 Маршрут через другой маршрутизатор в локалке,  Alting, 27-Мрт-13, 14:59 [смотреть все]Коллеги, заработался...
Простая задача:
1. Есть ASA 5510 с прошивкой 8.2 как основной шлюз компании.
2. Есть некий сервер под линукс, выступающий в том числе, как OpenVPN сервер.
Задача:
увидеть из локальной сети сеть удаленного клиента OpenVPN.На ASA разрешены пинги везде и всюду. Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился того, что сеть клиента пингуется, и с клиента также пингуются машины локальной сети.
Но только пингуются, ни один сервис больше недоступен :(
Ну и tracreroute еще работает, конечно. Чего я недокрутил, подскажите, пожалуйста! |
- Маршрут через другой маршрутизатор в локалке, Николай, 15:05 , 27-Мрт-13 (1)
>[оверквотинг удален]
> Задача:
> увидеть из локальной сети сеть удаленного клиента OpenVPN.
> На ASA разрешены пинги везде и всюду.
> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
> того, что сеть клиента пингуется, и с клиента также пингуются машины
> локальной сети.
> Но только пингуются, ни один сервис больше недоступен :(
> Ну и tracreroute еще работает, конечно.
> Чего я недокрутил, подскажите, пожалуйста!На аса наверное правил разрешающих не хватает или ограничения по аксес листам на самом ВПН сервере. Как-то не очень информативные начальные условия. Что пакеттрасер на АСЕ говорит?
И почему ВПН не перенести на АСУ?
- Маршрут через другой маршрутизатор в локалке, Alting, 15:15 , 27-Мрт-13 (2)
>[оверквотинг удален]
>> увидеть из локальной сети сеть удаленного клиента OpenVPN.
>> На ASA разрешены пинги везде и всюду.
>> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
>> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
>> того, что сеть клиента пингуется, и с клиента также пингуются машины
>> локальной сети.
>> Но только пингуются, ни один сервис больше недоступен :(
>> Ну и tracreroute еще работает, конечно.
>> Чего я недокрутил, подскажите, пожалуйста!
> На аса наверное правил разрешающих не хватаетВот скорее всего.
> или ограничения по аксес листам
> на самом ВПН сервере.
нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть за OpenVPN сам сервер OpenVPN - то все работает. > Как-то не очень информативные начальные условия. Что
> пакеттрасер на АСЕ говорит? Да ничего не говорит... Что TCP, что UDP - RESULT - The packet is allowed в обе стороны :( > И почему ВПН не перенести на АСУ? Это как? ASA умеет OpenVPN?
- Маршрут через другой маршрутизатор в локалке, Alting, 16:28 , 27-Мрт-13 (3)
>[оверквотинг удален]
>> или ограничения по аксес листам
>> на самом ВПН сервере.
> нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть
> за OpenVPN сам сервер OpenVPN - то все работает.
>> Как-то не очень информативные начальные условия. Что
>> пакеттрасер на АСЕ говорит?
> Да ничего не говорит... Что TCP, что UDP - RESULT - The
> packet is allowed в обе стороны :(
>> И почему ВПН не перенести на АСУ?
> Это как? ASA умеет OpenVPN?Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
Я указал IP этого сервера в качестве шлюза на другой машине.
Все работает. Пакет идет от клиента на сервер, от него на сервер OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента OpenVPN и дальше в локалку за клиентом. Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только в каких....
- Маршрут через другой маршрутизатор в локалке, Alting, 11:35 , 28-Мрт-13 (4)
>[оверквотинг удален]
>>> И почему ВПН не перенести на АСУ?
>> Это как? ASA умеет OpenVPN?
> Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную
> сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
> Я указал IP этого сервера в качестве шлюза на другой машине.
> Все работает. Пакет идет от клиента на сервер, от него на сервер
> OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента
> OpenVPN и дальше в локалку за клиентом.
> Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только
> в каких....Продолжая тихо сам с собою... :)
Скорее всего, моя проблема кроется в том, что пакеты уходят через один шлюз, а возвращаются через другой. Правда, непонятно тогда в таком случае, почему пинги идут?..
К примеру, как тут:
http://www.cisco.com/en/US/products/ps6120/products_configur...
Все беда в том, что везде рассматриваются варианты с внешнем интерфейсом ASA.
А у меня-то как раз получается, что он не задействован.
Клиент находится не "за ASA", а за другим сервером, который расположен в том же LAN сегменте, что и ASA. Т.е. пакеты с внутреннего на внешний интерфейс в ASA не идут, а сразу перенаправляются на LAN интерфейс нужного сервера.
Пример моей конфигурации:
LAN сегмент локальный - 192.168.0.0/24
LAN сегмент удаленный - 192.168.1.1/24
ASA LAN интерфейс - 192.168.0.1
Сервер OpenVPN LAN интерфейс - 192.168.0.2
Клиент - 192.168.0.3, основной шлюз 192.168.0.1
Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
И пакеты должны идти так:
192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
- Маршрут через другой маршрутизатор в локалке, Merridius, 11:47 , 28-Мрт-13 (5)
>[оверквотинг удален]
> LAN сегмент локальный - 192.168.0.0/24
> LAN сегмент удаленный - 192.168.1.1/24
> ASA LAN интерфейс - 192.168.0.1
> Сервер OpenVPN LAN интерфейс - 192.168.0.2
> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
> И пакеты должны идти так:
> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента) same-security-traffic permit intra-interface прописано?
А вообще правильно сделать так: все ваши сервера с сервисами, в том числе openvpn, переместить в другой vlan, с другим security level, короче создать DMZ.
На клиентах в качестве default gateway указать циску.
- Маршрут через другой маршрутизатор в локалке, Alting, 12:36 , 28-Мрт-13 (6)
>[оверквотинг удален]
>> LAN сегмент удаленный - 192.168.1.1/24
>> ASA LAN интерфейс - 192.168.0.1
>> Сервер OpenVPN LAN интерфейс - 192.168.0.2
>> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
>> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
>> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
>> И пакеты должны идти так:
>> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
>> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
> same-security-traffic permit intra-interface прописано?Да, да, конечно, прописаны. > А вообще правильно сделать так: все ваши сервера с сервисами, в том
> числе openvpn, переместить в другой vlan, с другим security level, короче
> создать DMZ. Думал уже об этом.
Просто на самом деле сервер под asterisk, а OpenVPN у него вспомогательная функция для удаленных подключений к телефонии. И если его выносить, то только ночью :( Очень критична у нас телефония днем...
Лучше уж тогда вообще ничего не трогать и ручками писать еще один гейтвей на тех клиентах, кому нужна удаленная сеть... > На клиентах в качестве default gateway указать циску.
|
Версия для распечатки
