forum.opennet.ru - "Не открываются SSL-сайты через Cisco" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не открываются SSL-сайты через Cisco"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не открываются SSL-сайты через Cisco"
Сообщение от avichi (ok) on 24-Июн-08, 20:01
Ситуация такая: Cisco 2811, на ней настроен проброс портов 25, 80 и 443 на эксчендж 2007. По 25-му и 80-му портам все работает на ура, по 443-му - "невозможно отобразить страницу". Изнутри сети доступ есть. Помогите, пожалуйста. лог такой: ! interface FastEthernet0/0 description INET_XXX.XXX.131.28/30 ip address XXX.XXX.131.30 255.255.255.252 ip access-group INCOMING in ip nat outside ip inspect IPFW out ip ips IPS in ip virtual-reassembly duplex full speed 100 crypto map EASYMAP ! interface FastEthernet0/1 description Server_Net_10.224.1.0/24 ip address 10.224.1.2 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! ! no ip http server ip http authentication local ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list NAT interface FastEthernet0/0 overload ip nat inside source static tcp 10.224.1.50 80 XXX.XXX.131.30 80 extendable ip nat inside source static tcp 10.224.1.50 443 XXX.XXX.131.30 443 extendable ip nat inside source static tcp 10.224.1.50 25 XXX.XXX.131.30 25 extendable ! ip access-list extended EASY permit ip 10.224.1.0 0.0.0.255 any ip access-list extended INCOMING permit udp any any eq isakmp permit udp any any eq non500-isakmp permit esp any any permit tcp any host XXX.XXX.131.30 eq 80 permit tcp any host XXX.XXX.131.30 eq 25 permit tcp any host XXX.XXX.131.30 eq 443 permit esp any host XXX.XXX.131.30 permit gre any host XXX.XXX.131.30 permit icmp any any permit ip any 10.224.1.0 0.0.0.255 deny ip any any log-input ip access-list extended IPS-INSPECT permit ip any any ip access-list extended NAT deny ip 10.224.1.0 0.0.0.255 172.16.26.0 0.0.0.255 permit ip 10.224.1.0 0.0.0.255 any permit ip 172.16.25.0 0.0.0.255 any permit ip any any ! cisco2811#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp XXX.XXX.131.30:25 10.224.1.180:25 --- --- tcp XXX.XXX.131.30:80 10.224.1.180:80 --- --- tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481 tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Не открываются SSL-сайты через Cisco, CrAzOiD, 02:31 , 25-Июн-08, (1)

Не открываются SSL-сайты через Cisco, avichi, 10:08 , 25-Июн-08, (2)

Не открываются SSL-сайты через Cisco, CrAzOiD, 16:06 , 25-Июн-08, (4)

Не открываются SSL-сайты через Cisco, chesnok, 11:59 , 25-Июн-08, (3)

Не открываются SSL-сайты через Cisco, avichi, 16:54 , 25-Июн-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не открываются SSL-сайты через Cisco"

Сообщение от CrAzOiD (ok) on 25-Июн-08, 02:31

>[оверквотинг удален]
>permit ip 172.16.25.0 0.0.0.255 any
>permit ip any any
>!
>
>cisco2811#show ip nat translations
>Pro Inside global Inside local Outside local Outside global
>tcp XXX.XXX.131.30:25 10.224.1.180:25 --- ---
>tcp XXX.XXX.131.30:80 10.224.1.180:80 --- ---
>tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481
>tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---
1. покажите что у вас в inspect настроено
2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не мешало бы привести

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не открываются SSL-сайты через Cisco"

Сообщение от avichi (ok) on 25-Июн-08, 10:08

>1. покажите что у вас в inspect настроено
>2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не
>мешало бы привести
Вот список inspect и ips
Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и все работает.
Как обойти эту проблему?
ip inspect log drop-pkt
ip inspect max-incomplete high 1700
ip inspect max-incomplete low 1500
ip inspect one-minute high 1100
ip inspect one-minute low 900
ip inspect udp idle-time 25
ip inspect dns-timeout 7
ip inspect tcp idle-time 21600
ip inspect tcp finwait-time 7
ip inspect tcp synwait-time 15
ip inspect tcp block-non-session
ip inspect tcp max-incomplete host 50 block-time 3
ip inspect name IPFW fragment maximum 1000 timeout 1
ip inspect name IPFW tcp alert on
ip inspect name IPFW udp alert on
ip inspect name IPFW icmp alert on
ip inspect name IPFW ftp
ip inspect name IPFW citrix
ip inspect name IPFW pop3
ip inspect name IPFW imap
ip inspect name IPFW telnet
ip inspect name IPFW ntp alert on
ip inspect name IPFW dns
ip inspect name IPFW ssh alert on audit-trail on
ip inspect name IPFW aol
ip inspect name IPFW smtp
ip inspect name IPFW http
ip inspect name IPFW isakmp
ip inspect name IPFW ipsec-msft
ip inspect name IPFW ica
ip inspect name IPFW icabrowser
ip inspect name IPFW https
ip ips sdf location flash:128MB.sdf
ip ips deny-action ips-interface
ip ips signature 2004 0 disable
ip ips signature 2000 0 disable
ip ips signature 2001 0 disable
ip ips signature 2005 0 disable
ip ips signature 4050 0 disable
ip ips name IPS list IPS-INSPECT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не открываются SSL-сайты через Cisco"

Сообщение от CrAzOiD (ok) on 25-Июн-08, 16:06

>>1. покажите что у вас в inspect настроено
>>2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не
>>мешало бы привести
>
>Вот список inspect и ips
>Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и
>все работает.
>
>Как обойти эту проблему?
>
дай команду
no ip inspect name IPFW https

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не открываются SSL-сайты через Cisco"

Сообщение от chesnok (ok) on 25-Июн-08, 11:59

>[оверквотинг удален]
>permit ip 172.16.25.0 0.0.0.255 any
>permit ip any any
>!
>
>cisco2811#show ip nat translations
>Pro Inside global Inside local Outside local Outside global
>tcp XXX.XXX.131.30:25 10.224.1.180:25 --- ---
>tcp XXX.XXX.131.30:80 10.224.1.180:80 --- ---
>tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481
>tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---
Какое значение MTU на интерфейсах ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не открываются SSL-сайты через Cisco"

Сообщение от avichi (ok) on 25-Июн-08, 16:54

>Какое значение MTU на интерфейсах ?
на обоих интерфейсах MTU 1300.
Убрал из конфига строку ip inspect tcp block-non-session и все заработало.
Она блокировала входящие TCP соединения. Почему блокировка касалась только SSL-соединений - пока не ясно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не открываются SSL-сайты через Cisco"
Сообщение от CrAzOiD (ok) on 25-Июн-08, 02:31
>[оверквотинг удален] >permit ip 172.16.25.0 0.0.0.255 any >permit ip any any >! > >cisco2811#show ip nat translations >Pro Inside global Inside local Outside local Outside global >tcp XXX.XXX.131.30:25 10.224.1.180:25 --- --- >tcp XXX.XXX.131.30:80 10.224.1.180:80 --- --- >tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481 >tcp XXX.XXX.131.30:443 10.224.1.180:443 --- --- 1. покажите что у вас в inspect настроено 2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не мешало бы привести
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Не открываются SSL-сайты через Cisco"
	Сообщение от avichi (ok) on 25-Июн-08, 10:08
	>1. покажите что у вас в inspect настроено >2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не >мешало бы привести Вот список inspect и ips Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и все работает. Как обойти эту проблему? ip inspect log drop-pkt ip inspect max-incomplete high 1700 ip inspect max-incomplete low 1500 ip inspect one-minute high 1100 ip inspect one-minute low 900 ip inspect udp idle-time 25 ip inspect dns-timeout 7 ip inspect tcp idle-time 21600 ip inspect tcp finwait-time 7 ip inspect tcp synwait-time 15 ip inspect tcp block-non-session ip inspect tcp max-incomplete host 50 block-time 3 ip inspect name IPFW fragment maximum 1000 timeout 1 ip inspect name IPFW tcp alert on ip inspect name IPFW udp alert on ip inspect name IPFW icmp alert on ip inspect name IPFW ftp ip inspect name IPFW citrix ip inspect name IPFW pop3 ip inspect name IPFW imap ip inspect name IPFW telnet ip inspect name IPFW ntp alert on ip inspect name IPFW dns ip inspect name IPFW ssh alert on audit-trail on ip inspect name IPFW aol ip inspect name IPFW smtp ip inspect name IPFW http ip inspect name IPFW isakmp ip inspect name IPFW ipsec-msft ip inspect name IPFW ica ip inspect name IPFW icabrowser ip inspect name IPFW https ip ips sdf location flash:128MB.sdf ip ips deny-action ips-interface ip ips signature 2004 0 disable ip ips signature 2000 0 disable ip ips signature 2001 0 disable ip ips signature 2005 0 disable ip ips signature 4050 0 disable ip ips name IPS list IPS-INSPECT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Не открываются SSL-сайты через Cisco"
	Сообщение от CrAzOiD (ok) on 25-Июн-08, 16:06
	>>1. покажите что у вас в inspect настроено >>2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не >>мешало бы привести > >Вот список inspect и ips >Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и >все работает. > >Как обойти эту проблему? > дай команду no ip inspect name IPFW https
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Не открываются SSL-сайты через Cisco"
Сообщение от chesnok (ok) on 25-Июн-08, 11:59
>[оверквотинг удален] >permit ip 172.16.25.0 0.0.0.255 any >permit ip any any >! > >cisco2811#show ip nat translations >Pro Inside global Inside local Outside local Outside global >tcp XXX.XXX.131.30:25 10.224.1.180:25 --- --- >tcp XXX.XXX.131.30:80 10.224.1.180:80 --- --- >tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481 >tcp XXX.XXX.131.30:443 10.224.1.180:443 --- --- Какое значение MTU на интерфейсах ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Не открываются SSL-сайты через Cisco"
	Сообщение от avichi (ok) on 25-Июн-08, 16:54
	>Какое значение MTU на интерфейсах ? на обоих интерфейсах MTU 1300. Убрал из конфига строку ip inspect tcp block-non-session и все заработало. Она блокировала входящие TCP соединения. Почему блокировка касалась только SSL-соединений - пока не ясно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]