https://opennet.me/openforum/vsluhforumID6/1166.html Всем добрый вечер.<br><br>На сети стоит asa 5510 (8.4) работает шлюзом по умолчанию и выпускает всех в инет, <br>IP 192.168.2.2.<br><br>Внутренняя сеть 192.168.2.0/24, внутри есть еще один шлюз с IP 192.168.2.10 за ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут до этой подсети, либо ручками либо в DHCP. Очень хочется сделать это как то централизованно то есть на asa прописать роут до этой подсети через 192.168.2.10.<br><br>Вот что я уже сделал: прописал<br>route inside 192.168.5.0 255.255.255.0 192.168.2.10 1<br>same-security-traffic permit intra-interface<br><br>Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой другой не идет.<br><br>Пните в нужную сторону, или asa так не умеет?<br> https://opennet.me/openforum/vsluhforumID6/1166.html#9 Fri, 10 Jan 2014 05:13:43 GMT &gt; А не забыли, что аса это прежде всего файерволл? Если юзер шлет <br>&gt; tcp syn через асу, а получает ack минуя ее, то аса, <br>&gt; инспектируя пакет, естественно дропает его, согласно своему предназначению.<br>&gt; Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы, <br>&gt; или разбить один физический на 2 логических, при условии, что свитч <br>&gt; поддерживает транк и в обоих случаях сделать отдельную подсеть для линка <br>&gt; асы с роутером.<br><br>Ну так, собственно поэтому и icmp redirect не поддерживается.<br><br> https://opennet.me/openforum/vsluhforumID6/1166.html#8 Thu, 09 Jan 2014 11:57:56 GMT <br>А не забыли, что аса это прежде всего файерволл? Если юзер шлет tcp syn через асу, а получает ack минуя ее, то аса, инспектируя пакет, естественно дропает его, согласно своему предназначению. <br>Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы, или разбить один физический на 2 логических, при условии, что свитч поддерживает транк и в обоих случаях сделать отдельную подсеть для линка асы с роутером.<br><br> https://opennet.me/openforum/vsluhforumID6/1166.html#7 Fri, 27 Dec 2013 11:59:54 GMT Решал аналогичное, примерно неделю назад.<br>Пришел к выводу что это асимметричный маршрут, но настроить не смог и выкрутился так, что поставил на каждый хост НАТ (их у меня десяток).<br>Такой вывод делал из того, что ставил третий шлюз на FreeBSD и вот с ним все работало ОК.<br>А когда ASA шла через циску то облом.<br>Причем tcpdump показывал что уходит с хоста syn возвращается с сервера syn win, и потом хост пускает rst, т.е. маршруты все правильные т.к. пакеты ходят, а вот в пакете что-то не так.<br> <br> https://opennet.me/openforum/vsluhforumID6/1166.html#6 Wed, 25 Dec 2013 19:03:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; output-line-status: up <br>&gt;&gt;&gt; Action: allow <br>&gt;&gt; А на другом роутере все в порядке? Обратный роут есть? ACL?<br>&gt; На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить. <br>&gt; Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.<br>&gt; А не может быть загвоздка в том, что когда идет пакет на <br>&gt; адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше <br>&gt; попадает на 192.168.5.3 <br>&gt; тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу <br>&gt; попадает на хост отправителя. Или я где то не прав?<br><br>По идее да, поскольку asa не поддерживает icmp redirect, то не может назначить хосту роут до .5.0 через .2.10.<br><br>Я вам выше уже написал лучшее решение, как минимум, с точки зрения best practice. <br> https://opennet.me/openforum/vsluhforumID6/1166.html#5 Wed, 25 Dec 2013 16:55:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; New flow created with id 23613107, packet dispatched to next module <br>&gt;&gt; Result: <br>&gt;&gt; input-interface: inside <br>&gt;&gt; input-status: up <br>&gt;&gt; input-line-status: up <br>&gt;&gt; output-interface: inside <br>&gt;&gt; output-status: up <br>&gt;&gt; output-line-status: up <br>&gt;&gt; Action: allow <br>&gt; А на другом роутере все в порядке? Обратный роут есть? ACL?