URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 997
[ Назад ]

Исходное сообщение
"Проблема маршрутизации пакетов между удаленными подсетями"

Отправлено xev , 07-Окт-13 09:41 
Имеются два офиса
В каждом офисе: Cisco ASA, за которой MS Forefront, за которым локальные подсети
Между ciscoASA настроен vpn-туннель  для связи локальных подсетей офисов
На CiscoASA и ForeFront настроены правила, разрешающие трафик между подсетями
Офис 1 имеет подсети: 10.0.1.0, 10.0.2.0
Офис 2 имеет подсети: 192.168.16.0, 192.168.5.0

Настройки офиса 1
Адрес внутренней сетевой карты ForeFront: 10.0.1.9
Адрес внешней сетевой карты ForeFront: 10.100.100.2
Адрес внутреннего интерфейса CiscoASA: 10.100.100.1

Вывод команды route print на MS ForeFront:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.100.100.1     10.100.100.2    276
         10.0.1.0    255.255.255.0         On-link          10.0.1.9    276
         10.0.1.9  255.255.255.255         On-link          10.0.1.9    276
       10.0.1.255  255.255.255.255         On-link          10.0.1.9    276
         10.0.2.0    255.255.255.0         On-link          10.0.1.9     21
       10.0.2.255  255.255.255.255         On-l

ink          10.0.1.9    286
         10.100.100.0  255.255.255.252         On-link      10.100.100.2    276
     10.100.100.2  255.255.255.255         On-link      10.100.100.2    276
     10.100.100.3  255.255.255.255         On-link      10.100.100.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.0.1.9    276
        224.0.0.0        240.0.0.0         On-link      10.100.100.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.0.1.9    276
  255.255.255.255  255.255.255.255         On-link      10.100.100.2    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
         10.0.2.0    255.255.255.0         10.0.1.9       1
       10.0.2.255  2

55.255.255.255         10.0.1.9     266
          0.0.0.0          0.0.0.0     10.100.100.1  По умолчанию
===========================================================================

Настройки офиса 2
Адреса внутренней сетевой карты ForeFront: 192.168.16.2, 192.168.5.1
Адрес внешней сетевой карты ForeFront: 10.101.101.2
Адрес внутреннего интерфейса CiscoASA: 10.101.101.1
Вывод команды route print на forefront:
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.101.101.1     10.101.101.2    276
     10.101.101.0  255.255.255.252         On-link      10.101.101.2    276
     10.101.101.2  255.255.255.255         On-link      10.101.101.2    276
     10.101.101.3  255.255.255.255         On-link      10.101.101.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.16

8.0.1    276
      192.168.0.1  255.255.255.255         On-link       192.168.0.1    276
    192.168.0.255  255.255.255.255         On-link       192.168.0.1    276
      192.168.5.0    255.255.255.0         On-link       192.168.5.1    276
      192.168.5.1  255.255.255.255         On-link       192.168.5.1    276
    192.168.5.255  255.255.255.255         On-link       192.168.5.1    276
     192.168.16.0    255.255.255.0         On-link       192.168.5.1    276
     192.168.16.2  255.255.255.255         On-link       192.168.5.1    276
   192.168.16.255  255.255.255.255         On-link       192.168.5.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.5.1    276
        224.0.0.0        240.0.0.0         On-link      10.101.101.2    276
        224.0.0.0        240.0.0.0         On-link       192.168.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.5.1    276
  255.255.255.255  255.255.255.255         On-link      10.101.101.2    276
  255.255.255.255  255.255.255.

255         On-link       192.168.0.1    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0     10.101.101.1  По умолчанию
===========================================================================

Проблема в следующем:
Пинги из сети  10.0.1.0 в сеть 192.168.16.0 не проходят, из сети 192.168.16.0 в 10.0.1.0 тоже.
При анализе снифером во время пинга из сети 192.168.16.0 в сеть 10.0.1.0, видно, что пакет доходит до адреса назначения в сети 10.0.1.0, там формируется ответ, но этот ответ на Пк в сети 192.168.16.0 не появляется
При анализе снифером во время пинга из сети 10.0.1.0 в сеть 192.168.16.0, пакет вообще не доходит до адреса назначения в сети 192.168.16.0
При этом:
Пинги между ВСЕМИ остальными сетями работают:
10.0.1.0 и 192.168.5.0 и обратно,
10.0.2.0 и 192.168.5.0 и обратно,
10.0.2.0 и 192.168.16.0 и обратно,

Куда копать?


Содержание

Сообщения в этом обсуждении
"Проблема маршрутизации пакетов между удаленными подсетями"
Отправлено QRSa , 08-Окт-13 13:25 
> Куда копать?

Делайте trace между сетями.
На каком hop он пропал - тот и виноват.

Хотя я помню, что TMG не любит icmp trace - если что, попробуйте cisco trace (он на базе UDP).