 Помогите разобраться с маршрутизацией ASA 5510,  Bronya, 23-Апр-08, 11:31 [смотреть все]Ситуация такая, есть в локалке 2 маршрутизатора. Первый для инета, второй - корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. мимо первого.
Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через асу - все работает.
Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как в такой ситуации сделать исключающее правило?!
|
- Помогите разобраться с маршрутизацией ASA 5510, ВОЛКА, 11:48 , 23-Апр-08 (1)
>[оверквотинг удален]
>корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем
>соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким
>образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е.
>мимо первого.
>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и
>udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно
>tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через
>асу - все работает.
>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как
>в такой ситуации сделать исключающее правило?! ну так сделайте, чтобы весь трафик проходил через ASA
иначе нафиг вы ее вообще поставили?
- Помогите разобраться с маршрутизацией ASA 5510, Bronya, 12:10 , 23-Апр-08 (2)
>[оверквотинг удален]
>>мимо первого.
>>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и
>>udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно
>>tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через
>>асу - все работает.
>>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как
>>в такой ситуации сделать исключающее правило?!
>
>ну так сделайте, чтобы весь трафик проходил через ASA
>иначе нафиг вы ее вообще поставили? Так оно и будет, просто пока нужна именно такая схема. ------------- Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает на рабочую станцию динамический маршрут на второй маршрутизатор и после этого соединение устанавливается как надо.
- Помогите разобраться с маршрутизацией ASA 5510, ВОЛКА, 13:48 , 23-Апр-08 (3)
>[оверквотинг удален]
>>ну так сделайте, чтобы весь трафик проходил через ASA
>>иначе нафиг вы ее вообще поставили?
>
>Так оно и будет, просто пока нужна именно такая схема.
>
>-------------
>
>Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает
>на рабочую станцию динамический маршрут на второй маршрутизатор и после этого
>соединение устанавливается как надо. вам надоотключить tcp рандомизацию PIX515(config)# policy-map global_policy
PIX515(config-pmap)# class inspection_default
PIX515(config-pmap-c)# set connection random-sequence-number ? mpf-policy-map-class mode commands/options:
disable Disable TCP sequence number randomization
enable Enable TCP sequence number randomization
|
Версия для распечатки
