Question : Issue de Cisco asa NAT

Disposition : le

There est un câble a fourni au dispositif de modem les adresses suivantes : interface du
Internal : interface du
External de 10.1.10.1 : L'interface interne de XXX.XXX.147.33

The est reliée directement à l'interface externe d'une interface externe d'ASA5505

ASA5505 : interface interne du
ASA5505 de 10.1.10.2 : le serveur d'échange du

An de 192.168.1.1 (SBS) se repose chez 192.168.1.2, et prépare pour recevoir mail.

RDP et d'autres protocoles fonctionnent très bien, mais le smtp n'est pas.  Tout l'écoulement de smtp vient par Postini (Google) pour l'hygiène.  Le smtp obtient un SYN et des périodes dehors le raccordement.  La config aseptisée est ici : config
du

ciscoasa# : Saved
: Écrit par enable_15 à 12h56 : 23.279 EDT lundi
du 21 juin 2010 ! version 8.2 (2)
du
ASA ! interface de la description XXX de l'encrypted
names
name 192.168.1.250 XXX-XXX-SBS de l'encrypted
passwd du mot de passe du ciscoasa
domain-name/>enable du
hostname sur l'interface de la description XXX de XXX-SBS
name 192.168.1.203 XXX-XXXAPP01 sur l'interface de la description XXX de XXXAPP01
name 192.168.1.204 XXX-XXXAPP02 sur la description XXXAPP02 Server
de la description XXXAPP01 Server
name 192.168.1.4 XXXAPP02 de XXXAPP02
name 192.168.1.3 XXXAPP01 ! null
d'authentification d'OSPF du coût 10
d'OSPF du
de 192.168.1.1 255.255.255.0 d'IP address du both
de serveur de DNS de mise à jour de client de DHCP du
de 192.168.1.2 de hostname de mise à jour de ddns du sécurité-niveau 100
de l'inside
de nameif du
interface Vlan1
! coût 10
d'OSPF du
de 10.1.10.2 255.255.255.0 d'IP address du sécurité-niveau 0
de l'outside
de nameif du
interface Vlan2
! shutdown
du
interface Vlan3
aucun coût vers l'avant 10
d'OSPF du dhcp
d'IP address du sécurité-niveau 50
du dmz
de nameif de l'interface Vlan1
! accès 2
de switchport du
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!système disk0 du
boot : système disk0 de /asa822-k8.bin
boot : laiss prolongée par outside_access_in inter-interface
access-list de 74.125.149.0 255.255.255.0 de réseau-objet du
de 64.18.0.0 255.255.240.0 de réseau-objet du
de 207.126.144.0 255.255.240.0 de réseau-objet de Postini
de réseau de l'eq 3389
object-group de port-objet du tcp
de la RDP de service de la laiss intra-interface
object-group de la laiss/>same-security-traffic du Domain Name ifi.local
same-security-traffic de DefaultDNS
de serveur-groupe de l'inside
dns de domaine-consultation du recurring
dns de l'été EDT de l'est -5
clock de fuseau horaire du passive
clock de mode de /asa724-k8.bin
ftp toute toute laiss prolongée par outside_access_in tcp de l'eq 3389
access-list toute laiss prolongée par outside_access_in tcp du smtp
access-list d'eq du centre serveur XXX.XXX.147.33 toute laiss prolongée par outside_access_in tcp du https
access-list d'eq du centre serveur XXX.XXX.147.33 toute laiss prolongée par outside_access_in tcp du https
access-list d'eq du centre serveur XXX.XXX.147.34 toute laiss prolongée par outside_access_in tcp de l'eq 444
access-list du centre serveur XXX.XXX.147.33 toute laiss prolongée par outside_access_in tcp de l'eq 500
access-list du centre serveur XXX.XXX.147.33 tout centre serveur XXX.XXX.147.33 la laiss prolongée par outside_access_in tcp de l'eq 1701
access-list n'importe quelle laiss prolongée par outside_access_in tcp du pptp
access-list d'eq du centre serveur XXX.XXX.147.33 n'importe quelle laiss prolongée par outside_access_in tcp de l'eq 4125
access-list du centre serveur XXX.XXX.147.33 n'importe quel UDP de laiss prolongé par outside_access_in de l'eq 4500
access-list du centre serveur XXX.XXX.147.33 n'importe quelle laiss prolongée par outside_access_in tcp du ntp
