URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22930
[ Назад ]
Исходное сообщение
"Не удается подключится к роутеру"
Отправлено async , 28-Июл-11 11:40 
Доброго времени суток.
Компания приобрела ASA5505 для замены прежнего Unix маршрутизатора.
Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.
С удивлением для себя обнаружил, что подключится к нему с рабочей станции, находящейся в локальной сети я не могу. Но зато могу подключиться через любой промежуточный сервер, находящийся с роутером в общей DMZ зоне. Интернет доступ в свою очередь работает.
в access-list добавлено правило 10 line 1 extended permit ip any any.

Схема в виде изображения размещена http://www.fayloobmennik.net/832665

У кого есть идеи где может быть подвох.

Содержание
Сообщения в этом обсуждении
"Не удается подключится к роутеру"
Отправлено qwek , 28-Июл-11 20:51 
> Доброго времени суток.
> У кого есть идеи где может быть подвох.

Таблицу маршрутизации cisco не хотите показать?

show ip route

"Не удается подключится к роутеру"
Отправлено OvDP , 29-Июл-11 09:44 
> Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.

конфиг покажите полный

"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 10:34 
: Saved
:
ASA Version 8.2(1)
!
hostname Router
domain-name dmz
enable password xxxxxxxx encrypted
passwd xxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
ip address 85.85.84.17 255.255.255.128
!
interface Vlan5
no forward interface Vlan1
nameif dmz
security-level 50
ip address dhcp
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service rdp tcp
description Remote Desktop
port-object eq 3389
access-list inside_access_in extended permit ip any any log disable
access-list inside_access_in_1 extended permit ip any any log emergencies
access-list 1 standard permit any
access-list outside_access_in extended permit ip any any log disable
access-list inside_test extended permit icmp any any
access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.192
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool vpn 192.168.250.10-192.168.250.50 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
static (outside,inside) tcp 85.85.85.116 3389 85.85.84.17 3389 netmask 255.255.255.255
access-group inside_access_in in interface inside control-plane
access-group inside_access_in_1 in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 85.85.84.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 85.85.85.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca server
shutdown
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh scopy enable
ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
webvpn
username monitor password KEQRmOrieLtgCIos encrypted privilege 15
username monitor attributes
service-type nas-prompt
username admin password JNn1gpG255bKRs.r encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpnclient
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
prompt hostname context
Cryptochecksum:xxxxxxxxxxxxxxxxxx
: end

"Не удается подключится к роутеру"
Отправлено OvDP , 29-Июл-11 10:49 
что то у вас пояснения на рисунке не совпадают с конфигой... ещё раз подробнее опишите проблему. что куда цепляете и от куда есть/нет конекта к асе
да и Vlan5 не назначен ни на какой интерфейс...
"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 10:54 
CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, который выполняет NAT из локальной сети. Но с локальной сети CISCO не видна.

"Не удается подключится к роутеру"
Отправлено OvDP , 29-Июл-11 11:28 
> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.

а зачем такое странное подключение через юникс?
если напрямую подцепиться к асе компом то есть конект?

"Не удается подключится к роутеру"
Отправлено qwek , 29-Июл-11 11:38 
> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.

Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall и не получаете доступа по ssh, это верно?

"Не удается подключится к роутеру"
Отправлено OvDP , 29-Июл-11 11:40 
>> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
>> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
>> который выполняет NAT из локальной сети. Но с локальной сети CISCO
>> не видна.
> Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall
> и не получаете доступа по ssh, это верно?

vlan5 судя по конфигу никуда не назначен

"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 12:06 
Напрямую подключаюсь без проблем.
С Unix подключаюсь без проблем, так как он находится в одной IP сети с ASA5505.
Unix  - корпоративный VPN сервер.
Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в локальной сети (192.168.100.111 пример.)  
У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для локальной сети.
Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) в которой одним интерфесом смотрят ряд серверов в том числе этот же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
Существует только Vlan 1 и Vlan 2  - внешний и внутрений интерфейс ASA. Vlan 5 остался в конфиге он в принципе не нужен его я просто удалю из конфига.
"Не удается подключится к роутеру"
Отправлено qwek , 29-Июл-11 13:37 
>[оверквотинг удален]
> Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в
> локальной сети (192.168.100.111 пример.)
> У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для
> локальной сети.
> Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х)
> в которой одним интерфесом смотрят ряд серверов в том числе этот
> же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
> Существует только Vlan 1 и Vlan 2  - внешний и внутрений
> интерфейс ASA. Vlan 5 остался в конфиге он в принципе не
> нужен его я просто удалю из конфига.

Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco?

"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 12:06 
как уже писал по SSH могу попасть только если нахожусь с ASA в одной IP сети.

"Не удается подключится к роутеру"
Отправлено OvDP , 29-Июл-11 13:14 
> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.

дизайн у вас всё же странный... цепочка какая то... у асы base лицензия? зачем впн сервер в разрыв если аса умеет принимать впн и делать нат?

"Не удается подключится к роутеру"
Отправлено Aleks305 , 29-Июл-11 13:43 
>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> дизайн у вас всё же странный... цепочка какая то... у асы base
> лицензия? зачем впн сервер в разрыв если аса умеет принимать впн
> и делать нат?

покажите show route. на unix nat есть?

"Не удается подключится к роутеру"
Отправлено qwek , 29-Июл-11 13:39 
> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.

Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco через nat?

"Не удается подключится к роутеру"
Отправлено Aleks305 , 29-Июл-11 13:47 
>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco
> через nat?

ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside

попробуйте оставить одну строчку

"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 14:34 
Комрады привел вот к такому состоянию конфиг:


Rt-Onlime# show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname Rt-Onlime
domain-name dmz
enable password 8xxxx encrypted
passwd Kxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 100
ip address 85.85.84.17 255.255.255.128
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 85.30.202.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 85.30.238.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 90
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0

no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username admin password vxxxx encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:xxx
: end

"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 14:36 
Rt-Onlime# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 85.30.202.1 to network 0.0.0.0

C    85.30.202.0 255.255.255.128 is directly connected, outside
C    85.30.238.112 255.255.255.240 is directly connected, inside
S*   0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside

"Не удается подключится к роутеру"
Отправлено qwek , 29-Июл-11 16:33 
> C    85.30.202.0 255.255.255.128 is directly connected, outside
> C    85.30.238.112 255.255.255.240 is directly connected, inside
> S*   0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside

Давайте отделим котлеты от мух.

Доступ по ssh:
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
разрешен


подключение со стороны Unix Firewal и подсети 85.85.85.0 255.255.255.240 осуществляется без проблем

доступ со стороны локальной сети через NAT не получается никак.

С моей точки зрения проблема в Unix Firewall. Попробуйте для своего ip адреса локального поднять алиас на Unix Firewall, для начала. Затем проверьте внимательно правила ipfw (или чего там у вас) на Unix Firewall, вдруг чего не доглядели. Отпишитесь о результате.

"Не удается подключится к роутеру"
Отправлено гость , 29-Июл-11 16:51 
алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show | grep divert для natd, ps-ax | grep natd для него же, если кернел нат ipfw show | grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.
"Не удается подключится к роутеру"
Отправлено async , 29-Июл-11 17:02 
В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает.
Nat реализован средствами natd все пакеты транслируются корректно.
Напомню что на ASA5505 permit ip any any.


"Не удается подключится к роутеру"
Отправлено qwek , 29-Июл-11 19:14 
> В случае если заменить ASA5505 на Cisco 800 связь из локальной сети
> работает.
> Nat реализован средствами natd все пакеты транслируются корректно.
> Напомню что на ASA5505 permit ip any any.

ssh version 2 на обоих?

Кстати, с праздником всех.

"Не удается подключится к роутеру"
Отправлено async , 01-Авг-11 11:18 
Да оба маршрутизатора использую вторую версию Secure Shell.
"Не удается подключится к роутеру"
Отправлено OvDP , 01-Авг-11 12:36 
> Да оба маршрутизатора использую вторую версию Secure Shell.

глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?

"Не удается подключится к роутеру"
Отправлено async , 01-Авг-11 15:00 
собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.
"Не удается подключится к роутеру"
Отправлено OvDP , 01-Авг-11 18:49 
> собственно на него как раз и не удается попасть. Нет не пингуется.
> Внешний с мира пингуется нормально.

вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.

"Не удается подключится к роутеру"
Отправлено async , 03-Авг-11 14:51 
Зачем route у меня же NAT.

"Не удается подключится к роутеру"
Отправлено OvDP , 03-Авг-11 17:25 
> Зачем route у меня же NAT.

есть подозрение на некорректную работу ната.
sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.