Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:13



Ответить на тему  [ Сообщений: 16 ] 
ASA и AD 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго всем дня.
Извиняюсь за ламерский вопрос, с фаерволами ASA ранее почти не сталкивался, но "партия сказала надо". Итак - офис и филиал, разнесенные территориально. На периметре 2911, DMVPN, разные домены, между ними настроены доверительные отношения. В офис ставится ASA, схема приобретает такой вид: интернет-2911-asa-основной свитч. В целом всё продолжает работать, кроме одного - домены уже не устанавливают отношения, более того, филиал не может пинговать сеть за ASA, только в обратную сторону. Ну понятно - в фаерволе всё закрыто на вход по умолчанию. Какие подсети и порты следует разрешить на внешнем интерфейсе асы, чтобы проходил входящий трафик домена ?


18 янв 2020, 20:10
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Даже в такой схеме через ОПУ - на АСЕ же есть монитор в режиме реального времени возьмите посмотрите что происходит, а лучше АСУ выставить на периметр...., если конечно это хоть какая то свежая модель...


18 янв 2020, 21:32
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Это далеко не свежая модель, 5510. И нужен от нее, по большому счету, только нормальный anyconnect - с доменной авторизацией, политиками и прочими вкусняшками. Поэтому на периметр такое не ставят, увы.


19 янв 2020, 09:50
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Железка эта очень старая и софт уже второй год не обновляется и не будет уже соотв. так что нормальный AnyConnect с IKEv2 + SHA2 на ней не поднять.....


19 янв 2020, 10:00
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать.


19 янв 2020, 15:14
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Дело Ваше конечно, раз вы так относитесь к сети где работаете и ставите устройства 15-ти летней давности.... :D


19 янв 2020, 17:07
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
А тут вариантов не так много. Оставлять открытый rdp, либо использовать имеющееся старьё. Третий - купить для конторы на свои средства, но я серьезно не стал бы такое рассматривать ))


19 янв 2020, 18:45
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
На данный момент изучение проблемы дало понимание, что с одного из роутеров, задействованных в связке dmvpn, успешно пингуется и внешний интерфейс асы, и хосты из ее внутренней подсети - с того роутера, после которого физически подключена сама аса. С роутера на другом конце туннеля можно пингануть только внешний асы. Маршрут в сеть за асой прописан, трассировка теряется после туннельного интерфейса. В чем может быть затык ?


24 янв 2020, 10:45
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
На АСе не должно быть никакого НАТа - тогда будет всё работать, т.е. она работает как обычный маршрутизатор

Я так понимаю внутренний ЛАН переместился на АСу..


24 янв 2020, 11:01
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Именно так - внутренняя подсеть стала на внутреннем же интерфейсе асы, а между роутером и внешним асовым интерфейсом появилась транзитная подсеть.


24 янв 2020, 11:34
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Раз у вас уже нет НАТа то на АСе тогда нужен двух-сторонний АКЛ


24 янв 2020, 11:36
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Убрал с асы все правила NAT, acl оставил единственный - access-list 101 extended permit ip any any с привязкой к внутреннему интерфейсу. Так внутренняя подсеть стала пинговаться с роутера на другом конце dmvpn туннеля. Выглядит, конечно, костылёво... но, учитывая хотелки получить и anyconnect, и dmvpn, да и ещё и почти задаром, всё не так плохо )


24 янв 2020, 15:28
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Двухсторонний acl на асе - это типа такого access-list outside_access_in extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ?


24 янв 2020, 18:57
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Это на outside intf входящий трафик ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
на inside intf исходяший ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0


24 янв 2020, 19:22
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Maxische писал(а):
Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать.

ИМХО, мягкое и теплое.
Наверное не открою секрет, но таки на роутерах нуно терминировать ваши AnyConnect, в данном случае АСА будет стоять как ядро сети, но с ее пропускной способностью в режиме фаера и невозможностью нормально разбирать трафик, то я не уверен что это правильное решение. Сами набили шишки, теперь думаем линять в сторону Пальто.
ИМХО. (у всех фламастеры разные)


12 фев 2020, 14:23
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
AlexSashkaff писал(а):
на роутерах нуно терминировать ваши AnyConnect


Мне тоже более по душе роутеры с их гибким dmvpn, но разве на них возможно запустить anyconnect с доменной авторизацией, доменными же профилями и т.д. ? Поставил я все же асу после роутера, полмесяца - пока полет нормальный...


15 фев 2020, 18:48
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 16 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB