- Не удается подключится к роутеру,
qwek, 20:51 , 28-Июл-11 (1)> Доброго времени суток. > У кого есть идеи где может быть подвох.Таблицу маршрутизации cisco не хотите показать? show ip route - Не удается подключится к роутеру,
OvDP, 09:44 , 29-Июл-11 (2)> Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.конфиг покажите полный
- Не удается подключится к роутеру,
async, 10:34 , 29-Июл-11 (3) –1 : Saved : ASA Version 8.2(1) ! hostname Router domain-name dmz enable password xxxxxxxx encrypted passwd xxxxxxxxx encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 85.85.85.115 255.255.255.240 ! interface Vlan2 nameif outside security-level 0 ip address 85.85.84.17 255.255.255.128 ! interface Vlan5 no forward interface Vlan1 nameif dmz security-level 50 ip address dhcp ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name dmz same-security-traffic permit inter-interface same-security-traffic permit intra-interface object-group service rdp tcp description Remote Desktop port-object eq 3389 access-list inside_access_in extended permit ip any any log disable access-list inside_access_in_1 extended permit ip any any log emergencies access-list 1 standard permit any access-list outside_access_in extended permit ip any any log disable access-list inside_test extended permit icmp any any access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.192 access-list 10 extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpn 192.168.250.10-192.168.250.50 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound static (outside,inside) tcp 85.85.85.116 3389 85.85.84.17 3389 netmask 255.255.255.255 access-group inside_access_in in interface inside control-plane access-group inside_access_in_1 in interface inside access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 85.85.84.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 inside http 85.85.85.0 255.255.255.0 inside snmp-server host inside 85.30.238.116 community my_community version 2c no snmp-server location no snmp-server contact snmp-server community ***** snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto ca server shutdown crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh scopy enable ssh 85.85.85.0 255.255.255.240 inside ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0 management-access inside dhcpd auto_config outside !threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 webvpn username monitor password KEQRmOrieLtgCIos encrypted privilege 15 username monitor attributes service-type nas-prompt username admin password JNn1gpG255bKRs.r encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool vpn tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * ! ! privilege cmd level 3 mode exec command perfmon privilege cmd level 3 mode exec command ping privilege cmd level 3 mode exec command who privilege cmd level 3 mode exec command logging privilege cmd level 3 mode exec command failover privilege show level 5 mode exec command import privilege show level 5 mode exec command running-config privilege show level 3 mode exec command reload privilege show level 3 mode exec command mode privilege show level 3 mode exec command firewall privilege show level 3 mode exec command asp privilege show level 3 mode exec command cpu privilege show level 3 mode exec command interface privilege show level 3 mode exec command clock privilege show level 3 mode exec command dns-hosts privilege show level 3 mode exec command access-list privilege show level 3 mode exec command logging privilege show level 3 mode exec command vlan privilege show level 3 mode exec command ip privilege show level 3 mode exec command ipv6 privilege show level 3 mode exec command failover privilege show level 3 mode exec command asdm privilege show level 3 mode exec command arp privilege show level 3 mode exec command route privilege show level 3 mode exec command ospf privilege show level 3 mode exec command aaa-server privilege show level 3 mode exec command aaa privilege show level 3 mode exec command eigrp privilege show level 3 mode exec command crypto privilege show level 3 mode exec command vpn-sessiondb privilege show level 3 mode exec command ssh privilege show level 3 mode exec command dhcpd privilege show level 3 mode exec command vpnclient privilege show level 3 mode exec command vpn privilege show level 3 mode exec command blocks privilege show level 3 mode exec command wccp privilege show level 3 mode exec command dynamic-filter privilege show level 3 mode exec command webvpn privilege show level 3 mode exec command module privilege show level 3 mode exec command uauth privilege show level 3 mode exec command compression privilege show level 3 mode configure command interface privilege show level 3 mode configure command clock privilege show level 3 mode configure command access-list privilege show level 3 mode configure command logging privilege show level 3 mode configure command ip privilege show level 3 mode configure command failover privilege show level 5 mode configure command asdm privilege show level 3 mode configure command arp privilege show level 3 mode configure command route privilege show level 3 mode configure command aaa-server privilege show level 3 mode configure command aaa privilege show level 3 mode configure command crypto privilege show level 3 mode configure command ssh privilege show level 3 mode configure command dhcpd privilege show level 5 mode configure command privilege privilege clear level 3 mode exec command dns-hosts privilege clear level 3 mode exec command logging privilege clear level 3 mode exec command arp privilege clear level 3 mode exec command aaa-server privilege clear level 3 mode exec command crypto privilege clear level 3 mode exec command dynamic-filter privilege cmd level 3 mode configure command failover privilege clear level 3 mode configure command logging privilege clear level 3 mode configure command arp privilege clear level 3 mode configure command crypto privilege clear level 3 mode configure command aaa-server prompt hostname context Cryptochecksum:xxxxxxxxxxxxxxxxxx : end
- Не удается подключится к роутеру,
OvDP, 10:49 , 29-Июл-11 (4)что то у вас пояснения на рисунке не совпадают с конфигой... ещё раз подробнее опишите проблему. что куда цепляете и от куда есть/нет конекта к асе да и Vlan5 не назначен ни на какой интерфейс...
