The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Маршрутизация asa 5510 "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Маршрутизация asa 5510 "  +/
Сообщение от Кирилл (??) on 25-Дек-13, 19:30 
Всем добрый вечер.

На сети стоит asa 5510 (8.4) работает шлюзом по умолчанию и выпускает всех в инет,
IP 192.168.2.2.

Внутренняя сеть 192.168.2.0/24, внутри есть еще один шлюз с IP 192.168.2.10 за ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут до этой подсети, либо ручками либо в DHCP. Очень хочется сделать это как то централизованно то есть на asa прописать роут до этой подсети через 192.168.2.10.

Вот что я уже сделал: прописал
route inside 192.168.5.0 255.255.255.0 192.168.2.10 1
same-security-traffic permit intra-interface

Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой другой не идет.

Пните в нужную сторону, или asa так не умеет?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Маршрутизация asa 5510 "  +/
Сообщение от Merridius (ok) on 25-Дек-13, 20:00 
>[оверквотинг удален]
> ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут
> до этой подсети, либо ручками либо в DHCP. Очень хочется сделать
> это как то централизованно то есть на asa прописать роут до
> этой подсети через 192.168.2.10.
> Вот что я уже сделал: прописал
> route inside 192.168.5.0 255.255.255.0 192.168.2.10 1
> same-security-traffic permit intra-interface
> Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой
> другой не идет.
> Пните в нужную сторону, или asa так не умеет?

Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Маршрутизация asa 5510 "  +/
Сообщение от Кирилл (??) on 25-Дек-13, 20:05 
> Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.

Судя по нему все хорошо:
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.168.5.0     255.255.255.0   inside

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 121 in interface inside
access-list 121 extended permit ip any any
Additional Information:
              
Phase: 4      
Type: IP-OPTIONS
Subtype:      
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: FLOW-EXPORT
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 23613107, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Маршрутизация asa 5510 "  +/
Сообщение от Merridius (ok) on 25-Дек-13, 20:24 
>[оверквотинг удален]
> Additional Information:
> New flow created with id 23613107, packet dispatched to next module
> Result:
> input-interface: inside
> input-status: up
> input-line-status: up
> output-interface: inside
> output-status: up
> output-line-status: up
> Action: allow

А на другом роутере все в порядке? Обратный роут есть? ACL?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Маршрутизация asa 5510 "  +/
Сообщение от Merridius (ok) on 25-Дек-13, 20:31 
>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?

Вообще лучший вариант здесь - это для асы и роутера выделить отдельную подсеть линковую, и гонять трафик через нее, тогда не будет заморочки с icmp redirect, и масштабируемость увеличиться в разы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Маршрутизация asa 5510 "  +/
Сообщение от Кирилл (??) on 25-Дек-13, 20:55 
>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?

На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.

А не может быть загвоздка в том, что когда идет пакет на адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше попадает на 192.168.5.3
тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу попадает на хост отправителя. Или я где то не прав?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Маршрутизация asa 5510 "  +/
Сообщение от Merridius (ok) on 25-Дек-13, 23:03 
>[оверквотинг удален]
>>> output-line-status: up
>>> Action: allow
>> А на другом роутере все в порядке? Обратный роут есть? ACL?
> На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
> Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.
> А не может быть загвоздка в том, что когда идет пакет на
> адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше
> попадает на 192.168.5.3
>  тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу
> попадает на хост отправителя. Или я где то не прав?

По идее да, поскольку asa не поддерживает icmp redirect, то не может назначить хосту роут до .5.0 через .2.10.

Я вам выше уже написал лучшее решение, как минимум, с точки зрения best practice.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Маршрутизация asa 5510 "  +/
Сообщение от Ajavrik email(ok) on 27-Дек-13, 15:59 
Решал аналогичное, примерно неделю назад.
Пришел к выводу что это асимметричный маршрут, но настроить не смог и выкрутился так, что поставил на каждый хост НАТ (их у меня десяток).
Такой вывод делал из того, что ставил третий шлюз на FreeBSD и вот с ним все работало ОК.
А когда ASA шла через циску то облом.
Причем tcpdump показывал что уходит с хоста syn возвращается с сервера syn win, и потом хост пускает rst, т.е. маршруты все правильные т.к. пакеты ходят, а вот в пакете что-то не так.
  
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Маршрутизация asa 5510 "  +/
Сообщение от spiegel (ok) on 09-Янв-14, 15:57 

А не забыли, что аса это прежде всего файерволл? Если юзер шлет tcp syn через асу, а получает ack минуя ее, то аса, инспектируя пакет, естественно дропает его, согласно своему предназначению.
Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы, или разбить один физический на 2 логических, при условии, что свитч поддерживает транк и в обоих случаях сделать отдельную подсеть для линка асы с роутером.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Маршрутизация asa 5510 "  +/
Сообщение от Merridius (ok) on 10-Янв-14, 09:13 
> А не забыли, что аса это прежде всего файерволл? Если юзер шлет
> tcp syn через асу, а получает ack минуя ее, то аса,
> инспектируя пакет, естественно дропает его, согласно своему предназначению.
> Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы,
> или разбить один физический на 2 логических, при условии, что свитч
> поддерживает транк и в обоих случаях сделать отдельную подсеть для линка
> асы с роутером.

Ну так, собственно поэтому и icmp redirect не поддерживается.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру