- Создать корректный маршрут,
 Licha Morada, 02:31 , 09-Фев-23 (1)> Основной шлюз живет на Cisco 3850
> Если я убираю настройки прокси сервера в системе и включаю снифер на
> 10.3.0.130, то никаких пакетов в принципе не приходит.
> Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244
> Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было. Если надо "как сейчас, но через другой VDOM", то пишите 10.3.0.130 в прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта. Если же вам надо избавиться от прокси вообще, то надо как-то сказать Cisco 3850 что
если src_ip == 10.43.79.2/24
то 0.0.0.0/0 via 10.3.0.130 Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо создать route-map с условием какой IP у отправителя и next-hop желаемого шлюза. В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему провайдеру подключён.
- Создать корректный маршрут, pogreb, 08:50 , 09-Фев-23 (2)
>[оверквотинг удален]
> прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.
> Если же вам надо избавиться от прокси вообще, то надо как-то сказать
> Cisco 3850 что
> если src_ip == 10.43.79.2/24
> то 0.0.0.0/0 via 10.3.0.130
> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
> создать route-map с условием какой IP у отправителя и next-hop желаемого
> шлюза.
> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
> провайдеру подключён.Тех поддержка Фортигейта ушла из России. Я на 3850 прописал маршрут для своего ПК 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли она проц на моей 3850. Мнения разные.
- Создать корректный маршрут, pogreb, 11:17 , 09-Фев-23 (3)
>[оверквотинг удален]
>> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
>> создать route-map с условием какой IP у отправителя и next-hop желаемого
>> шлюза.
>> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
>> провайдеру подключён.
> Тех поддержка Фортигейта ушла из России.
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.правильные ли мои настройки PBR на 3850? distrib#sh run int vlan 437
interface Vlan437
description IT
ip address 10.43.79.1 255.255.255.0
ip helper-address 10.3.0.23
end ###Настройки conf t ip access-list extended ACL-ROOT
permit ip any 10.43.72.2 255.255.255.255
route-map ROOT
match ip address ACL-ROOT
set ip next-hop 10.3.0.130
- Создать корректный маршрут, na, 11:38 , 09-Фев-23 (4)
>[оверквотинг удален]
> ip address 10.43.79.1 255.255.255.0
> ip helper-address 10.3.0.23
> end
> ###Настройки
> conf t
> ip access-list extended ACL-ROOT
> permit ip any 10.43.72.2 255.255.255.255
> route-map ROOT
> match ip address ACL-ROOT
> set ip next-hop 10.3.0.130 conf t
int vlan437
ip policy route-map ROOT
end
- Создать корректный маршрут, pogreb, 13:55 , 09-Фев-23 (5)
>[оверквотинг удален]
>> conf t
>> ip access-list extended ACL-ROOT
>> permit ip any 10.43.72.2 255.255.255.255
>> route-map ROOT
>> match ip address ACL-ROOT
>> set ip next-hop 10.3.0.130
> conf t
> int vlan437
> ip policy route-map ROOT
> end Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
Получается мне на Фортигейте нужно маршруты прописывать? Какие?
https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
- Создать корректный маршрут, Andrey, 14:32 , 09-Фев-23 (6)
>[оверквотинг удален]
>>> match ip address ACL-ROOT
>>> set ip next-hop 10.3.0.130
>> conf t
>> int vlan437
>> ip policy route-map ROOT
>> end
> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему У вас в PBR используется Extended ACL.
Исключите в ACL внутренние подсети.
- Создать корректный маршрут, pogreb, 14:39 , 09-Фев-23 (7)
>[оверквотинг удален]
>>> conf t
>>> int vlan437
>>> ip policy route-map ROOT
>>> end
>> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
>> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
>> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
>> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
> У вас в PBR используется Extended ACL.
