.144.0 255.255.240.0
Netzgegenstand 64.18.0.0 255.255.240.0
Netzgegenstand 74.125.149.0 255.255.255.0
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein irgendein eq 3389
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq smtp
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq https
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.34 eq https
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq 444
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq 500
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq 1701
access-list zeichnet outside_access_in verlängerter Erlaubnis-TCP jeder möglicher Wirt XXX.XXX.147.33 eq pptp
access-list outside_access_in verlängerte Erlaubnis-TCP irgendein Wirt XXX.XXX.147.33 eq 4125
access-list outside_access_in verlängerter Erlaubnis-TCP jedes mögliches Wirt XXX.XXX.147.33 eq 4500
access-list outside_access_in verlängerte Erlaubnis-UDP irgendein Wirt XXX.XXX.147.33 eq ntp
access-list outside_access_in verlängerter Erlaubnis-TCP jedes mögliches Wirt XXX.XXX.147.33 eq 987
pager 24
logging enable
logging asdm informational
mtu innerhalb 1500
mtu außerhalb 1500
mtu dmz 1500
ip der lokalen Lache RemoteUserAccess 192.168.1.50 - 192.168.1.59-Schablonen-255.0.0.0
icmp des unerreichbaren Ratebegrenzung 1 Berstengröße 1
asdm Bildes disk0: /asdm-625-53.bin
asdm Geschichte enable
arp Abschaltung 14400
global (draußen) 1 interface
nat (nach innen) 1 0.0.0.0 0.0.0.0
static (nach innen, draußen) XXX.XXX.147.33 192.168.1.2 netmask 255.255.255.255
static (nach innen, draußen) XXX.XXX.147.34 XXX-XXX-SBS netmask 255.255.255.255
access-group outside_access_in im Schnittstelle outside
route außerhalb des 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout xlate 3:00: 00
timeout Anschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02
timeout sunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00
timeout Schlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00
timeout Nippen-provisorischmittel 0:02: 00 uauth 0:05: 00 absolute
timeout TCP-Vollmachtwiederversammlung 0:01: 00
dynamic-access-policy-record DfltAccessPolicy
aaa Authentisierungstelnet-Konsole LOCAL
http Bediener enable
http 192.168.1.0 255.255.255.0 inside
no SNMPbediener location
no SNMPbediener contact
snmp-server ermöglichen Fallen, SNMP-Authentisierungsverbindung linkdown coldstart
no sysopt, das Anschluss/>sysopt noproxyarp inside
sysopt noproxyarp outside
sysopt noproxyarp dmz
crypto ipsec umwandeln-einstellte ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec Sicherheitverbindung Lebenszeitsekunden 28800
crypto ipsec Sicherheitverbindung Lebenszeitkilobytes 4608000
crypto Dynamischdiagramm outside_dyn_map 20 gesetzte pfs ermöglichen-vpncrypto Dynamischdiagramm outside_dyn_map 20 Satz ESP-3DES-SHA
crypto Dynamischdiagramm outside_dyn_map 40 gesetzte pfs umwandeln-einstellte, group1
crypto Dynamischdiagramm outside_dyn_map 40 Satz ESP-3DES-SHA
crypto Diagramm outside_map 65535 ipsec-isakmp umwandeln-einstellte, dynamisches outside_dyn_map
crypto Diagramm outside_map Schnittstelle outside
crypto isakmp pre-share
Authentisierung der outside
crypto isakmp Politik 10
sha
Durcheinander der Verschlüsselung 3des
Gruppe ermöglichen TIMEOUT0
dhcpd auto_config outside
des 2
Lebenszeit 86400
no Schlüsselisakmp nationales-traversal
telnet 192.168.1.0 255.255.255.0 inside
telnet TIMEOUT30
ssh scopy enable
ssh 192.168.1.0 255.255.255.0 inside
ssh TIMEOUT 30
console!
dhcpd Adresse 192.168.1.61 - 192.168.1.95 inside
dhcpd DNS 192.168.1.2 Schnittstelle inside
dhcpd Schnittstelle inside
dhcpd ping_timeout 120 Schnittstelle inside
dhcpd der Gewinn-192.168.1.2-Schnittstelle inside
dhcpd Miete 259200 das beides inside
dhcpd Schnittstelle des Gebietes XXX.LOCAL Update DNS Schnittstelle inside
dhcpd ermöglichen inside
! Kennwort des

