- Не удается подключится к роутеру,
 qwek, 20:51 , 28-Июл-11 (1)> Доброго времени суток.
> У кого есть идеи где может быть подвох.Таблицу маршрутизации cisco не хотите показать? show ip route - Не удается подключится к роутеру, OvDP, 09:44 , 29-Июл-11 (2)
> Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.конфиг покажите полный
- Не удается подключится к роутеру, async, 10:34 , 29-Июл-11 (3) –1
: Saved
:
ASA Version 8.2(1)
!
hostname Router
domain-name dmz
enable password xxxxxxxx encrypted
passwd xxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
ip address 85.85.84.17 255.255.255.128
!
interface Vlan5
no forward interface Vlan1
nameif dmz
security-level 50
ip address dhcp
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service rdp tcp
description Remote Desktop
port-object eq 3389
access-list inside_access_in extended permit ip any any log disable
access-list inside_access_in_1 extended permit ip any any log emergencies
access-list 1 standard permit any
access-list outside_access_in extended permit ip any any log disable
access-list inside_test extended permit icmp any any
access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.192
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool vpn 192.168.250.10-192.168.250.50 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
static (outside,inside) tcp 85.85.85.116 3389 85.85.84.17 3389 netmask 255.255.255.255
access-group inside_access_in in interface inside control-plane
access-group inside_access_in_1 in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 85.85.84.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 85.85.85.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca server
shutdown
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh scopy enable
ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd auto_config outside
!threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
webvpn
username monitor password KEQRmOrieLtgCIos encrypted privilege 15
username monitor attributes
service-type nas-prompt
username admin password JNn1gpG255bKRs.r encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpnclient
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
prompt hostname context
Cryptochecksum:xxxxxxxxxxxxxxxxxx
: end
- Не удается подключится к роутеру, OvDP, 10:49 , 29-Июл-11 (4)
что то у вас пояснения на рисунке не совпадают с конфигой... ещё раз подробнее опишите проблему. что куда цепляете и от куда есть/нет конекта к асе
да и Vlan5 не назначен ни на какой интерфейс...
- Не удается подключится к роутеру, async, 10:54 , 29-Июл-11 (5)
CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, который выполняет NAT из локальной сети. Но с локальной сети CISCO не видна.
- Не удается подключится к роутеру, OvDP, 11:28 , 29-Июл-11 (6)
> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.а зачем такое странное подключение через юникс?
если напрямую подцепиться к асе компом то есть конект?
- Не удается подключится к роутеру, qwek, 11:38 , 29-Июл-11 (7)
> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall и не получаете доступа по ssh, это верно?
- Не удается подключится к роутеру, OvDP, 11:40 , 29-Июл-11 (8)
>> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
>> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
>> который выполняет NAT из локальной сети. Но с локальной сети CISCO
>> не видна.
> Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall
> и не получаете доступа по ssh, это верно?vlan5 судя по конфигу никуда не назначен
- Не удается подключится к роутеру, async, 12:06 , 29-Июл-11 (9)
Напрямую подключаюсь без проблем.
С Unix подключаюсь без проблем, так как он находится в одной IP сети с ASA5505.
Unix - корпоративный VPN сервер.
Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в локальной сети (192.168.100.111 пример.)
У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для локальной сети.
Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) в которой одним интерфесом смотрят ряд серверов в том числе этот же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
Существует только Vlan 1 и Vlan 2 - внешний и внутрений интерфейс ASA. Vlan 5 остался в конфиге он в принципе не нужен его я просто удалю из конфига.
- Не удается подключится к роутеру, qwek, 13:37 , 29-Июл-11 (12)
>[оверквотинг удален]
> Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в
> локальной сети (192.168.100.111 пример.)
> У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для
> локальной сети.
> Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х)
> в которой одним интерфесом смотрят ряд серверов в том числе этот
> же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
> Существует только Vlan 1 и Vlan 2 - внешний и внутрений
> интерфейс ASA. Vlan 5 остался в конфиге он в принципе не
> нужен его я просто удалю из конфига.Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco?
- Не удается подключится к роутеру, async, 12:06 , 29-Июл-11 (10)
как уже писал по SSH могу попасть только если нахожусь с ASA в одной IP сети.
- Не удается подключится к роутеру, OvDP, 13:14 , 29-Июл-11 (11)
> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.дизайн у вас всё же странный... цепочка какая то... у асы base лицензия? зачем впн сервер в разрыв если аса умеет принимать впн и делать нат?
- Не удается подключится к роутеру, Aleks305, 13:43 , 29-Июл-11 (14)
>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> дизайн у вас всё же странный... цепочка какая то... у асы base
> лицензия? зачем впн сервер в разрыв если аса умеет принимать впн
> и делать нат?покажите show route. на unix nat есть?
- Не удается подключится к роутеру, qwek, 13:39 , 29-Июл-11 (13)
> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco через nat?
- Не удается подключится к роутеру, Aleks305, 13:47 , 29-Июл-11 (15)
>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco
> через nat?ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside попробуйте оставить одну строчку
- Не удается подключится к роутеру, async, 14:34 , 29-Июл-11 (16)
Комрады привел вот к такому состоянию конфиг:
Rt-Onlime# show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname Rt-Onlime
domain-name dmz
enable password 8xxxx encrypted
passwd Kxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 100
ip address 85.85.84.17 255.255.255.128
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 85.30.202.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 85.30.238.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 90
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username admin password vxxxx encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:xxx
: end
- Не удается подключится к роутеру, async, 14:36 , 29-Июл-11 (17)
Rt-Onlime# show routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route Gateway of last resort is 85.30.202.1 to network 0.0.0.0 C 85.30.202.0 255.255.255.128 is directly connected, outside
C 85.30.238.112 255.255.255.240 is directly connected, inside
S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside
- Не удается подключится к роутеру, qwek, 16:33 , 29-Июл-11 (18)
> C 85.30.202.0 255.255.255.128 is directly connected, outside
> C 85.30.238.112 255.255.255.240 is directly connected, inside
> S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside Давайте отделим котлеты от мух. Доступ по ssh:
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
разрешен
подключение со стороны Unix Firewal и подсети 85.85.85.0 255.255.255.240 осуществляется без проблем
доступ со стороны локальной сети через NAT не получается никак. С моей точки зрения проблема в Unix Firewall. Попробуйте для своего ip адреса локального поднять алиас на Unix Firewall, для начала. Затем проверьте внимательно правила ipfw (или чего там у вас) на Unix Firewall, вдруг чего не доглядели. Отпишитесь о результате.
- Не удается подключится к роутеру, гость, 16:51 , 29-Июл-11 (19)
алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show | grep divert для natd, ps-ax | grep natd для него же, если кернел нат ipfw show | grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.
- Не удается подключится к роутеру, async, 17:02 , 29-Июл-11 (20)
В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает.
Nat реализован средствами natd все пакеты транслируются корректно.
Напомню что на ASA5505 permit ip any any.
- Не удается подключится к роутеру, qwek, 19:14 , 29-Июл-11 (21)
> В случае если заменить ASA5505 на Cisco 800 связь из локальной сети
> работает.
> Nat реализован средствами natd все пакеты транслируются корректно.
> Напомню что на ASA5505 permit ip any any.ssh version 2 на обоих? Кстати, с праздником всех.
- Не удается подключится к роутеру, async, 11:18 , 01-Авг-11 (22)
Да оба маршрутизатора использую вторую версию Secure Shell.
- Не удается подключится к роутеру, OvDP, 12:36 , 01-Авг-11 (23)
> Да оба маршрутизатора использую вторую версию Secure Shell.глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?
- Не удается подключится к роутеру, async, 15:00 , 01-Авг-11 (24)
собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.
- Не удается подключится к роутеру, OvDP, 18:49 , 01-Авг-11 (25)
> собственно на него как раз и не удается попасть. Нет не пингуется.
> Внешний с мира пингуется нормально.вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.
- Не удается подключится к роутеру, async, 14:51 , 03-Авг-11 (26)
Зачем route у меня же NAT. - Не удается подключится к роутеру, OvDP, 17:25 , 03-Авг-11 (27)
> Зачем route у меня же NAT.есть подозрение на некорректную работу ната.
sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.
|
Версия для распечатки
Не удается подключится к роутеру, 