<br><br>На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.<br>Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал. <br><br>А не может быть загвоздка в том, что когда идет пакет на адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше попадает на 192.168.5.3<br> тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу попадает на хост отправителя. Или я где то не прав?<br> https://opennet.me/openforum/vsluhforumID6/1166.html#4 Wed, 25 Dec 2013 16:31:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt; New flow created with id 23613107, packet dispatched to next module <br>&gt;&gt; Result: <br>&gt;&gt; input-interface: inside <br>&gt;&gt; input-status: up <br>&gt;&gt; input-line-status: up <br>&gt;&gt; output-interface: inside <br>&gt;&gt; output-status: up <br>&gt;&gt; output-line-status: up <br>&gt;&gt; Action: allow <br>&gt; А на другом роутере все в порядке? Обратный роут есть? ACL?<br><br>Вообще лучший вариант здесь - это для асы и роутера выделить отдельную подсеть линковую, и гонять трафик через нее, тогда не будет заморочки с icmp redirect, и масштабируемость увеличиться в разы. <br> https://opennet.me/openforum/vsluhforumID6/1166.html#3 Wed, 25 Dec 2013 16:24:47 GMT &gt;[оверквотинг удален]<br>&gt; Additional Information: <br>&gt; New flow created with id 23613107, packet dispatched to next module <br>&gt; Result: <br>&gt; input-interface: inside <br>&gt; input-status: up <br>&gt; input-line-status: up <br>&gt; output-interface: inside <br>&gt; output-status: up <br>&gt; output-line-status: up <br>&gt; Action: allow <br><br>А на другом роутере все в порядке? Обратный роут есть? ACL?<br> https://opennet.me/openforum/vsluhforumID6/1166.html#2 Wed, 25 Dec 2013 16:05:20 GMT &gt; Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.<br><br>Судя по нему все хорошо:<br>Phase: 1<br>Type: ACCESS-LIST<br>Subtype: <br>Result: ALLOW<br>Config:<br>Implicit Rule<br>Additional Information:<br>MAC Access list<br><br>Phase: 2<br>Type: ROUTE-LOOKUP<br>Subtype: input<br>Result: ALLOW<br>Config:<br>Additional Information:<br>in 192.168.5.0 255.255.255.0 inside<br><br>Phase: 3<br>Type: ACCESS-LIST<br>Subtype: log<br>Result: ALLOW<br>Config:<br>access-group 121 in interface inside<br>access-list 121 extended permit ip any any <br>Additional Information:<br> <br>Phase: 4 <br>Type: IP-OPTIONS<br>Subtype: <br>Result: ALLOW<br>Config:<br>Additional Information:<br><br>Phase: 5<br>Type: FLOW-EXPORT<br>Subtype: <br>Result: ALLOW<br>Config:<br>Additional Information:<br><br>Phase: 6<br>Type: VPN<br>Subtype: ipsec-tunnel-flow<br>Result: ALLOW<br>Config:<br>Additional Information:<br><br>Phase: 7<br>Type: IP-OPTIONS<br>Subtype: <br>Result: ALLOW<br>Config:<br>Additional Information:<br><br>Phase: 8<br>Type: FLOW-CREATION<br>Subtype: <br>Result: ALLOW<br>Config:<br>Additional Info https://opennet.me/openforum/vsluhforumID6/1166.html#1 Wed, 25 Dec 2013 16:00:21 GMT &gt;[оверквотинг удален]<br>&gt; ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут <br>&gt; до этой подсети, либо ручками либо в DHCP. Очень хочется сделать <br>&gt; это как то централизованно то есть на asa прописать роут до <br>&gt; этой подсети через 192.168.2.10.<br>&gt; Вот что я уже сделал: прописал <br>&gt; route inside 192.168.5.0 255.255.255.0 192.168.2.10 1 <br>&gt; same-security-traffic permit intra-interface <br>&gt; Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой <br>&gt; другой не идет.<br>&gt; Пните в нужную сторону, или asa так не умеет?<br><br>Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.<br>