Anticisco
http://www.anticisco.ru/forum/

ASA и AD
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11229
Страница 1 из 1

Автор:  Maxische [ 18 янв 2020, 20:10 ]
Заголовок сообщения:  ASA и AD

Доброго всем дня.
Извиняюсь за ламерский вопрос, с фаерволами ASA ранее почти не сталкивался, но "партия сказала надо". Итак - офис и филиал, разнесенные территориально. На периметре 2911, DMVPN, разные домены, между ними настроены доверительные отношения. В офис ставится ASA, схема приобретает такой вид: интернет-2911-asa-основной свитч. В целом всё продолжает работать, кроме одного - домены уже не устанавливают отношения, более того, филиал не может пинговать сеть за ASA, только в обратную сторону. Ну понятно - в фаерволе всё закрыто на вход по умолчанию. Какие подсети и порты следует разрешить на внешнем интерфейсе асы, чтобы проходил входящий трафик домена ?

Автор:  root99 [ 18 янв 2020, 21:32 ]
Заголовок сообщения:  Re: ASA и AD

Даже в такой схеме через ОПУ - на АСЕ же есть монитор в режиме реального времени возьмите посмотрите что происходит, а лучше АСУ выставить на периметр...., если конечно это хоть какая то свежая модель...

Автор:  Maxische [ 19 янв 2020, 09:50 ]
Заголовок сообщения:  Re: ASA и AD

Это далеко не свежая модель, 5510. И нужен от нее, по большому счету, только нормальный anyconnect - с доменной авторизацией, политиками и прочими вкусняшками. Поэтому на периметр такое не ставят, увы.

Автор:  root99 [ 19 янв 2020, 10:00 ]
Заголовок сообщения:  Re: ASA и AD

Железка эта очень старая и софт уже второй год не обновляется и не будет уже соотв. так что нормальный AnyConnect с IKEv2 + SHA2 на ней не поднять.....

Автор:  Maxische [ 19 янв 2020, 15:14 ]
Заголовок сообщения:  Re: ASA и AD

Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать.

Автор:  root99 [ 19 янв 2020, 17:07 ]
Заголовок сообщения:  Re: ASA и AD

Дело Ваше конечно, раз вы так относитесь к сети где работаете и ставите устройства 15-ти летней давности.... :D

Автор:  Maxische [ 19 янв 2020, 18:45 ]
Заголовок сообщения:  Re: ASA и AD

А тут вариантов не так много. Оставлять открытый rdp, либо использовать имеющееся старьё. Третий - купить для конторы на свои средства, но я серьезно не стал бы такое рассматривать ))

Автор:  Maxische [ 24 янв 2020, 10:45 ]
Заголовок сообщения:  Re: ASA и AD

На данный момент изучение проблемы дало понимание, что с одного из роутеров, задействованных в связке dmvpn, успешно пингуется и внешний интерфейс асы, и хосты из ее внутренней подсети - с того роутера, после которого физически подключена сама аса. С роутера на другом конце туннеля можно пингануть только внешний асы. Маршрут в сеть за асой прописан, трассировка теряется после туннельного интерфейса. В чем может быть затык ?

Автор:  root99 [ 24 янв 2020, 11:01 ]
Заголовок сообщения:  Re: ASA и AD

На АСе не должно быть никакого НАТа - тогда будет всё работать, т.е. она работает как обычный маршрутизатор

Я так понимаю внутренний ЛАН переместился на АСу..

Автор:  Maxische [ 24 янв 2020, 11:34 ]
Заголовок сообщения:  Re: ASA и AD

Именно так - внутренняя подсеть стала на внутреннем же интерфейсе асы, а между роутером и внешним асовым интерфейсом появилась транзитная подсеть.

Автор:  root99 [ 24 янв 2020, 11:36 ]
Заголовок сообщения:  Re: ASA и AD

Раз у вас уже нет НАТа то на АСе тогда нужен двух-сторонний АКЛ

Автор:  Maxische [ 24 янв 2020, 15:28 ]
Заголовок сообщения:  Re: ASA и AD

Убрал с асы все правила NAT, acl оставил единственный - access-list 101 extended permit ip any any с привязкой к внутреннему интерфейсу. Так внутренняя подсеть стала пинговаться с роутера на другом конце dmvpn туннеля. Выглядит, конечно, костылёво... но, учитывая хотелки получить и anyconnect, и dmvpn, да и ещё и почти задаром, всё не так плохо )

Автор:  Maxische [ 24 янв 2020, 18:57 ]
Заголовок сообщения:  Re: ASA и AD

Двухсторонний acl на асе - это типа такого access-list outside_access_in extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ?

Автор:  root99 [ 24 янв 2020, 19:22 ]
Заголовок сообщения:  Re: ASA и AD

Это на outside intf входящий трафик ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
на inside intf исходяший ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

Автор:  AlexSashkaff [ 12 фев 2020, 14:23 ]
Заголовок сообщения:  Re: ASA и AD

Maxische писал(а):
Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать.

ИМХО, мягкое и теплое.
Наверное не открою секрет, но таки на роутерах нуно терминировать ваши AnyConnect, в данном случае АСА будет стоять как ядро сети, но с ее пропускной способностью в режиме фаера и невозможностью нормально разбирать трафик, то я не уверен что это правильное решение. Сами набили шишки, теперь думаем линять в сторону Пальто.
ИМХО. (у всех фламастеры разные)

Автор:  Maxische [ 15 фев 2020, 18:48 ]
Заголовок сообщения:  Re: ASA и AD

AlexSashkaff писал(а):
на роутерах нуно терминировать ваши AnyConnect


Мне тоже более по душе роутеры с их гибким dmvpn, но разве на них возможно запустить anyconnect с доменной авторизацией, доменными же профилями и т.д. ? Поставил я все же асу после роутера, полмесяца - пока полет нормальный...

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/