> Исключите в ACL внутренние подсети.Вот так будет ACL выглядеть?
ip access-list extended ACL-ROOT
permit ip any 10.43.79.2 255.255.255.255
deny ip any 10.0.0.0 0.0.0.255
deny ip any 172.16.0.0 0.0.240.255
deny ip any 192.168.0.0 0.0.255.255 Почему то мой ACL
строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
Extended IP access list ACL-ROOT
10 permit ip any any
20 deny ip any 10.0.0.0 0.0.0.255
30 deny ip any 172.16.0.0 0.0.240.255
40 deny ip any 192.168.0.0 0.0.255.255
- Создать корректный маршрут, Andrey, 15:03 , 09-Фев-23 (8)
>[оверквотинг удален]
> deny ip any 10.0.0.0 0.0.0.255
> deny ip any 172.16.0.0 0.0.240.255
> deny ip any 192.168.0.0 0.0.255.255
> Почему то мой ACL
> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
> Extended IP access list ACL-ROOT
> 10 permit ip any any
> 20 deny ip any 10.0.0.0 0.0.0.255
> 30 deny ip any 172.16.0.0 0.0.240.255
> 40 deny ip any 192.168.0.0 0.0.255.255 Потому, что это обратная маска.
Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.
- Создать корректный маршрут, pogreb, 15:59 , 09-Фев-23 (9)
>[оверквотинг удален]
>> Почему то мой ACL
>> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
>> Extended IP access list ACL-ROOT
>> 10 permit ip any any
>> 20 deny ip any 10.0.0.0 0.0.0.255
>> 30 deny ip any 172.16.0.0 0.0.240.255
>> 40 deny ip any 192.168.0.0 0.0.255.255
> Потому, что это обратная маска.
> Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL
> ключевое слово host.ДА, ошибку нашел.
ACL теперь выглядит так ip access-list extended ACL-ROOT
permit ip host 10.43.79.2 any
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
На Фотригейте следующие маршруты 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled 0.0.0.0/0 SD-WAN Enabled 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
- Создать корректный маршрут, pogreb, 16:43 , 09-Фев-23 (10) +1
>[оверквотинг удален]
> deny ip any 172.16.0.0 0.15.255.255
> deny ip any 192.168.0.0 0.0.255.255
> При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
> На Фотригейте следующие маршруты
> 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
> 0.0.0.0/0 SD-WAN Enabled
> 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
> 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
> 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
> 10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled Правильно ли я настроил то, что хочу реализовать?
Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130.
Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам. Все так? ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?
- Создать корректный маршрут, kd, 08:28 , 10-Фев-23 (11) +2
>[оверквотинг удален]
> Правильно ли я настроил то, что хочу реализовать?
> Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130,
> мой запрос проходит через route-map, далее сверяется с ACL и видно
> что хочу гугл - меня бросает на хоп 10.3.0.130.
> Если же я хочу доступ к внутреннему серверу 1с, то при сверке
> с ACL я натыкаюсь на deny и меня должно пропустить по
> имеющимся маршрутам.
> Все так?
> ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на
> 3850?No, in ACL first you have to deny traffic for LAN then allow for Inet, like !
ip access-list extended ACL-ROOT
deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
!... deny also to internal white IPs/Networks if you have such
!... etc
permit ip host 10.43.79.2 any
!
end
- Создать корректный маршрут, pogreb, 10:44 , 10-Фев-23 (12) +1
>[оверквотинг удален]
> !
> ip access-list extended ACL-ROOT
> deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
> deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
> deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
> !... deny also to internal white IPs/Networks if you have such
> !... etc
> permit ip host 10.43.79.2 any
> !
> end Вот за это спасибо большое. Трафик пришел туда куда нужно. PS: Если я захочу сети добавить, то правило будет так выглядеть? deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255
deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255
deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать?
Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFC deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any Разрешающие сети я бы все таки каждую отдельно добавил
- Создать корректный маршрут, kd, 15:15 , 10-Фев-23 (13) +1
>[оверквотинг удален]
> И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети
> (по RFC) в правиле, как мне правильнее сделать?
> Нужен ACL который из всех внутренних сетей будет делать deny на все
> внутренние сети, а nex hop делать, только если запрос вышел за
> пределы RFC
> deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
> deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
> deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Разрешающие сети я бы все таки каждую отдельно добавил 1. no, for network you have to do so deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any 2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like
deny from 10 to 10
deny from 10 to 172
deny from 10 to 192
deny from 172 to 10
...
...
