martedì 7 febbraio 2012    Registrazione  •  Login
 
 
 
 
  You are here: Forum Search:   
   
   
 
 
     
 
     Riduci
 
Stampa    
     
     
 
   Forum
 
  Forum  Avaya Ip Office...  Ip Office   ip office 500 port mapping
Precedente Precedente
 
Avanti Avanti
Nuovo messaggio 03/06/2009 10.52
L'Utente non è in linea daysleeper
32 messaggio
Nessun Ranking


ip office 500 port mapping 

Salve a tutti,

ho configurato un ip office 500(finalmente ce l'ho fatta!!!) e lo sto usando tra le altre cose come nat tra un asa è una lan, praticamente ci sta Router alice--->asa---->ip500---->lan(non chiedetemi perchè tutto sto giro perchè non lo capisco nemmeno io, praticamente l'asa server per stabilire una vpn site to site con una banca e mi trasla la rete 192.168.1.0/24(lato lan del router alice) in 10.169.47.65/29dato che non posso configurare la rete del cliente con questa classe ip e il server non ha due schede di rete ho usato l'ip500 per ritraslare da 10.169.47.65/29  a 192.168.110.0/24 ma ora ho il problema di entrare da fuori sul server e volevo evitare di usare teamviewer o altre applicazioni simili.

Chi ha configurato l'asa mi assicura che sull'asa passa tutto quello che serve, ora mi chiedo se è possibile configurare l'ip500 per fare port forwading, dato che nelle varie spulciate che ho fatto non ho trovato nulla che mi possa aiutare.
 
Nuovo messaggio 03/06/2009 17.11
L'Utente non è in linea IsaCab
89 messaggio
Nessun Ranking


Re: ip office 500 port mapping 

Ciao,

bella gatta da pelare

La IPO è un PBX e non un router e già solo questo dovrebbe scoraggiarti dal fare questo genere di operazione. In tutti i casi se parliamo di un servizio standard (telnet, ftp,http....) puoi usare le Firewall Policy, che ti permettono di fare un nat statico in ingresso (mai provato...)

Io invece farei diversamente : Invece di fare NAT tra la rete del client e la screened zone dell ASA, io farei routing. In questo modo la pubblicazione dei servizi la gestisci dall'asa.

I gestori dell ASA ti hanno detto : sull'asa passa tutto quello che server. Questa affermazione è un po' dubbia. Per pubblicare un servizio su internet anche sull'asa è necessario operare un NAT statico.

Riepilogando hai due strade e per tutte e due devi intervenire anche sull'asa.

Strada 1

Usi le Firewall Policy su ipo per pubblicare il server interno nella screened zone e usi l'asa per pubblicare il server tra Internet e la screened zone.

Strada 2

Elimini il NAT sulla IPO e lavori in routing e la pubblicazione del server la fai direttamente dall'asa verso il server in LAN

 

Ciao Giulio

 

 

Giulio Martino - Avaya IP Office PA - Microsoft MCP [IsaServer] - Cisco SMB[AM,EN] - SBCS [AM,EN] - VoipExperts.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
 
Nuovo messaggio 03/06/2009 18.03
L'Utente non è in linea daysleeper
32 messaggio
Nessun Ranking


Re: ip office 500 port mapping 
Modificato Da daysleeper in 03/06/2009 17.17.59)

Eh lo so tutto ciò, il problema è che quello che ha configurato l'asa dice che dall' asa passa tutto non viene bloccato nulla, così proprio non va.

Io poi gli ho pure suggerito cosa aggiungere su sto benedetto asa :

access-list outside-entry extended permit tcp any host 192.168.1.39 eq 443
access-list outside-entry extended permit tcp any host 192.168.1.39 eq gre
access-list outside-entry extended permit tcp any host 192.168.1.39 eq 1723

static (inside,outside) tcp 192.168.1.39 443 10.169.47.66 443 netmask 255.255.255.255
static (inside,outside) tcp 192.168.1.39 gre 10.169.47.66 gre netmask 255.255.255.255
static (inside,outside) tcp 192.168.1.39 1723 10.169.47.66 1723 netmask 255.255.255.255

192.168.1.39 è l'ip dell'asa sulla outside mentre 10.169.47.65 è l'ip sulla inside e 10.169.47.66 è l'ip dell' ip500. Ora mi chiedevo se queste righe vanno bene o se devo mettere  l'ip del server 192.168.110.253 al posto dell'ip dell'ip500.

 

Oppure dovrei aggiungere altro secondo te? Se no pensavo di lasciare ip office e asa collegati così come sono e collego poi la lan direttamente al router di alice e configuro una route statica sul server per quanto riguarda il raggiungimento dell'ip sulla vpn.

Lo so è una pazzia ma se non riesco a farmi aprire le porte da sto  tipo è l'unica cosa che mi viene in mente.
 
Nuovo messaggio 03/06/2009 18.17
L'Utente non è in linea daysleeper
32 messaggio
Nessun Ranking


Re: ip office 500 port mapping 
Modificato Da daysleeper in 03/06/2009 17.24.28)

Per quanto riguarda l'ipo ho visto che mi permette di creare delle regole personalizzate ma non so se sono solo di firewalling o mi fa anche da portforwarding, ho visto che posso fare nat 1 a 1 ma non saprei come fare con l'asa configurato a quel modo.(mannaggia a quando abbiamo scelto sbs 2008 come s.o. da mettere su quel server)

Ma poi che cacchio di configurazione è questa che non tiene conto dell'ip della lan del cliente e mi mette sulla inside una classe con solo 6 ip utilizzabili....ma dagli una /24 invece che una /29....grrrf! Secondo te si potrebbe modificare la inside con gli indirizzi lan che interessano a me?! 192.168.110.0/24?!
 
Nuovo messaggio 03/06/2009 18.29
L'Utente non è in linea IsaCab
89 messaggio
Nessun Ranking


Re: ip office 500 port mapping 

Ciao,

devi procedere pr gradi, altrimenti non esci più. Per prima cosa devi essere sicuro che l'asa pubblichi correttamente gli IP e le porte da te volute. Se il tizio dell'asa continua a dire che l'asa fa passare tutto, allora tu rispondi : ma che razza di firewall è (anche se noi sappiamo che è valido :-))!!!!

Una volta avuta la certezza che passi dall'asa, allora potrai preoccuparti della IPO. Non scartare l'ipotesi di fare routing e non NAT tra asa ed IPO (LAN).

Ciao Giulio

Giulio Martino - Avaya IP Office PA - Microsoft MCP [IsaServer] - Cisco SMB[AM,EN] - SBCS [AM,EN] - VoipExperts.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
 
 Pagina 1 di 212Avanti 
Precedente Precedente
 
Avanti Avanti
  Forum  Avaya Ip Office...  Ip Office   ip office 500 port mapping
 
Stampa    
     
     
 
   Account Login Riduci


Registrazione
Hai dimenticato la Password ?

 
Stampa    
     
 
  Home  -  Articoli  -  Download  -  IpOffice TAPI/SMDR  -  Forum  -  Immagini  
  Dichiarazione per la Privacy  -  Condizioni d'Uso  -  Copyright (c) 2007/2010 - Giulio Martino