URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1429
[ Назад ]

Исходное сообщение
"Cisco 3825 проблемы с маршрутизацией"

Отправлено Дмитрий , 31-Июл-14 07:01 
День добрый!
Есть Cisco 3825, с настроенной AS и DMZ. Некоторые сервисы вынесенные в DMZ до последних пор были доступны из локальной сети, теперь - нет.
Вопрос - что такое могло произойти?
Конфигурация маршрутизатора не менялась...
Симптомы: снаружи сервисы из DMZ доступны - всё работает, из локальной сети ping не работает, tracert - может выдавать искомый сервис на 2 хопе, может на 8-м.
DMZ имеет адреса из AS.

Прошу помощи, может кто-то сталкивался с подобной проблемой?


Содержание

Сообщения в этом обсуждении
"Cisco 3825 проблемы с маршрутизацией"
Отправлено rusadmin , 31-Июл-14 09:01 
>[оверквотинг удален]
> Есть Cisco 3825, с настроенной AS и DMZ. Некоторые сервисы вынесенные в
> DMZ до последних пор были доступны из локальной сети, теперь -
> нет.
> Вопрос - что такое могло произойти?
> Конфигурация маршрутизатора не менялась...
> Симптомы: снаружи сервисы из DMZ доступны - всё работает, из локальной сети
> ping не работает, tracert - может выдавать искомый сервис на 2
> хопе, может на 8-м.
> DMZ имеет адреса из AS.
> Прошу помощи, может кто-то сталкивался с подобной проблемой?

Конфиги? Логи?
Отпускной период ныче...


"Cisco 3825 проблемы с маршрутизацией"
Отправлено star117 , 31-Июл-14 09:41 
Конфиг прилагаю, а лог... что именно нужно отобразить?


!
! Last configuration change at 12:40:21 NOVST Wed Jul 30 2014 by star
! NVRAM config last updated at 12:40:38 NOVST Wed Jul 30 2014 by star
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
aaa group server radius XXXX
server-private 10.x.x.11 auth-port 1812 acct-port 1813 key 7 ghghghghghghghghgghghgh
!
aaa authentication login default local
aaa authentication ppp default group XXXX
aaa authorization exec default local
aaa authorization network pptp group XXXX
!
!
aaa session-id common
clock timezone NOVST 7
clock calendar-valid
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxx.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login on-failure log
login on-success log
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
vpdn enable
!
vpdn-group XXXX_VPN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
ip mtu adjust
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username star privilege 15 secret 5 $1$sb2w$VHqYQ.9uOani3vXmB3V061
archive
log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys
path tftp://10.x.x.5/config/cisco/3825/$h
write-memory
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key cONNEcTOr address 85.x.x.206 no-xauth
!
!
crypto ipsec transform-set COT esp-des esp-md5-hmac
no crypto ipsec nat-transparency udp-encaps
!
crypto map DFL260E local-address Loopback0
crypto map DFL260E 10 ipsec-isakmp
set peer 85.x.x.206
set security-association lifetime seconds 28800
set transform-set COT
set pfs group2
match address KTI_ADDRESS
!
!
!
ip ssh port 3215 rotary 1
ip ssh version 2
!
!
!
!
interface Loopback0
description KTI_IPSec
ip address 92.x.x.64 255.255.255.255
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.20
description Link_for_AS_91.x.x4.0/22
encapsulation dot1Q 20
ip address 91.x.x5.162 255.255.255.252
no ip redirects
no ip proxy-arp
no cdp enable
!
interface GigabitEthernet0/0.25
description AS_DMZ
encapsulation dot1Q 25
ip address 10.90.90.111 255.255.0.0 secondary
ip address 92.x.x.1 255.255.255.192
ip access-group port22dis in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ntp disable
no cdp enable
!
interface GigabitEthernet0/0.55
description ISP1
encapsulation dot1Q 55
ip address 85.x.x.146 255.255.255.252
ip nat outside
ip virtual-reassembly
no cdp enable
crypto map DFL260E
!
interface GigabitEthernet0/0.60
description ISP2 encapsulation dot1Q 60
ip address 95.x.x.70 255.255.255.252
ip access-group port22dis in
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
no cdp enable
crypto map DFL260E
!
interface GigabitEthernet0/0.77
description ISP3 encapsulation dot1Q 77
ip address 178.x.x.38 255.255.255.252
ip access-group port22dis in
ip nat outside
ip virtual-reassembly
no cdp enable
crypto map DFL260E
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.13.1 255.255.255.0 secondary
ip address 10.x.x.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0.25
peer default ip address pool VPN_POOL
ppp encrypt mppe auto required
ppp authentication ms-chap-v2
ppp authorization pptp
ppp eap refuse
ppp chap refuse
ppp pap refuse
ppp ipcp dns 10.x.x.22
!
router bgp 62036
bgp router-id 92.x.x.1
bgp log-neighbor-changes
neighbor 85.x.x.145 remote-as <asnum>
neighbor 85.x.x.145 description ISP1_fullview
neighbor 91.x.x5.161 remote-as <asnum>
neighbor 91.x.x5.161 description Max_La
neighbor 95.x.x.69 remote-as <asnum>
neighbor 95.x.x.69 description ISP2_fullview
neighbor 178.x.x.37 remote-as <asnum>
neighbor 178.x.x.37 description ISP3_fullview
!
address-family ipv4
  neighbor 85.x.x.145 activate
  neighbor 85.x.x.145 next-hop-self
  neighbor 85.x.x.145 soft-reconfiguration inbound
  neighbor 85.x.x.145 prefix-list BGP_ADVERT out
  neighbor 91.x.x5..161 activate
  neighbor 91.x.x5..161 next-hop-self
  neighbor 91.x.x5..161 soft-reconfiguration inbound
  neighbor 91.x.x5..161 prefix-list BGP_ADVERT out
  neighbor 95.x.x.69 activate
  neighbor 95.x.x.69 next-hop-self
  neighbor 95.x.x.69 soft-reconfiguration inbound
  neighbor 95.x.x.69 prefix-list BGP_ADVERT out
  neighbor 178.x.x.37 activate
  neighbor 178.x.x.37 next-hop-self
  neighbor 178.x.x.37 soft-reconfiguration inbound
  neighbor 178.x.x.37 prefix-list BGP_ADVERT out
  no auto-summary
  no synchronization
  network 92.x.x.0 mask 255.255.255.0
exit-address-family
!
ip local pool VPN_POOL 10.x.x.101 10.x.x.110
ip forward-protocol nd
ip route 92.x.x.0 255.255.255.0 Null0
ip route 172.16.0.0 255.240.0.0 Null0
no ip http server
no ip http secure-server
!
ip flow-export source GigabitEthernet0/1.1
ip flow-export version 5
ip flow-export destination 10.x.x.16 10001
!
ip nat pool NATPOOL 92.x.x.2 92.x.x.2 prefix-length 26
ip nat inside source list LAN_TO_INET pool NATPOOL overload
ip nat inside source static tcp 10.x.x.11 3389 92.x.x.2 3389 extendable
ip nat inside source static tcp 10.x.x.127 1111 178.x.x.38 1111 extendable
ip nat inside source static udp 10.x.x.127 1111 178.x.x.38 1111 extendable
!
ip access-list extended KTI_ADDRESS
permit ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
ip access-list extended LAN_TO_INET
deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 10.x.x.0 0.0.0.255 any
ip access-list extended ntp_clients
permit udp 10.x.x.0 0.0.0.255 host 10.x.x.1 eq ntp log-input
deny   ip any any log-input
ip access-list extended ntp_servers
permit udp host 31.135.95.60 any log-input
permit udp host 78.140.251.2 any log-input
permit udp host 91.207.136.50 any log-input
permit udp host 194.33.191.69 any log-input
deny   ip any any log-input
ip access-list extended port22dis
deny   tcp any host 92.x.x.1 eq 22
deny   tcp any host 91.x.x5..14 eq 22
deny   tcp any host 85.x.x.146 eq 22
deny   tcp any host 95.x.x.70 eq 22
deny   tcp any host 178.x.x.38 eq 22
deny   tcp any host 89.31.114.162 eq 22
permit ip any any
!
!
ip prefix-list BGP_ADVERT seq 10 permit 92.x.x.0/24
ip radius source-interface GigabitEthernet0/1.1
logging trap debugging
logging 10.x.x.127
access-list 101 permit icmp any any
access-list 101 deny   ip any any
access-list 110 permit tcp any host 91.x.x5..17
access-list 110 deny   ip any host 91.x.x5..17
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
rotary 1
transport input ssh
line vty 5 15
exec-timeout 5 0
privilege level 15
logging synchronous
rotary 1
transport input ssh
!
scheduler allocate 20000 1000
ntp logging
ntp source GigabitEthernet0/0.25
ntp access-group peer ntp_servers kod
ntp access-group serve ntp_clients kod
ntp master 2
ntp update-calendar
ntp server 78.140.251.2 source GigabitEthernet0/0.25
ntp server 91.207.136.50 source GigabitEthernet0/0.25
ntp server 31.135.95.60 prefer source GigabitEthernet0/0.25
ntp server 194.33.191.69 source GigabitEthernet0/0.25
end


"Cisco 3825 проблемы с маршрутизацией"
Отправлено rusadmin , 31-Июл-14 10:01 
>>interface GigabitEthernet0/0.25
>>description AS_DMZ
>>encapsulation dot1Q 25
>>ip address 10.90.90.111 255.255.0.0 secondary
>>ip address 92.x.x.1 255.255.255.192
>>ip access-group port22dis in

Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?
У вас еще access-list port22dis  отсутствует в конфиге...


"Cisco 3825 проблемы с маршрутизацией"
Отправлено star117 , 01-Авг-14 05:47 
>>>interface GigabitEthernet0/0.25
>>>description AS_DMZ
>>>encapsulation dot1Q 25
>>>ip address 10.90.90.111 255.255.0.0 secondary
>>>ip address 92.x.x.1 255.255.255.192
>>>ip access-group port22dis in
> Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?
> У вас еще access-list port22dis  отсутствует в конфиге...

Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).
access-list port22dis в конфиге присутствует.


"Cisco 3825 проблемы с маршрутизацией"
Отправлено kd , 01-Авг-14 12:33 
>>>>interface GigabitEthernet0/0.25
>>>>description AS_DMZ
>>>>encapsulation dot1Q 25
>>>>ip address 10.90.90.111 255.255.0.0 secondary
>>>>ip address 92.x.x.1 255.255.255.192
>>>>ip access-group port22dis in
>> Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?
>> У вас еще access-list port22dis  отсутствует в конфиге...
> Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).
> access-list port22dis в конфиге присутствует.

Зачем NAT-ит из LAN в AS_DMZ?

Сделаите ACL для НАТ-а так.

ip access-list extended LAN_TO_INET
deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
deny   ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192
permit ip 10.x.x.0 0.0.0.255 any


"Cisco 3825 проблемы с маршрутизацией"
Отправлено kd , 01-Авг-14 15:34 
>[оверквотинг удален]
>>> Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?
>>> У вас еще access-list port22dis  отсутствует в конфиге...
>> Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).
>> access-list port22dis в конфиге присутствует.
> Зачем NAT-ит из LAN в AS_DMZ?
> Сделаите ACL для НАТ-а так.
> ip access-list extended LAN_TO_INET
> deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
> deny   ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192
> permit ip 10.x.x.0 0.0.0.255 any

имею ввиду:
ip access-list extended LAN_TO_INET
deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
deny   ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63
permit ip 10.x.x.0 0.0.0.255 any


"Cisco 3825 проблемы с маршрутизацией"
Отправлено star117 , 02-Авг-14 11:15 
>[оверквотинг удален]
>> Сделаите ACL для НАТ-а так.
>> ip access-list extended LAN_TO_INET
>> deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
>> deny   ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192
>> permit ip 10.x.x.0 0.0.0.255 any
> имею ввиду:
> ip access-list extended LAN_TO_INET
> deny   ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255
> deny   ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63
> permit ip 10.x.x.0 0.0.0.255 any

Спасибо kd - заработало!
У меня к тебе 2 вопроса. Сам я небольшой спец по Cisco, поэтому:
1. Почему запрет на прохождение пакетов в ACL дал эффект прохождения пакетов в моей ситуации?
2. NAT не нужен, но я не совсем понимаю как сделать иначе, чтобы пакеты бегали из LAN в DMZ и обратно?

Заранее спасибо



"Cisco 3825 проблемы с маршрутизацией"
Отправлено karen durinyan , 02-Авг-14 16:13 
>[оверквотинг удален]
>> deny   ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63
>> permit ip 10.x.x.0 0.0.0.255 any
> Спасибо kd - заработало!
> У меня к тебе 2 вопроса. Сам я небольшой спец по Cisco,
> поэтому:
> 1. Почему запрет на прохождение пакетов в ACL дал эффект прохождения пакетов
> в моей ситуации?
> 2. NAT не нужен, но я не совсем понимаю как сделать иначе,
> чтобы пакеты бегали из LAN в DMZ и обратно?
> Заранее спасибо

Рад помочь.
ACL LAN_TO_INET связан именно с NAT:
ip nat inside source list LAN_TO_INET pool NATPOOL overload

Запретив в ACL доступ из 10.x.x.0/24 в 92.x.x.0/26 вы именно запрещаете NAT из LAN в AS_DMZ.
Можно было удалить ip nat outside из под AS_DMZ интерфейса, эффект был бы тот же самый, но это зависит от конкретной цели и задачи.


"Cisco 3825 проблемы с маршрутизацией"
Отправлено star117 , 02-Авг-14 20:54 
>[оверквотинг удален]
>> чтобы пакеты бегали из LAN в DMZ и обратно?
>> Заранее спасибо
> Рад помочь.
> ACL LAN_TO_INET связан именно с NAT:
> ip nat inside source list LAN_TO_INET pool NATPOOL overload
> Запретив в ACL доступ из 10.x.x.0/24 в 92.x.x.0/26 вы именно запрещаете NAT
> из LAN в AS_DMZ.
> Можно было удалить ip nat outside из под AS_DMZ интерфейса, эффект был
> бы тот же самый, но это зависит от конкретной цели и
> задачи.

Понял, спасибо.
Удачи