- Маршрутизация asa 5510 ,
 Merridius, 20:00 , 25-Дек-13 (1)>[оверквотинг удален]
> ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут
> до этой подсети, либо ручками либо в DHCP. Очень хочется сделать
> это как то централизованно то есть на asa прописать роут до
> этой подсети через 192.168.2.10.
> Вот что я уже сделал: прописал
> route inside 192.168.5.0 255.255.255.0 192.168.2.10 1
> same-security-traffic permit intra-interface
> Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой
> другой не идет.
> Пните в нужную сторону, или asa так не умеет?Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.
- Маршрутизация asa 5510 , Кирилл, 20:05 , 25-Дек-13 (2)
> Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.Судя по нему все хорошо:
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 192.168.5.0 255.255.255.0 inside Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 121 in interface inside
access-list 121 extended permit ip any any
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information: Phase: 5
Type: FLOW-EXPORT
Subtype:
Result: ALLOW
Config:
Additional Information: Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information: Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information: Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 23613107, packet dispatched to next module Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
- Маршрутизация asa 5510 , Merridius, 20:24 , 25-Дек-13 (3)
>[оверквотинг удален]
> Additional Information:
> New flow created with id 23613107, packet dispatched to next module
> Result:
> input-interface: inside
> input-status: up
> input-line-status: up
> output-interface: inside
> output-status: up
> output-line-status: up
> Action: allow А на другом роутере все в порядке? Обратный роут есть? ACL?
- Маршрутизация asa 5510 , Merridius, 20:31 , 25-Дек-13 (4)
>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?Вообще лучший вариант здесь - это для асы и роутера выделить отдельную подсеть линковую, и гонять трафик через нее, тогда не будет заморочки с icmp redirect, и масштабируемость увеличиться в разы.
- Маршрутизация asa 5510 , Кирилл, 20:55 , 25-Дек-13 (5)
>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал. А не может быть загвоздка в том, что когда идет пакет на адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше попадает на 192.168.5.3
тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу попадает на хост отправителя. Или я где то не прав?
- Маршрутизация asa 5510 , Merridius, 23:03 , 25-Дек-13 (6)
>[оверквотинг удален]
>>> output-line-status: up
>>> Action: allow
>> А на другом роутере все в порядке? Обратный роут есть? ACL?
> На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
> Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.
> А не может быть загвоздка в том, что когда идет пакет на
> адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше
> попадает на 192.168.5.3
> тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу
> попадает на хост отправителя. Или я где то не прав?По идее да, поскольку asa не поддерживает icmp redirect, то не может назначить хосту роут до .5.0 через .2.10. Я вам выше уже написал лучшее решение, как минимум, с точки зрения best practice.
- Маршрутизация asa 5510 , Ajavrik, 15:59 , 27-Дек-13 (7)
Решал аналогичное, примерно неделю назад.
Пришел к выводу что это асимметричный маршрут, но настроить не смог и выкрутился так, что поставил на каждый хост НАТ (их у меня десяток).
Такой вывод делал из того, что ставил третий шлюз на FreeBSD и вот с ним все работало ОК.
А когда ASA шла через циску то облом.
Причем tcpdump показывал что уходит с хоста syn возвращается с сервера syn win, и потом хост пускает rst, т.е. маршруты все правильные т.к. пакеты ходят, а вот в пакете что-то не так.
- Маршрутизация asa 5510 , spiegel, 15:57 , 09-Янв-14 (8)
А не забыли, что аса это прежде всего файерволл? Если юзер шлет tcp syn через асу, а получает ack минуя ее, то аса, инспектируя пакет, естественно дропает его, согласно своему предназначению.
Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы, или разбить один физический на 2 логических, при условии, что свитч поддерживает транк и в обоих случаях сделать отдельную подсеть для линка асы с роутером.
- Маршрутизация asa 5510 , Merridius, 09:13 , 10-Янв-14 (9)
> А не забыли, что аса это прежде всего файерволл? Если юзер шлет
> tcp syn через асу, а получает ack минуя ее, то аса,
> инспектируя пакет, естественно дропает его, согласно своему предназначению.
> Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы,
> или разбить один физический на 2 логических, при условии, что свитч
> поддерживает транк и в обоих случаях сделать отдельную подсеть для линка
> асы с роутером.Ну так, собственно поэтому и icmp redirect не поддерживается.
|
Версия для распечатки
Маршрутизация asa 5510 , 