access-list d'eq du centre serveur XXX.XXX.147.33 n'importe quel eq 987
pager du centre serveur XXX.XXX.147.33 raye l'informational
mtu d'asdm de l'enable
logging de 24
logging à l'intérieur de 1500
mtu en dehors de piscine locale RemoteUserAccess 192.168.1.50 du dmz 1500
ip de 1500
mtu - image inaccessible disk0 de l'éclater-taille 1
asdm de la taux-limite 1 du
icmp de 255.0.0.0 de masque de 192.168.1.59 : temps mort 14400
global de l'enable
arp d'histoire de /asdm-625-53.bin
asdm (dehors) 1 interface
nat (à l'intérieur) 1 outside_access_in du
access-group de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) XXX.XXX.147.34 XXX-XXX-SBS de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) XXX.XXX.147.33 192.168.1.2 de 0.0.0.0 0.0.0.0 dans l'outside
route d'interface en dehors du 3h00 de xlate de 0.0.0.0 0.0.0.0 10.1.10.1 1
timeout : 1h00 de conn. de 00
timeout : 00 0h10 à moitié fermés : 00 0h02 d'UDP : 00 0h00 d'ICMP : 0h10 de sunrpc de 02
timeout : 00 0h05 h323 : 00 1h00 h225 : 00 0h05 de mgcp : 00 0h05 de mgcp-tapotement : 0h30 de sip de 00
timeout : 00 0h02 de sip_media : 00 siroter-invitent le 0h03 : 00 siroter-déconnectent le 0h02 : 0h02 de siroter-temporaire-médias de 00
timeout : 00 0h05 d'uauth : 00 0h01 de tcp-procuration-remontage de l'absolute
timeout : le contact
snmp-server de SNMP-serveur du location
no de SNMP-serveur de l'inside
no de l'enable
http 192.168.1.0 255.255.255.0 de serveur de LOCAL
http de console de telnet d'authentification de 00
dynamic-access-policy-record DfltAccessPolicy
aaa permettent des pièges que le raccordement de sysopt du coldstart
no de linkdown de lien d'authentification de SNMP permettent-vpn
crypto de noproxyarp de l'outside
sysopt de noproxyarp de l'inside
sysopt de noproxyarp de/>sysopt transformer-a placé les pfs réglés de l'outside_dyn_map 20 de dynamique-carte des kilo-octets 4608000
crypto de vie de sécurité-association d'ipsec des secondes 28800
crypto de vie de sécurité-association d'ipsec de l'esp-sha-hmac
crypto d'ESP-3DES-SHA esp-3des l'ensemble de l'outside_dyn_map 20 de dynamique-carte de group1
crypto transformer-a placé les pfs réglés de l'outside_dyn_map 40 de dynamique-carte d'ESP-3DES-SHA
crypto l'ensemble de l'outside_dyn_map 40 de dynamique-carte de group1
crypto transformer-a placé l'ipsec-isakmp de l'outside_map 65535 de carte d'ESP-3DES-SHA
crypto l'isakmp dynamique de l'outside
crypto d'interface d'outside_map de carte de l'outside_dyn_map
crypto permettent le groupe du sha
de gâchis du chiffrage 3des
du pre-share
d'authentification de la politique 10
d'isakmp de l'outside
crypto outside
d'auto_config du temps mort 0
dhcpd du temps mort 30
console de l'inside
ssh de l'enable
ssh 192.168.1.0 255.255.255.0 du temps mort 30
ssh de l'inside
telnet du crypto isakmp/>telnet 192.168.1.0 255.255.255.0 de la vie 86400
no de 2
! adresse 192.168.1.61 du
dhcpd - la mise à jour DNS de l'inside
dhcpd d'interface du domaine XXX.LOCAL de l'inside
dhcpd d'interface du ping_timeout 120 de l'inside
dhcpd d'interface du bail 259200 de l'inside
dhcpd d'interface de 192.168.1.2 de victoires de l'inside
dhcpd d'interface de l'inside
dhcpd DNS 192.168.1.2 de 192.168.1.95 les deux l'inside
dhcpd d'interface permettent l'inside
! le mot de passe de base-threat
username de transférer-domaine d'IPSec
de vpn-tunnel-protocole du
de 192.168.1.60 de valeur de DNS-serveur de l'attributes
de l'internal
group-policy RemoteUserAccess2 de tcp-intercept
webvpn
group-policy RemoteUserAccess2 de statistiques de menace-détection du l'accès-list
no de statistiques du protocol
threat-detection de statistiques du port
threat-detection de statistiques du

