форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA проблема с маршрутизацией."	+/–
Сообщение от sergio777 (ok) on 05-Ноя-10, 23:34
Здравствуйте, уважаемые форумляне! Еще один вопрос про ASA, если можно. Пришла еще одна ASAшка, которую мы поставили в "параллель" с первой (для эксперементов). У каждой - свой ip на otsidах. Insidы находятся в одном vlan, в котором еще один интерфейс CheckPointа. На обеих ASA терминируются remoute VPN от cisco vpn клиентов, после asaшек клиенты через ChekPoint идут на mail-server. Обратные пакеты ChekPoint выкидывает на inside одной из ASA (по статике, динамику нам там не включают и не собираются, люди вредные): Между ASA - EIGRP. Все хорошо, когда VPN клиент коннектится к ASA, на которую выплевывает пакеты ChekPoint. Если приконнектится vpn-клиентом к другой ASA, пакеты от клиента идут до mail-servera доходят, он отвечает, далее ChekPoint выкидывает их на неактивную ASA (на котор. нет VPN), она видит по таблице маршрутизации, что чтобы идти на подсеть клиента, надо пакеты послать на активную ASA по маршруту, полученному по eigrp. Но почему-то дропит их. Хотя, естественно, insidы пингуют друг-друга, т.к. они в одном vlan. Не могу понять в чем проблема. Хоть router между ними ставь, подняв на нем eigrp, чтобы он разруливал трафик. Да жалко что-то. Может подскажите чего-нибудь. С уважением, Сергей.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ASA проблема с маршрутизацией."	+/–
Сообщение от rakis (ok) on 06-Ноя-10, 16:39
а зачем все так сложно? почему просто не сделать из 2-х ASA кластер? P.S. Вопрос зачем там вообще ASA при наличии ChekPoint'а (или зачем там ChekPoint при наличии 2-х ASA) наверное лишний :-)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Cisco ASA проблема с маршрутизацией."	+/–
	Сообщение от sergio777 (ok) on 06-Ноя-10, 18:25
	> а зачем все так сложно? > почему просто не сделать из 2-х ASA кластер? > P.S. Вопрос зачем там вообще ASA при наличии ChekPoint'а (или зачем там > ChekPoint при наличии 2-х ASA) наверное лишний :-) Я бы с удовольствием заменил CheckPoint на ASA. Но им рулим не мы и он используется как основной корпоративный файрвол. ASA - пока только как vpn-концентратор. А насчет failover - на эту фичу нет лицензии:)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Cisco ASA проблема с маршрутизацией."	+/–
	Сообщение от rakis (ok) on 07-Ноя-10, 18:16
	> А насчет failover - на эту фичу нет лицензии:) :-) при наличии денег на 2-е ASA верится с трудом
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Cisco ASA проблема с маршрутизацией."	+/–
	Сообщение от sergio777 (ok) on 07-Ноя-10, 19:00
	>> А насчет failover - на эту фичу нет лицензии:) > :-) при наличии денег на 2-е ASA верится с трудом Знаете мы здесь обсуждаем технические проблемы, а не финансовые возможности. Не можете дать дельный совет, лучше вообще молчите. Извините за резкость.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco ASA проблема с маршрутизацией."	+/–
Сообщение от sTALK_specTrum on 07-Ноя-10, 13:46
> Если приконнектится vpn-клиентом к другой ASA, пакеты от клиента идут до mail-servera > доходят, он отвечает, далее ChekPoint выкидывает их на неактивную ASA (на > котор. нет VPN), она видит по таблице маршрутизации, что чтобы идти > на подсеть клиента, надо пакеты послать на активную ASA по маршруту, > полученному по eigrp. Но почему-то дропит их. Хотя, естественно, insidы пингуют > друг-друга, т.к. они в одном vlan. > Не могу понять в чем проблема. Хоть router между ними ставь, подняв А проблема в том, что by default на ASA трафик между интерфейсами с одинаковым security-level закрыт. И в этот by default попадают пакеты, исходящие с того же интерфейса. same-security-traffic permit intra-interface И то не факт, что поможет. От ситуёвины зависит.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Cisco ASA проблема с маршрутизацией."	+/–
	Сообщение от sergio777 (ok) on 07-Ноя-10, 19:11
	>[оверквотинг удален] >> котор. нет VPN), она видит по таблице маршрутизации, что чтобы идти >> на подсеть клиента, надо пакеты послать на активную ASA по маршруту, >> полученному по eigrp. Но почему-то дропит их. Хотя, естественно, insidы пингуют >> друг-друга, т.к. они в одном vlan. >> Не могу понять в чем проблема. Хоть router между ними ставь, подняв > А проблема в том, что by default на ASA трафик между интерфейсами > с одинаковым security-level закрыт. И в этот by default попадают пакеты, > исходящие с того же интерфейса. > same-security-traffic permit intra-interface > И то не факт, что поможет. От ситуёвины зависит. Спасибо, большое. Я это уже включал - не помогло. Завтра, если интересно, небольшой debug выложу.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Cisco ASA проблема с маршрутизацией."	+/–
	Сообщение от sTALK_specTrum on 10-Ноя-10, 01:09
	А еще PIX/ASA очень не любят асимметрию маршрутов. То есть в твоём случае если пакет приходит от соседней ASA, а ответный согласно таблице маршрутов надо посылать прямо на CheckPoint (MAC-то другой). На ICMP это ещё прокатит, а вот TCP-сокеты уже естественно рубятся. Так что в твоем случае тяжело это разруливать. Разве что если на асах клиентам выдаются адреса из чётко различных диапазонов, тогда можно попытаться на CheckPoint статиком их жёстко прописать...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема