The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Маршрут на ASA5510"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"Маршрут на ASA5510"  +/
Сообщение от pogreb (ok) on 15-Окт-14, 16:13 
Всем привет!
Возникла проблема следующего плана.
У нас холдинг, в нем 4 конторы. У всех свои ИТ отделы, а когда то все было одно
Ну так вот.
Сотрудник моей компании едет в учебный класс другой компании и там подключается к гостевому wifi у которго доступ в локалку закрыт, а открыт только инет. У них 3 оператора связи, которые предоставляют им выход в инет, один из которых соединяет наши площадки оптикой.
И так. Юзер подключившись к wifi пытается получить доступ к нашему порталу, которому сделан доступ из внешней сети интернет.
В ответ он получает
Вобщем доступа к порталу НЕТ.
В процессе мониторинга понял, что запрос встает на ASA площадки 2.
Трасировка с этого ноута
C:\Users\>tracert portal.domen.ru

Трассировка маршрута к portal.domen.ru [99.99.187.217]
с максимальным числом прыжков 30:

1 1 ms 1 ms 1 ms 10.128.129.1
2 4 ms 6 ms 3 ms 10.0.1.89
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * ^C
C:\Users\>tracert mail.ru

Трассировка маршрута к mail.ru [94.100.180.201]
с максимальным числом прыжков 30:

1 1 ms 2 ms 3 ms 10.128.129.1
2 38 ms 2 ms 3 ms 10.0.1.89
3 4 ms 1 ms 1 ms 10.0.1.22
4 8 ms 13 ms 4 ms 99.99.158.41
5 8 ms 7 ms 6 ms 62.141.78.61
6 7 ms 7 ms 7 ms cat15.Moscow.gldn.net [194.186.156.74]
7 7 ms 7 ms 7 ms cat15.Moscow.gldn.net [194.186.156.74]
8 9 ms 6 ms 8 ms ^C

На циске 3750 площадки 1 есть маршрут S 99.99.187.208/28 via 172.16.3.2 это маршрут который соединяет наши площадки оптикой.
На циске 3750 площадки 2 есть маршрут E2 99.99.187.208/28 via 10.0.0.41 это маршрут на мою ASA. Вот что в ней надо добавить, чтобы белый ip портала занатился и прыгнул на сервак. Если из дома я подключаюсь, доступ к порталу получаю без проблем. Т.е. прыгаю на ASA, на ней есть правила
access-list outside_access_in line 54 extended permit tcp any host 99.99.187.217 eq www (hitcnt=11466) 0xe3fc7755
access-list outside_access_in line 55 extended permit tcp any host 99.99.187.217 eq https (hitcnt=19884) 0x96d24eed
потом внешний ип натируется и прыгает на внутренний адрес самого сервера.
Вот может из за того, что аса не перенаправляет на сервер где происходит nat затык и происходит?
Схему подключения нарисовал, чтобы наглядней выглядело. http://s48.radikal.ru/i119/1410/8d/2f67ecb7f7a3.jpg
В dmz стоит сервер на линуксе, на нем происходит NAT
Так вот, на нем включил tcpdump и пакеты icmp до NAT сервера не доходили.
На ASA добавил правило static (inside,dmz) 10.128.129.0 10.128.129.0 netmask 255.255.255.0
Теперь icmp приходят на NAT сервер, но icmp пакеты не возвращаются на устройство с которого пингуют.

На ASA надо еще что то добавить чтобы мой портал нормально пинговался и появилсядоступ к моему порталу?
Буду рад помощи.
Заранее спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Маршрут на ASA5510"  +/
Сообщение от Merridius (ok) on 15-Окт-14, 21:46 
>[оверквотинг удален]
> В dmz стоит сервер на линуксе, на нем происходит NAT
> Так вот, на нем включил tcpdump и пакеты icmp до NAT сервера
> не доходили.
> На ASA добавил правило static (inside,dmz) 10.128.129.0 10.128.129.0 netmask 255.255.255.0
> Теперь icmp приходят на NAT сервер, но icmp пакеты не возвращаются на
> устройство с которого пингуют.
> На ASA надо еще что то добавить чтобы мой портал нормально пинговался
> и появилсядоступ к моему порталу?
> Буду рад помощи.
> Заранее спасибо!

Есть такая штука в асе, называется packet-tracer, так вот вы с помощью нее трафик свой симитируйте, и сразу станет ясно в асе дело или нет. Если в ней, то листинг покажет на каком этапе затык.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Маршрут на ASA5510"  +/
Сообщение от pogreb (ok) on 17-Окт-14, 16:04 
>[оверквотинг удален]
>> Теперь icmp приходят на NAT сервер, но icmp пакеты не возвращаются на
>> устройство с которого пингуют.
>> На ASA надо еще что то добавить чтобы мой портал нормально пинговался
>> и появилсядоступ к моему порталу?
>> Буду рад помощи.
>> Заранее спасибо!
> Есть такая штука в асе, называется packet-tracer, так вот вы с помощью
> нее трафик свой симитируйте, и сразу станет ясно в асе дело
> или нет. Если в ней, то листинг покажет на каком этапе
> затык.

На что там обратить внимание, на вскидку вроде как все хорошо

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Маршрут на ASA5510"  +/
Сообщение от stanislaff email on 21-Окт-14, 01:47 
>[оверквотинг удален]
>>> устройство с которого пингуют.
>>> На ASA надо еще что то добавить чтобы мой портал нормально пинговался
>>> и появилсядоступ к моему порталу?
>>> Буду рад помощи.
>>> Заранее спасибо!
>> Есть такая штука в асе, называется packet-tracer, так вот вы с помощью
>> нее трафик свой симитируйте, и сразу станет ясно в асе дело
>> или нет. Если в ней, то листинг покажет на каком этапе
>> затык.
> На что там обратить внимание, на вскидку вроде как все хорошо

ну а как же туннели? где же безклассовый роутинг? Это же асашка... Очень советую почитать документацию по ASA в интернетах, у Сергея Фёдорова, без пафоса и доступно. Если Вы всётаки решите, что она этого не умеет, вспомните, что асашка - прежде всего фаерволл, а не роутер.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Маршрут на ASA5510"  +/
Сообщение от stanislaffff email on 21-Окт-14, 01:47 
>[оверквотинг удален]
>>> устройство с которого пингуют.
>>> На ASA надо еще что то добавить чтобы мой портал нормально пинговался
>>> и появилсядоступ к моему порталу?
>>> Буду рад помощи.
>>> Заранее спасибо!
>> Есть такая штука в асе, называется packet-tracer, так вот вы с помощью
>> нее трафик свой симитируйте, и сразу станет ясно в асе дело
>> или нет. Если в ней, то листинг покажет на каком этапе
>> затык.
> На что там обратить внимание, на вскидку вроде как все хорошо

ну а как же туннели? где же безклассовый роутинг? Это же асашка... Очень советую почитать документацию по ASA в интернетах, у Сергея Фёдорова, без пафоса и доступно. Если Вы всётаки решите, что она этого не умеет, вспомните, что асашка - прежде всего фаерволл, а не роутер.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру