https://www.opennet.ru/openforum/vsluhforumID6/2664.html Коллеги, добрый день!<br>Помогите, пожалуйста, в банальной задаче.<br>Есть корпоративная сеть работающая на Cisco 3850 (Ядро), Cisco 2960 (DMZ) и Cisco ASA<br>Схема подключения отражена в облаке, по ссылке https://dropmefiles.com/Yl9uv <br><br>Задача: сделать для ПК маршрут таким образом, чтобы в Интернет выходить через IP адрес 10.3.0.130 (VDOM ROOT). В системе не было никаких настроек Прокси сервера.<br><br>Сейчас все пользователи выходят через IP 10.3.0.244 (VDOM Proxy)<br>Когда FortiGate100D внедряли никаких спец. маршрутов не делали.<br>С ПК 10.343.79.2 адрес 10.3.0.130 пингуется<br><br>C:\WINDOWS\system32&gt;tracert 10.3.0.130<br><br>Трассировка маршрута к 10.3.0.130 с максимальным числом прыжков 30<br><br> 1 2 ms 2 ms 1 ms 10.43.79.1<br> 2 &lt;1 мс &lt;1 мс 1 ms 10.3.0.130<br><br>Трассировка завершена.<br><br>C:\WINDOWS\system32&gt;ipconfig<br><br>Адаптер Ethernet Ethernet:<br><br> DNS-суффикс подключения . . . . . : <br> Локальный IPv6-адрес канала . . . : <br> IPv4-адрес. . . . . . . . . . . . : 10.43.79.2<br> Маска подсети . . . . https://www.opennet.ru/openforum/vsluhforumID6/2664.html#21 Fri, 24 Mar 2023 09:18:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip next-hop 10.3.0.130 <br>&gt;&gt; Policy routing matches: 1455 packets, 170877 bytes <br>&gt;&gt; Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил <br>&gt;&gt; доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с <br>&gt;&gt; наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск <br>&gt;&gt; отваливается.<br>&gt;&gt; В глобальном виде задача такая: все внутрениие сети обращаются между собой, но <br>&gt;&gt; как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на <br>&gt;&gt; 10.3.0.130 (это прокся) <br>&gt; Подскажите, пожалуйста, с моим вопросом <br><br>PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно. <br>Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).<br>Возможно проверять html код куда ведут ссылки на документы.<br><br>Это вам нужен отдел https://www.opennet.ru/openforum/vsluhforumID6/2664.html#20 Fri, 24 Mar 2023 08:12:56 GMT &gt;[оверквотинг удален]<br>&gt; Set clauses: <br>&gt; ip next-hop 10.3.0.130 <br>&gt; Policy routing matches: 1455 packets, 170877 bytes <br>&gt; Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил <br>&gt; доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с <br>&gt; наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск <br>&gt; отваливается.<br>&gt; В глобальном виде задача такая: все внутрениие сети обращаются между собой, но <br>&gt; как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на <br>&gt; 10.3.0.130 (это прокся) <br><br>Подскажите, пожалуйста, с моим вопросом<br> https://www.opennet.ru/openforum/vsluhforumID6/2664.html#19 Thu, 23 Mar 2023 07:16:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt; deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 <br>&gt;&gt; deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 <br>&gt;&gt; permit ip 10.43.79.2 255.255.255.0 any <br>&gt;&gt; Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 <br>&gt;&gt; 255.255.255.0 any <br>&gt;&gt; Как правильно сеть 10.43.79.0/24 в permit прописать?<br>&gt; 1. Наконец понять что такое wildcard и прямая маска.<br>&gt; 2. Понять что если что-то попало в ACL и обработалось, то второй <br>&gt; раз обрабатываться этим-же ACL в этом-же процессе уже не будет.<br>&gt; 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.<br><br>Подскажите, пожалуйста, по новому косяку.<br>После всех вышеизложенных советов, у меня ACL выглядит так<br>Extended IP access list ACL-ROOT<br> 10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)<br> 20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)<br> 30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)<br> 40 permit ip 10.43.79.0 0.0.0.255 https://www.opennet.ru/openforum/vsluhforumID6/2664.html#18 Fri, 10 Mar 2023 14:10:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Спасибо за разъяснение <br>&gt; Подскажите, пожалуйста, еще раз.<br>&gt; Делаю ACL для сетей <br>&gt; deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 <br>&gt; deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 <br>&gt; deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 <br>&gt; permit ip 10.43.79.2 255.255.255.0 any <br>&gt; Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 <br>&gt; 255.255.255.0 any <br>&gt; Как правильно сеть 10.43.79.0/24 в permit прописать?<br><br>1. Наконец понять что такое wildcard и прямая маска. <br>2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет. <br>3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.<br> https://www.opennet.ru/openforum/vsluhforumID6/2664.html#17 Fri, 10 Mar 2023 13:39:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из <br>&gt;&gt; Интернета вернулись куда надо.<br>&gt;&gt; И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.<br>&gt;&gt;&gt; Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли <br>&gt;&gt;&gt; она проц на моей 3850. Мнения разные.<br>&gt;&gt; Ну, вот он шанс попробовать и сей опыт обрести.<br>&gt;&gt; Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и <br>&gt;&gt; остального. Потом будете при случае расказывать "да, я делал так-то и <br>&gt;&gt; получилось вот что".<br>&gt; Спасибо за разъяснение <br><br>Подскажите, пожалуйста, еще раз.<br>Делаю ACL для сетей<br><br>deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255<br>deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255<br>deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255<br>permit ip 10.43.79.2 255.255.255.0 any<br><br>Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any<br>Как правильно сеть 10.43.79.0/24 в permit прописать?<br> https://www.opennet.ru/openforum/vsluhforumID6/2664.html#16 Mon, 13 Feb 2023 10:20:28 GMT &gt;[оверквотинг удален]<br>&gt; И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до <br>&gt; 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из <br>&gt; Интернета вернулись куда надо.<br>&gt; И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой. <br>&gt;&gt; Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли <br>&gt;&gt; она проц на моей 3850. Мнения разные.<br>&gt; Ну, вот он шанс попробовать и сей опыт обрести.<br>&gt; Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и <br>&gt; остального. Потом будете при случае расказывать "да, я делал так-то и <br>&gt; получилось вот что".<br><br>Спасибо за разъяснение<br> https://www.opennet.ru/openforum/vsluhforumID6/2664.html#15 Mon, 13 Feb 2023 10:20:15 GMT &gt;[оверквотинг удален]<br>&gt; ...<br>&gt; but in general (it really depends on your network setup), you can <br>&gt; do <br>&gt; deny from any to 10 <br>&gt; deny from any to 172 <br>&gt; deny from any to 192 <br>&gt; then <br>&gt; allow from your net to any <br>&gt; ...<br>&gt; something like that <br><br>Спасибо за ответ<br> https://www.opennet.ru/openforum/vsluhforumID6/2664.html#14 Fri, 10 Feb 2023 21:54:46 GMT &gt; Я на 3850 прописал маршрут для своего ПК <br>&gt; 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась <br><br>Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".<br>А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip.<br><br>Конкретику вам уже всю объяснили выше по ветке, поздравляю.<br>Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.<br>И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.<br>И, конечно, предполагается что доступ в Интернет у VDOM RO https://www.opennet.ru/openforum/vsluhforumID6/2664.html#13 Fri, 10 Feb 2023 12:15:01 GMT &gt;[оверквотинг удален]<br>&gt; И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети <br>&gt; (по RFC) в правиле, как мне правильнее сделать?<br>&gt; Нужен ACL который из всех внутренних сетей будет делать deny на все <br>&gt; внутренние сети, а nex hop делать, только если запрос вышел за <br>&gt; пределы RFC <br>&gt; deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255 <br>&gt; deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255 <br>&gt; deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255 <br>&gt; permit ip 10.43.79.2 255.255.255.0 any <br>&gt; Разрешающие сети я бы все таки каждую отдельно добавил <br><br>1. no, for network you have to do so<br><br> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 <br> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 <br> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 <br> permit ip 10.43.79.2 255.255.255.0 any <br><br>2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like<br>deny from 10 to 10<br>deny from 10 to 172<br>deny from 10 to 192<br>deny from 172 to 10<br>...<br>...<br>