https://www.opennet.ru/openforum/vsluhforumID6/584.html Всем привет.<br>Есть сервак к которому подключаются клиенты через провайдерские каналы. На default gateway сервера (Cisco 3845) прописаны статические маршруты до клиентских сетей. Шлюзом этих маршрутов является IP провайдера:<br><br>ip route 10.11.0.10 255.255.255.255 192.168.111.240<br>ip route 10.11.0.14 255.255.255.255 192.168.111.240<br>ip route 10.11.0.21 255.255.255.255 192.168.111.220<br>ip route 10.11.0.30 255.255.255.255 192.168.111.220<br>ip route 10.11.0.34 255.255.255.255 192.168.111.240<br>ip route 169.162.188.0 255.255.255.128 192.168.111.240<br>ip route 169.162.242.0 255.255.255.0 192.168.111.240<br>...<br>сеток довольно много.<br><br>возникла необходимость перенести эту статику на Cisco ASA. <br><br>route inside 10.11.0.10 255.255.255.255 192.168.111.240<br>route inside 10.11.0.14 255.255.255.255 192.168.111.240<br>route inside 10.11.0.21 255.255.255.255 192.168.111.220<br>route inside 10.11.0.30 255.255.255.255 192.168.111.220<br>route inside 10.11.0.34 255.255.255.255 192.168.111.240<br>route inside 169.162.188.0 255.255.255.128 1 https://www.opennet.ru/openforum/vsluhforumID6/584.html#15 Wed, 19 Jun 2013 11:20:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Чей? Циски из локального офиса? Или клиента? Или что?<br>&gt;&gt; Помогите, пожалуйста, правильно прописать.<br>&gt; видимо что-то вроде этого: <br>&gt; access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128 <br>&gt; access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0 <br>&gt; это если нужно включить bypass между этими сетями.<br>&gt; static nat в примере вероятно для настройки bypass при доступе из инета. <br>&gt; в моем случае он не нужен, т.к. все вертится на inside интерфейсе <br>&gt; в пределах одной сети. в вашем случае вероятно тоже nat не <br>&gt; нужен.<br><br>Как-то что-то заработало, пришлось еще в nonat правило добавить на удаленную сеть, без этого не работало.<br>Уф.<br>Спасибо Вам огромное!<br>Пошел разбираться, что я там намутил.<br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#14 Wed, 19 Jun 2013 10:42:25 GMT &gt;[оверквотинг удален]<br>&gt; Вот у меня, к примеру, так: <br>&gt; локалка в офисе - 172.16.0.0/24, <br>&gt; локалка в удаленном офисе - 192.168.1.0/25 <br>&gt; как их подставить в пример? На какие места?<br>&gt; вот эта строчка: <br>&gt; hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask <br>&gt; 255.255.255.224 <br>&gt; вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? <br>&gt; Чей? Циски из локального офиса? Или клиента? Или что?<br>&gt; Помогите, пожалуйста, правильно прописать.<br><br>видимо что-то вроде этого:<br>access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128<br>access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0 <br><br>это если нужно включить bypass между этими сетями. <br>static nat в примере вероятно для настройки bypass при доступе из инета.<br>в моем случае он не нужен, т.к. все вертится на inside интерфейсе в пределах одной сети. в вашем случае вероятно тоже nat не нужен.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#13 Wed, 19 Jun 2013 08:55:32 GMT &gt;&gt; где тут чьи айпишники?.. :( <br>&gt;&gt; Причем, ping и traceroute работают - все остальное - нет.<br>&gt; IP адреса естественно ваши. В ACL указываете сеть либо хост для которого <br>&gt; нужно делать tcp bypass.<br>&gt; Фича работает. У меня была версия 8.0 и там её не было. <br>&gt; Обновил АСУ до 8.2 и все завелось.<br><br>Да в том-то все и дело, что никак не пойму, как в примере заменить на мои.<br>Вот у меня, к примеру, так:<br>локалка в офисе - 172.16.0.0/24,<br>локалка в удаленном офисе - 192.168.1.0/25<br><br>как их подставить в пример? На какие места?<br><br>вот эта строчка:<br>hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask<br>255.255.255.224<br>вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? Чей? Циски из локального офиса? Или клиента? Или что?<br><br>Помогите, пожалуйста, правильно прописать.<br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#12 Wed, 19 Jun 2013 03:33:53 GMT &gt; где тут чьи айпишники?.. :( <br>&gt; Причем, ping и traceroute работают - все остальное - нет.<br><br>IP адреса естественно ваши. В ACL указываете сеть либо хост для которого нужно делать tcp bypass.<br>Фича работает. У меня была версия 8.0 и там её не было. Обновил АСУ до 8.2 и все завелось.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#11 Wed, 27 Mar 2013 14:02:58 GMT &gt; Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а <br>&gt; возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она <br>&gt; режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/conns_tcpstatebypass.html <br><br>Та же проблема, но фиг я что понял из примера :(<br> Configuration Examples for TCP State Bypass<br><br>The following is a sample configuration for TCP state bypass:<br><br>hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any<br><br>hostname(config)# class-map tcp_bypass<br><br>hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"<br><br>hostname(config-cmap)# match access-list tcp_bypass<br><br>hostname(config-cmap)# policy-map tcp_bypass_policy<br><br>hostname(config-pmap)# class tcp_bypass<br><br>hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass<br><br>hostname(config-pmap-c)# service-policy tcp_bypass_policy outside<br><br>hostname(config-pmap-c)# sta https://www.opennet.ru/openforum/vsluhforumID6/584.html#10 Thu, 21 Mar 2013 15:44:33 GMT Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/conns_tcpstatebypass.html<br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#9 Mon, 11 Mar 2013 08:04:47 GMT &gt; да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а <br>&gt; аса - не хочет. можно это как-то обойти временно средствами асы ?<br><br>same-security-traffic permit intra-interface<br><br>И это не всегда, а только в том случае, если обратно проходящие пакеты входят и выходят на одном интерфейсе, как бы "отражаются". Если обратный маршрут вообще не касается ASA - то никак.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#8 Mon, 11 Mar 2013 03:37:56 GMT &gt; аса - не хочет. можно это как-то обойти временно средствами асы <br>&gt; ? на счет аксес листов - позже все будет настроено как <br>&gt; положено.<br><br>https://supportforums.cisco.com/docs/DOC-14491<br> https://www.opennet.ru/openforum/vsluhforumID6/584.html#7 Mon, 11 Mar 2013 02:55:13 GMT &gt; Тоже вариант.<br>&gt; Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.<br><br>да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а аса - не хочет. можно это как-то обойти временно средствами асы ? на счет аксес листов - позже все будет настроено как положено.<br><br>