threat-detection verschlüsselte grundlegendes-threat
threat-detection Statistiken port
threat-detection Statistiken protocol
threat-detection Statistiken Zugang-list
no Drohungabfragung Statistiken TCP-intercept
webvpn
group-policy RemoteUserAccess2 internal
group-policy RemoteUserAccess2 attributes
DNSbediener Wert-192.168.1.60
Vpn-Tunnelprotokoll IPSec
Zurückfallengebiet Wertes XXX.LOCAL
username Privileg 15
username attributes
Vpn-Gruppepolitik RemoteUserAccess2
username Privileg 15
username des Kennwortes verschlüsselte attributes
Vpn-Gruppepolitik RemoteUserAccess2
username Privileg 0
username des Kennwortes verschlüsselte attributes
Vpn-Gruppepolitik RemoteUserAccess2
tunnel-group RemoteUserAccess2 Art Fern-access
tunnel-group RemoteUserAccess2 allgemeine-attributes
Adressierenlache RemoteUserAccess
Zurückfallen-Gruppepolitik RemoteUserAccess2
tunnel-group RemoteUserAccess2 ipsec-attributes
Vor-teilenschlüssel *
tunnel-group RemoteUserAccess2 ppp-attributes
Authentisierung pap
eap-proxy
tunnel-group-map Authentisierung der Authentisierung ms-chap-v2
Zurückfallengruppe RemoteUserAccess2
!
class-map globale-class
Gleiches Zurückfallenkontrolle-traffic
!
!
policy-map Art kontrollieren globale-policy
Kategorie des DNS preset_dns_map
parameters
Mitteilunglänge Maximums 512
policy-map, die globale-class
dns
kontrollieren esmtp
kontrollieren ftp
kontrollieren h323 h225
kontrollieren h323 ras
kontrollieren IP-options
kontrollieren netbios
kontrollieren rsh
kontrollieren rtsp
kontrollieren sip
kontrollieren skinny
kontrollieren sqlnet
kontrollieren sunrpc
kontrollieren tftp
kontrollieren xdmcp
kontrollieren!
service-policy Globalpolitik global
smtp-server 192.168.1.2
prompt hostname context
call-home
Profil CiscoTAC-1
kein active
Zieladresse-HTTP Fernmessung Unterzeichnen-zu-Alarm-gruppe monthly
Konfiguration Unterzeichnen-zu-Alarm-gruppe monthly
Warenbestand Unterzeichnen-zu-Alarm-gruppe environment
Unterzeichnen-zu-Alarm-gruppe diagnostic
Unterzeichnen-zu-Alarm-gruppe http
Transportierenmethode Bestimmungsort der https://tools.cisco.com/it s/service/oddce/services/DDCEService
Zieladresse-eMail [email protected]
periodische periodische periodisches daily
Cryptochecksum: />XX

All andere Protokolle gelangen an den Bediener - gerade nicht smtp!  Ich überprüfte mit dem ISP - sie sagen, dass sie nicht smtp-Verkehr blockieren - was ich hier??! fehle?

Antwort : Ausgabe Cisco-ASA NAT

Fand einige andere Sachen…

Kein Inlands- ODER Auslands-smtp, aber nach Ansicht der Telegrafengesellschaft - keine Entstörung.  Wir umschielten zum vorhergehenden Stromkreis und sobald Schnittstelle IPS, usw. für den alten Stromkreis geändert, dann zu den Sachen arbeiteten sofort n.

Hmmm - ich bin kein Raketenwissenschaftler - aber Sachen suchen nach der Telegrafengesellschaft ziemlich schlecht

/Chris.