- Не удается подключится к роутеру,
async, 10:54 , 29-Июл-11 (5)CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, который выполняет NAT из локальной сети. Но с локальной сети CISCO не видна.
- Не удается подключится к роутеру,
OvDP, 11:28 , 29-Июл-11 (6)> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является > внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, > который выполняет NAT из локальной сети. Но с локальной сети CISCO > не видна.а зачем такое странное подключение через юникс? если напрямую подцепиться к асе компом то есть конект?
- Не удается подключится к роутеру,
qwek, 11:38 , 29-Июл-11 (7)> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является > внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, > который выполняет NAT из локальной сети. Но с локальной сети CISCO > не видна.Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall и не получаете доступа по ssh, это верно?
- Не удается подключится к роутеру,
OvDP, 11:40 , 29-Июл-11 (8)>> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является >> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, >> который выполняет NAT из локальной сети. Но с локальной сети CISCO >> не видна. > Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall > и не получаете доступа по ssh, это верно?vlan5 судя по конфигу никуда не назначен
- Не удается подключится к роутеру,
async, 12:06 , 29-Июл-11 (9)Напрямую подключаюсь без проблем. С Unix подключаюсь без проблем, так как он находится в одной IP сети с ASA5505. Unix - корпоративный VPN сервер. Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в локальной сети (192.168.100.111 пример.) У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для локальной сети. Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) в которой одним интерфесом смотрят ряд серверов в том числе этот же Unix Firewall и внутренний интерфейс CISCO ASA 5505. Существует только Vlan 1 и Vlan 2 - внешний и внутрений интерфейс ASA. Vlan 5 остался в конфиге он в принципе не нужен его я просто удалю из конфига.
- Не удается подключится к роутеру,
qwek, 13:37 , 29-Июл-11 (12)>[оверквотинг удален] > Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в > локальной сети (192.168.100.111 пример.) > У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для > локальной сети. > Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) > в которой одним интерфесом смотрят ряд серверов в том числе этот > же Unix Firewall и внутренний интерфейс CISCO ASA 5505. > Существует только Vlan 1 и Vlan 2 - внешний и внутрений > интерфейс ASA. Vlan 5 остался в конфиге он в принципе не > нужен его я просто удалю из конфига.Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco?
- Не удается подключится к роутеру,
async, 12:06 , 29-Июл-11 (10)как уже писал по SSH могу попасть только если нахожусь с ASA в одной IP сети.
- Не удается подключится к роутеру,
OvDP, 13:14 , 29-Июл-11 (11)> как уже писал по SSH могу попасть только если нахожусь с ASA > в одной IP сети.дизайн у вас всё же странный... цепочка какая то... у асы base лицензия? зачем впн сервер в разрыв если аса умеет принимать впн и делать нат?
- Не удается подключится к роутеру,
Aleks305, 13:43 , 29-Июл-11 (14)>> как уже писал по SSH могу попасть только если нахожусь с ASA >> в одной IP сети. > дизайн у вас всё же странный... цепочка какая то... у асы base > лицензия? зачем впн сервер в разрыв если аса умеет принимать впн > и делать нат?покажите show route. на unix nat есть?
- Не удается подключится к роутеру,
qwek, 13:39 , 29-Июл-11 (13)> как уже писал по SSH могу попасть только если нахожусь с ASA > в одной IP сети.Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco через nat?