... but in general (it really depends on your network setup), you can do
deny from any to 10
deny from any to 172
deny from any to 192
then
allow from your net to any
... something like that - Создать корректный маршрут, pogreb, 13:20 , 13-Фев-23 (15)
>[оверквотинг удален]
> ...
> but in general (it really depends on your network setup), you can
> do
> deny from any to 10
> deny from any to 172
> deny from any to 192
> then
> allow from your net to any
> ...
> something like that Спасибо за ответ
- Создать корректный маршрут, Licha Morada, 00:54 , 11-Фев-23 (14)
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".
А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip. Конкретику вам уже всю объяснили выше по ветке, поздравляю.
Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.
И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.
И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. > Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные. Ну, вот он шанс попробовать и сей опыт обрести.
Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".
- Создать корректный маршрут, pogreb, 13:20 , 13-Фев-23 (16)
>[оверквотинг удален]
> И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до
> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
> Интернета вернулись куда надо.
> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>> она проц на моей 3850. Мнения разные.
> Ну, вот он шанс попробовать и сей опыт обрести.
> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
> остального. Потом будете при случае расказывать "да, я делал так-то и
> получилось вот что".Спасибо за разъяснение
- Создать корректный маршрут, pogreb, 16:39 , 10-Мрт-23 (17)
>[оверквотинг удален]
>> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
>> Интернета вернулись куда надо.
>> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>>> она проц на моей 3850. Мнения разные.
>> Ну, вот он шанс попробовать и сей опыт обрести.
>> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
>> остального. Потом будете при случае расказывать "да, я делал так-то и
>> получилось вот что".
> Спасибо за разъяснение Подскажите, пожалуйста, еще раз.
Делаю ACL для сетей deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any
Как правильно сеть 10.43.79.0/24 в permit прописать?
- Создать корректный маршрут, Andrey, 17:10 , 10-Мрт-23 (18)
>[оверквотинг удален]
>> Спасибо за разъяснение
> Подскажите, пожалуйста, еще раз.
> Делаю ACL для сетей
> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
> 255.255.255.0 any
> Как правильно сеть 10.43.79.0/24 в permit прописать?1. Наконец понять что такое wildcard и прямая маска.
2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
- Создать корректный маршрут, pogreb, 10:16 , 23-Мрт-23 (19)
>[оверквотинг удален]
>> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
>> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
>> permit ip 10.43.79.2 255.255.255.0 any
>> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
>> 255.255.255.0 any
>> Как правильно сеть 10.43.79.0/24 в permit прописать?
> 1. Наконец понять что такое wildcard и прямая маска.
> 2. Понять что если что-то попало в ACL и обработалось, то второй
> раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
> 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.Подскажите, пожалуйста, по новому косяку.
После всех вышеизложенных советов, у меня ACL выглядит так
Extended IP access list ACL-ROOT
10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)
20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)
30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)
40 permit ip 10.43.79.0 0.0.0.255 any (982 matches) Route-map ниже
distrib#sh route-map ROOT
route-map ROOT, permit, sequence 10
Match clauses:
ip address (access-lists): ACL-ROOT
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 1455 packets, 170877 bytes Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается.
В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)
- Создать корректный маршрут, pogreb, 11:12 , 24-Мрт-23 (20)
>[оверквотинг удален]
> Set clauses:
> ip next-hop 10.3.0.130
> Policy routing matches: 1455 packets, 170877 bytes
> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
> отваливается.
> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
> 10.3.0.130 (это прокся) Подскажите, пожалуйста, с моим вопросом
- Создать корректный маршрут, Andrey, 12:18 , 24-Мрт-23 (21)
>[оверквотинг удален]
>> ip next-hop 10.3.0.130
>> Policy routing matches: 1455 packets, 170877 bytes
>> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
>> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
>> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
>> отваливается.
>> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
>> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
>> 10.3.0.130 (это прокся)
> Подскажите, пожалуйста, с моим вопросом PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно.
Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).
Возможно проверять html код куда ведут ссылки на документы. Это вам нужен отдельный админ (и может не один), а не форум в интернете.
|
Версия для распечатки
Создать корректный маршрут, 