threat-detection/>threat-detection a chiffré le type le transférer-groupe général-attributes
de la vpn-groupe-politique RemoteUserAccess2
tunnel-group RemoteUserAccess2 de l'attributes
du privilège chiffré par 0
username de mot de passe de la vpn-groupe-politique RemoteUserAccess2
username de l'attributes
du privilège chiffré par 15
username de mot de passe de la vpn-groupe-politique RemoteUserAccess2
username de l'attributes
du privilège 15
username de l'eap-proxy
tunnel-group-map d'authentification de l'authentification ms-chap-v2
du pap
d'authentification de PPA-attributes
du *
tunnel-group RemoteUserAccess2 de pré-partager-clef de l'ipsec-attributes
de la transférer-groupe-politique RemoteUserAccess2
tunnel-group RemoteUserAccess2 de RemoteUserAccess
d'adresser-piscine de/>tunnel-group RemoteUserAccess2/> ! transférer-inspection-traffic
d'allumette du
class-map/> !
! le type du
policy-map inspectent la classe globale-policy
policy-map/> de message-longueur du parameters
du preset_dns_map
de DNS/> que globaux-class
inspectent l'esmtp
inspectent le ftp
inspectent h323 h225
inspectent h323 le ras
inspectent IP-options
inspectent le netbios
inspectent le rsh
inspectent le rtsp
inspectent le sip
inspectent le skinny
inspectent le sqlnet
inspectent le sunrpc
inspectent le tftp
inspectent le xdmcp
! profil CiscoTAC-1
du context
call-home
de hostname du
prompt du global
smtp-server 192.168.1.2 de global-politique du
service-policy aucun rel= " nofollow " de " _blank " de target= de " https://tools.cisco.com/its/service/oddce/services/DDCEService " de href= de > daily
Cryptochecksum du monthly
d'inventaire de souscrire-à-alerte-groupe de l'environment
de souscrire-à-alerte-groupe du diagnostic
de souscrire-à-alerte-groupe du http
de transporter-méthode de destination de l'email [email protected]
d'adresse de destination du s/service/oddce/services/DDCEService
de https://tools.cisco.com/it de souscrire-à-alerte-groupe de configuration du monthly
de télémétrie périodique périodique de souscrire-à-alerte-groupe : D'autres protocoles de/>XX

All obtiennent au serveur - juste pas smtp !  J'ai vérifié avec l'ISP - ils disent qu'ils ne bloquent pas le trafic de smtp - ce qui suis j'absent ici ? ? ! ? class= de

Réponse : Issue de Cisco asa NAT

A trouvé quelques autres choses…

Aucun smtp d'arrivée OU en partance, mais selon le câblo-opérateur - aucun filtrage.  Nous avons retourné au circuit précédent, et dès que l'interface IPS, etc. ont été changées pour le vieux circuit, puis aux choses avons immédiatement travaillé.

Hmmm - je ne suis aucun scientifique de fusée - mais des choses regardent plutôt mauvais pour le câblo-opérateur

/Chris.