- Не удается подключится к роутеру,
Aleks305, 13:47 , 29-Июл-11 (15)>> как уже писал по SSH могу попасть только если нахожусь с ASA >> в одной IP сети. > Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco > через nat?ssh 85.85.85.0 255.255.255.240 inside ssh 0.0.0.0 0.0.0.0 inside попробуйте оставить одну строчку
- Не удается подключится к роутеру,
async, 14:34 , 29-Июл-11 (16)Комрады привел вот к такому состоянию конфиг: Rt-Onlime# show running-config : Saved : ASA Version 8.2(1) ! hostname Rt-Onlime domain-name dmz enable password 8xxxx encrypted passwd Kxxxx encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 85.85.85.115 255.255.255.240 ! interface Vlan2 nameif outside security-level 100 ip address 85.85.84.17 255.255.255.128 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name dmz access-list 10 extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside no asdm history enable arp timeout 14400 route outside 0.0.0.0 0.0.0.0 85.30.202.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable http 85.30.238.0 255.255.255.0 inside snmp-server host inside 85.30.238.116 community my_community version 2c no snmp-server location no snmp-server contact snmp-server community ***** snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 90 ssh scopy enable ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0
no threat-detection basic-threat no threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username admin password vxxxx encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool vpn tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * ! ! prompt hostname context Cryptochecksum:xxx : end
- Не удается подключится к роутеру,
async, 14:36 , 29-Июл-11 (17)Rt-Onlime# show routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 85.30.202.1 to network 0.0.0.0 C 85.30.202.0 255.255.255.128 is directly connected, outside C 85.30.238.112 255.255.255.240 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside
- Не удается подключится к роутеру,
qwek, 16:33 , 29-Июл-11 (18)> C 85.30.202.0 255.255.255.128 is directly connected, outside > C 85.30.238.112 255.255.255.240 is directly connected, inside > S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside Давайте отделим котлеты от мух. Доступ по ssh: ssh scopy enable ssh 0.0.0.0 0.0.0.0 inside разрешен подключение со стороны Unix Firewal и подсети 85.85.85.0 255.255.255.240 осуществляется без проблем
доступ со стороны локальной сети через NAT не получается никак. С моей точки зрения проблема в Unix Firewall. Попробуйте для своего ip адреса локального поднять алиас на Unix Firewall, для начала. Затем проверьте внимательно правила ipfw (или чего там у вас) на Unix Firewall, вдруг чего не доглядели. Отпишитесь о результате.
- Не удается подключится к роутеру,
гость, 16:51 , 29-Июл-11 (19)алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show | grep divert для natd, ps-ax | grep natd для него же, если кернел нат ipfw show | grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.
- Не удается подключится к роутеру,
async, 17:02 , 29-Июл-11 (20)В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает. Nat реализован средствами natd все пакеты транслируются корректно. Напомню что на ASA5505 permit ip any any.
- Не удается подключится к роутеру,
qwek, 19:14 , 29-Июл-11 (21)> В случае если заменить ASA5505 на Cisco 800 связь из локальной сети > работает. > Nat реализован средствами natd все пакеты транслируются корректно. > Напомню что на ASA5505 permit ip any any.ssh version 2 на обоих? Кстати, с праздником всех.
- Не удается подключится к роутеру,
async, 11:18 , 01-Авг-11 (22)Да оба маршрутизатора использую вторую версию Secure Shell.
- Не удается подключится к роутеру,
OvDP, 12:36 , 01-Авг-11 (23)> Да оба маршрутизатора использую вторую версию Secure Shell.глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?
- Не удается подключится к роутеру,
async, 15:00 , 01-Авг-11 (24)собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.
- Не удается подключится к роутеру,
OvDP, 18:49 , 01-Авг-11 (25)> собственно на него как раз и не удается попасть. Нет не пингуется. > Внешний с мира пингуется нормально.вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.
- Не удается подключится к роутеру,
async, 14:51 , 03-Авг-11 (26)Зачем route у меня же NAT. - Не удается подключится к роутеру,
OvDP, 17:25 , 03-Авг-11 (27)> Зачем route у меня же NAT.есть подозрение на некорректную работу ната. sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.
|