Автор |
Сообщение |
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Доброго всем дня. Извиняюсь за ламерский вопрос, с фаерволами ASA ранее почти не сталкивался, но "партия сказала надо". Итак - офис и филиал, разнесенные территориально. На периметре 2911, DMVPN, разные домены, между ними настроены доверительные отношения. В офис ставится ASA, схема приобретает такой вид: интернет-2911-asa-основной свитч. В целом всё продолжает работать, кроме одного - домены уже не устанавливают отношения, более того, филиал не может пинговать сеть за ASA, только в обратную сторону. Ну понятно - в фаерволе всё закрыто на вход по умолчанию. Какие подсети и порты следует разрешить на внешнем интерфейсе асы, чтобы проходил входящий трафик домена ?
|
18 янв 2020, 20:10 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Даже в такой схеме через ОПУ - на АСЕ же есть монитор в режиме реального времени возьмите посмотрите что происходит, а лучше АСУ выставить на периметр...., если конечно это хоть какая то свежая модель...
|
18 янв 2020, 21:32 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Это далеко не свежая модель, 5510. И нужен от нее, по большому счету, только нормальный anyconnect - с доменной авторизацией, политиками и прочими вкусняшками. Поэтому на периметр такое не ставят, увы.
|
19 янв 2020, 09:50 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Железка эта очень старая и софт уже второй год не обновляется и не будет уже соотв. так что нормальный AnyConnect с IKEv2 + SHA2 на ней не поднять.....
|
19 янв 2020, 10:00 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать.
|
19 янв 2020, 15:14 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Дело Ваше конечно, раз вы так относитесь к сети где работаете и ставите устройства 15-ти летней давности....
|
19 янв 2020, 17:07 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
А тут вариантов не так много. Оставлять открытый rdp, либо использовать имеющееся старьё. Третий - купить для конторы на свои средства, но я серьезно не стал бы такое рассматривать ))
|
19 янв 2020, 18:45 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
На данный момент изучение проблемы дало понимание, что с одного из роутеров, задействованных в связке dmvpn, успешно пингуется и внешний интерфейс асы, и хосты из ее внутренней подсети - с того роутера, после которого физически подключена сама аса. С роутера на другом конце туннеля можно пингануть только внешний асы. Маршрут в сеть за асой прописан, трассировка теряется после туннельного интерфейса. В чем может быть затык ?
|
24 янв 2020, 10:45 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
На АСе не должно быть никакого НАТа - тогда будет всё работать, т.е. она работает как обычный маршрутизатор
Я так понимаю внутренний ЛАН переместился на АСу..
|
24 янв 2020, 11:01 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Именно так - внутренняя подсеть стала на внутреннем же интерфейсе асы, а между роутером и внешним асовым интерфейсом появилась транзитная подсеть.
|
24 янв 2020, 11:34 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Раз у вас уже нет НАТа то на АСе тогда нужен двух-сторонний АКЛ
|
24 янв 2020, 11:36 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Убрал с асы все правила NAT, acl оставил единственный - access-list 101 extended permit ip any any с привязкой к внутреннему интерфейсу. Так внутренняя подсеть стала пинговаться с роутера на другом конце dmvpn туннеля. Выглядит, конечно, костылёво... но, учитывая хотелки получить и anyconnect, и dmvpn, да и ещё и почти задаром, всё не так плохо )
|
24 янв 2020, 15:28 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
Двухсторонний acl на асе - это типа такого access-list outside_access_in extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ?
|
24 янв 2020, 18:57 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Это на outside intf входящий трафик ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 на inside intf исходяший ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
|
24 янв 2020, 19:22 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Maxische писал(а): Ну, так и стоять эта старая вещь не в АНБ будет, так что сойдёт. Всяко лучше, чем на роутерах поднимать. ИМХО, мягкое и теплое. Наверное не открою секрет, но таки на роутерах нуно терминировать ваши AnyConnect, в данном случае АСА будет стоять как ядро сети, но с ее пропускной способностью в режиме фаера и невозможностью нормально разбирать трафик, то я не уверен что это правильное решение. Сами набили шишки, теперь думаем линять в сторону Пальто. ИМХО. (у всех фламастеры разные)
|
12 фев 2020, 14:23 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
AlexSashkaff писал(а): на роутерах нуно терминировать ваши AnyConnect Мне тоже более по душе роутеры с их гибким dmvpn, но разве на них возможно запустить anyconnect с доменной авторизацией, доменными же профилями и т.д. ? Поставил я все же асу после роутера, полмесяца - пока полет нормальный...
|
15 фев 2020, 18:48 |
|
|