The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Буду признателен за помощь новичку"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Буду признателен за помощь новичку"  +/
Сообщение от bossaboy77 (ok) on 04-Фев-11, 19:18 
Добрый вечер!
Перечитал-пересмотрел пол-форума, но как разрешить свою задачу - не нашёл. Помогите, пожалуйста :)

Вводные данные такие - есть Cisco ASA 5510 Sec Plus, два офиса, между которыми провайдер делает транспорт. Посмотреть можно на картинке отсюда: https://picasaweb.google.com/lh/photo/5o_sVh-FItGyMNHYWC2ZZg.... Задача у меня - сделать так, чтобы офисы могли общаться друг с дружкой и чтобы оба ходили в инет через ASA, установленную в одном.

Я прикрутил на ASA к outside интерфейсу subinterface c VLAN27, назначил IP из того же адресного пространства, установил ему security level 100, нажал на галку в ADSM "Enable traffic between two or more interfaces which are configured with same security levels"

Но, после всего этого, к сожалению, ничего не проходит между тем, что находится за inside в outside-VLAN27. Более того, ничего не идёт от 10.30.27.2 к 10.30.27.1.

Где собакой порыть? Подскажите :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Буду признателен за помощь новичку"  +/
Сообщение от Николай (??) on 04-Фев-11, 20:02 
настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Буду признателен за помощь новичку"  +/
Сообщение от bossaboy77 (ok) on 04-Фев-11, 20:08 
> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума
> :))

Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу, потом сдамся :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Буду признателен за помощь новичку"  +/
Сообщение от Aleks305 (ok) on 04-Фев-11, 21:22 
>> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума
>> :))
> Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу,
> потом сдамся :)

выложите конфиг asa
помимо указанной Вами команды необходимы и другие команды для поднятия web морды

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Буду признателен за помощь новичку"  +/
Сообщение от bossaboy77 (ok) on 04-Фев-11, 22:26 
>>> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума
>>> :))
>> Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу,
>> потом сдамся :)
> выложите конфиг asa
> помимо указанной Вами команды необходимы и другие команды для поднятия web морды

Спасибо за ответ! Вот конфиг сейчас:
ASA Version 8.3(1)
...
interface Ethernet0/0
speed 1000
duplex full
nameif inside
security-level 100
ip address 10.30.30.2 255.255.255.0
!
interface Ethernet0/1
speed 1000
duplex full
nameif outside
security-level 0
ip address xxx.xxx.xxx.179 255.255.255.248
!
interface Ethernet0/1.27
vlan 27
nameif qa
security-level 100
ip address 10.30.27.2 255.255.255.0
!
interface Ethernet0/2
speed 100
duplex full
nameif dmz
security-level 50
ip address 192.168.100.3 255.255.255.0
!
...
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
...
access-list outside_access_in extended permit object rdp any host 192.168.100.100
access-list outside_access_in extended permit icmp any any echo-reply
access-list 10 extended permit icmp any any echo-reply
access-list 10 extended permit icmp any any source-quench
access-list 10 extended permit icmp any any unreachable
access-list 10 extended permit icmp any any time-exceeded
access-list dmz_access_in extended permit icmp any any echo-reply
...
object network inside->outside
nat (inside,outside) dynamic interface
object network dmz->outside
nat (dmz,outside) dynamic interface
object network inside->dmz
nat (inside,dmz) dynamic interface
object network qa->dmz
nat (qa,dmz) dynamic interface
object network qa->outside
nat (qa,outside) dynamic interface
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.177 1
...
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
...
aaa authentication ssh console LOCAL
http server enable
http 10.30.30.0 255.255.255.0 inside
...
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect ip-options
!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Буду признателен за помощь новичку"  +/
Сообщение от Aleks305 (ok) on 06-Фев-11, 14:19 
интересно, а где у вас на интерфейсах
same-security-level, если все уровни разные?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Буду признателен за помощь новичку"  +/
Сообщение от crash (ok) on 07-Фев-11, 05:36 
> интересно, а где у вас на интерфейсах
> same-security-level, если все уровни разные?

видимо тут
interface Ethernet0/0
speed 1000
duplex full
nameif inside
security-level 100
ip address 10.30.30.2 255.255.255.0
!
interface Ethernet0/1.27
vlan 27
nameif qa
security-level 100
ip address 10.30.27.2 255.255.255.0

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру