URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20681
[ Назад ]

Исходное сообщение
"Cisco ASA 5510 static nat"
Отправлено des , 15-Мрт-10 12:16

Добрый день!
ПОмогите разобраться, пожалуйста.
Ситуация в следующем, есть два устройства Sprinter TX-10 (это мультиплексор для передачи потока E1 по IP сети...), которые нужно связать.
Устройство Sprinter1 имеет реальный IP адрес (например 1.2.3.4), а устройство Sprinter2 находится за Cisco ASA 5510, в dmz в IP 192.168.21.10/29.
Устройства связываются по sip и передают данные по портам 41000 и 41001.
Для работы я сделал следующее:
1. Разрешил весь входящий трафик с IP 1.2.3.4 на outside интерфейс.
access-list ACL_INT_O extended permit ip host 1.2.3.4 interface outside
access-list ACL_INT_O extended permit ip host 1.2.3.4 any
(access-list - ы на интерфейсы подключаются только как IN).
2. Разрешил весь входящий трафик с IP 192.168.21.10 на интерфейс dmz20.
access-list ACL_INT_D20 extended permit ip any any
3. Прописал static:
static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255
static (dmz20,outside) udp interface 41000 192.168.21.10 41000 netmask 255.255.255.255
static (dmz20,outside) udp interface 41001 192.168.21.10 41001 netmask 255.255.255.255
устройства не видят друг-друга....
гляжу пакеты проходящие через интерфейс dmz20:
sh capture
capture dmz type raw-data packet-length 9216 trace interface dmz20
sh capture dmz
1: 14:45:41.127328 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
2: 14:45:41.128762 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250
3: 14:45:42.129311 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
4: 14:45:42.130486 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250
5: 14:45:43.130989 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
пакеты по sip ходят туда обратно, на outside интерфейсе тоже вижу эти пакеты....
инспектирование sip отключено.
packet-tracer выдает странное.
Исходящее соединение пропускает:
1. packet-tracer input dmz20 udp 192.168.21.10 sip 1.2.3.4 sip
Result: ALLOW
А в обратную сторону - нет.
2. packet-tracer input outside udp 1.2.3.4 sip 192.168.21.10 sip
Result: DROP
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255
  match udp dmz20 host 192.168.21.10 eq 5060 outside any
    static translation to 1.2.3.4/5060
    translate_hits = 0, untranslate_hits = 3
В связи со всем вышеперечисленным, два вопроса:
1. Что я недонастроил?
2. Почему packet-tracer себя так ведет? (ведь я же в capture вижу что пакет реально проходит...).

Содержание

Cisco ASA 5510 static nat,des, 11:36 , 18-Мрт-10
- Cisco ASA 5510 static nat,des, 13:27 , 18-Мрт-10
  - Cisco ASA 5510 static nat,Ramon, 11:09 , 22-Апр-10
    - Cisco ASA 5510 static nat,des, 13:13 , 23-Апр-10

Сообщения в этом обсуждении

"Cisco ASA 5510 static nat"
Отправлено des , 18-Мрт-10 11:36

На второй вопрос возможно нашел ответ:
http://www.networking-forum.com/viewtopic.php?t=11846

Oh yeah, haha, packet-tracer is notoriously bad at accurately reflecting security policy especially when dealing with NAT. While it's a great tool sometimes, other times it can completely throw you off. I had an ASA once where I was planning to migrate a live site too, I wanted to check the security policy before the go-live so I used packet-tracer and was running into this weird "problem" where it was claiming to not follow the configuration properly. I ended up cutting a ticket with Cisco and they said something to the effect of "Yeah, packet-tracer sometimes doesn't work. Your configuration is right though, so just test it with live traffic." Sure enough, it did work.
Moral of the story = Don't trust packet-tracer

"Cisco ASA 5510 static nat"
Отправлено des , 18-Мрт-10 13:27

Засунул захваченный на выходе outside интерфейса трафик в wireshark, вижу следующее:
NAT отработал как надо, а вот на уровне SIP, точнее SDP вижу, что в полях:
1. owner/creator - owner address: 192.168.21.10
2. connection information - connection address: 192.168.21.10
может ли "cisco asa" на уровне SIP поменять этот адрес на реальный?

"Cisco ASA 5510 static nat"
Отправлено Ramon , 22-Апр-10 11:09

>Засунул захваченный на выходе outside интерфейса трафик в wireshark, вижу следующее:
>NAT отработал как надо, а вот на уровне SIP, точнее SDP вижу,
>что в полях:
>1. owner/creator - owner address: 192.168.21.10
>2. connection information - connection address: 192.168.21.10
>
>может ли "cisco asa" на уровне SIP поменять этот адрес на реальный?
>
Есть два варианта решения.
1. Если устройство Sprinter2 умеет работать за NAT в нем нужно указать публичный адрес NAT в специальном поле.
2. Нужно SBC это такой специальный NAT который не только "переворачивает" адрес в заголовке SIP пакета, но и "переворачивает" адрес в самой сигнализации SIP (внутри пакета).
Фирменные решения стоят "как дым от паравоза". Бесплатно см OpenSBC.

"Cisco ASA 5510 static nat"
Отправлено des , 23-Апр-10 13:13

>
>Есть два варианта решения.
>
>1. Если устройство Sprinter2 умеет работать за NAT в нем нужно указать
>публичный адрес NAT в специальном поле.
>
>2. Нужно SBC это такой специальный NAT который не только "переворачивает" адрес
>в заголовке SIP пакета, но и "переворачивает" адрес в самой сигнализации
>SIP (внутри пакета).
>Фирменные решения стоят "как дым от паравоза". Бесплатно см OpenSBC.
спасибо за ответ :)
не нашел такого поля...
пришлось выделить реальный адрес.