Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 11:46



Ответить на тему  [ Сообщений: 33 ]  На страницу 1, 2  След.
Доступ к ASA через IPSec 
Автор Сообщение

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Добрый день уверен, что такой вопрос поднимался и решение должно лежать на поверхности :( но что то туплю
Может кто ткнет в ссылку или просто подскажет
Ситуация следующая
Изображение
Имеем такую конфигурацию сетки
В облаке есть сервер zabbix и все железки которые находятся в офисной сети нормально сливают свой мониторинг, кроме АСЫ по средством которой и поднят l2l туннель до облака
Как мне получить из облака доступ до самой ASA?


21 мар 2016, 11:55
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Достучать до самого МЭ через ipsec/ssl несложно: используйте команду management-access

Т.е. чтобы слить сислог через туннель, надо сделать примерно так:
Код:
logging host inside x.x.x.x     <= Where x.x.x.x is your syslog server IP across VPN
management-access inside


21 мар 2016, 12:03
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
f@ntasist0 писал(а):
Достучать до самого МЭ через ipsec/ssl несложно: используйте команду management-access

Т.е. чтобы слить сислог через туннель, надо сделать примерно так:
Код:
logging host inside x.x.x.x     <= Where x.x.x.x is your syslog server IP across VPN
management-access inside

Всё точно :) вот про это я все время забываю :)
Только все одно не работает :)
Код:
ASA#sh run | i snmp                                                   
snmp-server host inside 172.16.200.84 community ***** version 2c

ASA# sh run | i man
management-access inside

ASA# sh run | b interface Vlan1
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.251 255.255.255.0
!

С сервера делаю
Код:
zabbix:~# ifconfig -a
....
eth1      Link encap:Ethernet  HWaddr 02:00:0c:1c:00:0a
          inet addr:172.16.200.84  Bcast:172.16.200.255  Mask:255.255.255.0
          inet6 addr: fe80::cff:fe1c:a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:341791 errors:0 dropped:0 overruns:0 frame:0
          TX packets:320829 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:96749294 (96.7 MB)  TX bytes:28674564 (28.6 MB)
zabbix:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         r-771-VM.progno 0.0.0.0         UG    0      0        0 eth0
172.16.200.0    *               255.255.255.0   U     0      0        0 eth1
172.16.201.0    *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     172.16.200.1    255.255.255.0   UG    0      0        0 eth1

zabbix:~# snmpwalk -v2c -c public 192.168.1.251
Timeout: No Response from 192.168.1.251

Как то так :(


21 мар 2016, 12:11
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Покажи ACL, который матчит трафик для туннеля


21 мар 2016, 12:43
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Код:
access-list IPSEC-2-THECLOUD; 1 elements; name hash: 0xf8a089ae
access-list IPSEC-2-THECLOUD line 1 extended permit ip 192.168.1.0 255.255.255.0 172.16.200.0 255.255.255.0 (hitcnt=622) 0x0a585ac6


Любая железка за асой отвечает нормально
Код:
zabbix:~# snmpwalk -v 2c -c public 192.168.1.254
SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 25-Oct-13 13:18 by prod_rel_team
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.797
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (193606959) 22 days, 9:47:49.59


21 мар 2016, 12:46
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
[quote="CrAlex"][/quote]
ix:~# snmpwalk -v2c -c public 192.168.1.251
Community точно такой на ASA?
Так-то конфиг рабочий..


21 мар 2016, 12:51
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Вообще должно хватать.

А по ASDM через туннель сможешь провалиться? (не забудь только разрешить доступ, естессно).

Что меня смущает:
Код:
ASA#sh run | i snmp                                                   
snmp-server host inside 172.16.200.84 community ***** version 2c


Ты точно звездочками замазал comunity "public"?
Цитата:
zabbix:~# snmpwalk -v2c -c public 192.168.1.251


Последний раз редактировалось real1st 21 мар 2016, 12:55, всего редактировалось 1 раз.



21 мар 2016, 12:53
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
amir писал(а):
CrAlex писал(а):

ix:~# snmpwalk -v2c -c public 192.168.1.251
Community точно такой на ASA?
Так-то конфиг рабочий..

Точно такой :( я уже попроверял


21 мар 2016, 12:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
CrAlex писал(а):
Точно такой :( я уже попроверял

на стороне Cloud в ACL протокол так же IP, не TCP случайно?


21 мар 2016, 12:58
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Если бы не было совпадения я думаю девайсы за асой не отвечали бы :(


21 мар 2016, 13:02
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
f@ntasist0 писал(а):
Вообще должно хватать.

А по ASDM через туннель сможешь провалиться? (не забудь только разрешить доступ, естессно).

Что меня смущает:
Код:
ASA#sh run | i snmp                                                   
snmp-server host inside 172.16.200.84 community ***** version 2c


Ты точно звездочками замазал comunity "public"?
Цитата:
zabbix:~# snmpwalk -v2c -c public 192.168.1.251

Звездочками это не я это аса замазывает :) там точно публик я уже несколько раз перепроверил
по асдм.... могу попробовать только телнетом на 443 порт потому как у меня там только кли..


21 мар 2016, 13:04
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
Был случай: на одной стороне написали IP, на другой - TCP. IPSEC поднялся, UDP не бегал.

И еще: в правиле unnat все чисто?

community легко проверить:

more system:running config | i snmp


21 мар 2016, 13:07
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
хосты из ipsec-тунелей нужно указывать по направлениям куда строится ipsec.
Т.е. у вас в данном случае outside а не inside.


21 мар 2016, 13:08
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Я про snmp-server host outside


21 мар 2016, 13:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
tonve писал(а):
хосты из ipsec-тунелей нужно указывать по направлениям куда строится ipsec.
Т.е. у вас в данном случае outside а не inside.

Не-а. Отвечать будет на запросы от хоста 172.16.200.84 только на интерфейсе inside, что и требуется.


21 мар 2016, 13:12
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
tonve писал(а):
Я про snmp-server host outside

И так тоже пробовал :( результат был анологичный


21 мар 2016, 13:16
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Дело не в том на каком интерфейсе будет отвечать, а на какой интерфейс приходят запросы от указанного айпишника.


21 мар 2016, 13:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
В данном случае - на inside


21 мар 2016, 13:29
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Да, Акела промахнулся
RTFM
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/monitor_snmp.html
Specifies the recipient of an SNMP notification. Indicates the interface from which traps are sent. Identifies the name and IP address of the NMS or SNMP manager that can connect to the ASA. The trap keyword limits the NMS to receiving traps only. The poll keyword limits the NMS to sending requests (polling) only. By default, SNMP traps are enabled.

Т.е.
snmp-server host outside 172.16.200.84 poll community public version 2c


Последний раз редактировалось tonve 21 мар 2016, 13:40, всего редактировалось 1 раз.



21 мар 2016, 13:39
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
На ASA на outside interface терминируйте SNMP.
http://www.cisco.com/c/en/us/support/do ... html#anc15

Если, конечно, у Вас сеть так построена, как я думаю...


21 мар 2016, 13:39
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Nikolay_ писал(а):
На ASA на outside interface терминируйте SNMP.
http://www.cisco.com/c/en/us/support/do ... html#anc15

Если, конечно, у Вас сеть так построена, как я думаю...


Сеть нарисована в первом посте

Если честно я не много не понял по этой ссылке
Для чего рисуется такой лист
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161
access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162
access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514
если 101 ацл это для ипсека....


21 мар 2016, 14:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
https://supportforums.cisco.com/documen ... ite-tunnel
Я бы еще раз внимательно перепроверил все настройки.


21 мар 2016, 14:41
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
snmp через outside делать не надо, пакеты на outside интерфейс не попадают.

CrAlex
по ssh можешь провалиться через туннель?
Надо понять где проблема. Ибо конфиг в целом рабочий https://supportforums.cisco.com/documen ... ite-tunnel


21 мар 2016, 14:41
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
f@ntasist0 писал(а):
snmp через outside делать не надо, пакеты на outside интерфейс не попадают.

CrAlex
по ssh можешь провалиться через туннель?
Надо понять где проблема. Ибо конфиг в целом рабочий https://supportforums.cisco.com/documen ... ite-tunnel


Я сделал
Код:
ssh 172.16.200.0 255.255.255.0 inside
management-access inside

С сервера пробую
Код:
zabbix:~# ssh 192.168.1.251
ssh: connect to host 192.168.1.251 port 22: Connection timed out


21 мар 2016, 15:30
Профиль

Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Короче делаю все по образу и подобию
https://supportforums.cisco.com/documen ... ite-tunnel
И не получаю доступа, хотя по всем докам должен бы


21 мар 2016, 16:28
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 33 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB