Новые ответы

Статическая маршрутизация на Cisco ASA и TCP сессии,

Vova, 07-Мрт-13, 09:09 [смотреть все]

Всем привет.
Есть сервак к которому подключаются клиенты через провайдерские каналы. На default gateway сервера (Cisco 3845) прописаны статические маршруты до клиентских сетей. Шлюзом этих маршрутов является IP провайдера:
ip route 10.11.0.10 255.255.255.255 192.168.111.240
ip route 10.11.0.14 255.255.255.255 192.168.111.240
ip route 10.11.0.21 255.255.255.255 192.168.111.220
ip route 10.11.0.30 255.255.255.255 192.168.111.220
ip route 10.11.0.34 255.255.255.255 192.168.111.240
ip route 169.162.188.0 255.255.255.128 192.168.111.240
ip route 169.162.242.0 255.255.255.0 192.168.111.240
...
сеток довольно много.
возникла необходимость перенести эту статику на Cisco ASA.
route inside 10.11.0.10 255.255.255.255 192.168.111.240
route inside 10.11.0.14 255.255.255.255 192.168.111.240
route inside 10.11.0.21 255.255.255.255 192.168.111.220
route inside 10.11.0.30 255.255.255.255 192.168.111.220
route inside 10.11.0.34 255.255.255.255 192.168.111.240
route inside 169.162.188.0 255.255.255.128 192.168.111.240
route inside 169.162.242.0 255.255.255.0 192.168.111.240
ASA и провайдерский шлюз в одной IP сети (на ASA IP - 192.168.111.167). Друг друга видят, все IP открыто. При переносе маршрутов на АСУ клиенты не могут подключиться к серверу, при этом на сервере наблюдается такая картина:
mars# netstat -n | grep 192.168.111.2 | grep 1530
tcp        0      0 192.168.111.2:1530      172.26.181.14:1241      SYN_RECV
tcp        0      0 192.168.111.2:1530      192.168.49.42:1043      SYN_RECV
tcp        0     74 192.168.111.2:1530      192.168.49.42:3086      SYN_RECV
и так по всем сетям.
т.е. получается что соединения до сервера проходят, но TCP сессия не устанавливается ?
как только возвращаю маршруты обратно на 3845 все нормализуется. TCP сессии устанавливаются:
mars# netstat -n | grep 192.168.111.2 | grep 1530
tcp        0      0 192.168.111.2:1530      172.26.181.14:1241      ESTABLISHED
tcp        0      0 192.168.111.2:1530      192.168.49.42:1043      ESTABLISHED
tcp        0     74 192.168.111.2:1530      192.168.49.42:3086      ESTABLISHED
не подскажите в чем причина может быть ?

Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 10:54 , 07-Мрт-13 (1)
> не подскажите в чем причина может быть ?
В первую очередь смотреть ACLs
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 11:32 , 07-Мрт-13 (2)
>> не подскажите в чем причина может быть ?
> В первую очередь смотреть ACLs
access-list 1 extended permit ip any any
access-group 1 in interface inside
access-group 1 out interface inside
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Aleks305, 15:17 , 07-Мрт-13 (3) +1
>>> не подскажите в чем причина может быть ?
>> В первую очередь смотреть ACLs
> access-list 1 extended permit ip any any
> access-group 1 in interface inside
> access-group 1 out interface inside
ох...ный конфиг)как раз для межсетевого экрана)
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, vg, 16:28 , 07-Мрт-13 (4)
а сервер обратно пакеты как отсылает? Тоже через ASA?
ибо очень похоже что первый пакет до сервера дошел, а обратно нет
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 17:17 , 07-Мрт-13 (5)
Тоже вариант.
Пакеты туда и обратно идут разными путями - ходовая залипуха.
Ответить | Сообщить модератору
Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 19:40 , 07-Мрт-13 (6)
Тоже вариант.
Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.

Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 06:55 , 11-Мрт-13 (7)
> Тоже вариант.
> Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.
да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а аса - не хочет. можно это как-то обойти временно средствами асы ? на счет аксес листов - позже все будет настроено как положено.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, eek, 07:37 , 11-Мрт-13 (8)
> аса - не хочет. можно это как-то обойти временно средствами асы
> ? на счет аксес листов - позже все будет настроено как
> положено.
https://supportforums.cisco.com/docs/DOC-14491
Ответить | Сообщить модератору
Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 12:04 , 11-Мрт-13 (9)
> да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а
> аса - не хочет. можно это как-то обойти временно средствами асы ?
same-security-traffic permit intra-interface
И это не всегда, а только в том случае, если обратно проходящие пакеты входят и выходят на одном интерфейсе, как бы "отражаются". Если обратный маршрут вообще не касается ASA - то никак.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Co6aka_IIokycaka, 19:44 , 21-Мрт-13 (10)
Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 18:02 , 27-Мрт-13 (11)
> Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а
> возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она
> режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
Та же проблема, но фиг я что понял из примера :(
Configuration Examples for TCP State Bypass
The following is a sample configuration for TCP state bypass:
hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
где тут чьи айпишники?.. :(
Причем, ping и traceroute работают - все остальное - нет.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 07:33 , 19-Июн-13 (12)
> где тут чьи айпишники?.. :(
> Причем, ping и traceroute работают - все остальное - нет.
IP адреса естественно ваши. В ACL указываете сеть либо хост для которого нужно делать tcp bypass.
Фича работает. У меня была версия 8.0 и там её не было. Обновил АСУ до 8.2 и все завелось.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 12:55 , 19-Июн-13 (13)
>> где тут чьи айпишники?.. :(
>> Причем, ping и traceroute работают - все остальное - нет.
> IP адреса естественно ваши. В ACL указываете сеть либо хост для которого
> нужно делать tcp bypass.
> Фича работает. У меня была версия 8.0 и там её не было.
> Обновил АСУ до 8.2 и все завелось.
Да в том-то все и дело, что никак не пойму, как в примере заменить на мои.
Вот у меня, к примеру, так:
локалка в офисе - 172.16.0.0/24,
локалка в удаленном офисе - 192.168.1.0/25
как их подставить в пример? На какие места?
вот эта строчка:
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? Чей? Циски из локального офиса? Или клиента? Или что?
Помогите, пожалуйста, правильно прописать.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova Ivanov, 14:42 , 19-Июн-13 (14)
>[оверквотинг удален]
> Вот у меня, к примеру, так:
> локалка в офисе - 172.16.0.0/24,
> локалка в удаленном офисе - 192.168.1.0/25
> как их подставить в пример? На какие места?
> вот эта строчка:
> hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
> 255.255.255.224
> вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний?
> Чей? Циски из локального офиса? Или клиента? Или что?
> Помогите, пожалуйста, правильно прописать.
видимо что-то вроде этого:
access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0
это если нужно включить bypass между этими сетями.
static nat в примере вероятно для настройки bypass при доступе из инета.
в моем случае он не нужен, т.к. все вертится на inside интерфейсе в пределах одной сети. в вашем случае вероятно тоже nat не нужен.
Ответить | Сообщить модератору

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 15:20 , 19-Июн-13 (15)
>[оверквотинг удален]
>> Чей? Циски из локального офиса? Или клиента? Или что?
>> Помогите, пожалуйста, правильно прописать.
> видимо что-то вроде этого:
> access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
> access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0
> это если нужно включить bypass между этими сетями.
> static nat в примере вероятно для настройки bypass при доступе из инета.
> в моем случае он не нужен, т.к. все вертится на inside интерфейсе
> в пределах одной сети. в вашем случае вероятно тоже nat не
> нужен.
Как-то что-то заработало, пришлось еще в nonat правило добавить на удаленную сеть, без этого не работало.
Уф.
Спасибо Вам огромное!
Пошел разбираться, что я там намутил.
Ответить | Сообщить модератору