forum.opennet.ru - "Маршрут через другой маршрутизатор в локалке" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Маршрут через другой маршрутизатор в локалке"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Маршрут через другой маршрутизатор в локалке"	+/–
Сообщение от Alting (ok) on 27-Мрт-13, 14:59
Коллеги, заработался... Простая задача: 1. Есть ASA 5510 с прошивкой 8.2 как основной шлюз компании. 2. Есть некий сервер под линукс, выступающий в том числе, как OpenVPN сервер. Задача: увидеть из локальной сети сеть удаленного клиента OpenVPN. На ASA разрешены пинги везде и всюду. Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt). Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился того, что сеть клиента пингуется, и с клиента также пингуются машины локальной сети. Но только пингуются, ни один сервис больше недоступен :( Ну и tracreroute еще работает, конечно. Чего я недокрутил, подскажите, пожалуйста!
Ответить \| Правка \| Cообщить модератору

Оглавление

Маршрут через другой маршрутизатор в локалке, Николай, 15:05 , 27-Мрт-13, (1)

Маршрут через другой маршрутизатор в локалке, Alting, 15:15 , 27-Мрт-13, (2)

Маршрут через другой маршрутизатор в локалке, Alting, 16:28 , 27-Мрт-13, (3)

Маршрут через другой маршрутизатор в локалке, Alting, 11:35 , 28-Мрт-13, (4)

Маршрут через другой маршрутизатор в локалке, Merridius, 11:47 , 28-Мрт-13, (5)

Маршрут через другой маршрутизатор в локалке, Alting, 12:36 , 28-Мрт-13, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Николай (??) on 27-Мрт-13, 15:05

>[оверквотинг удален]
> Задача:
> увидеть из локальной сети сеть удаленного клиента OpenVPN.
> На ASA разрешены пинги везде и всюду.
> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
> того, что сеть клиента пингуется, и с клиента также пингуются машины
> локальной сети.
> Но только пингуются, ни один сервис больше недоступен :(
> Ну и tracreroute еще работает, конечно.
> Чего я недокрутил, подскажите, пожалуйста!
На аса наверное правил разрешающих не хватает или ограничения по аксес листам на самом ВПН сервере. Как-то не очень информативные начальные условия. Что пакеттрасер на АСЕ говорит?
И почему ВПН не перенести на АСУ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Alting (ok) on 27-Мрт-13, 15:15

>[оверквотинг удален]
>> увидеть из локальной сети сеть удаленного клиента OpenVPN.
>> На ASA разрешены пинги везде и всюду.
>> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
>> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
>> того, что сеть клиента пингуется, и с клиента также пингуются машины
>> локальной сети.
>> Но только пингуются, ни один сервис больше недоступен :(
>> Ну и tracreroute еще работает, конечно.
>> Чего я недокрутил, подскажите, пожалуйста!
> На аса наверное правил разрешающих не хватает
Вот скорее всего.

> или ограничения по аксес листам
> на самом ВПН сервере.
нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть за OpenVPN сам сервер OpenVPN - то все работает.
> Как-то не очень информативные начальные условия. Что
> пакеттрасер на АСЕ говорит?
Да ничего не говорит... Что TCP, что UDP - RESULT - The packet is allowed в обе стороны :(
> И почему ВПН не перенести на АСУ?
Это как? ASA умеет OpenVPN?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Alting (ok) on 27-Мрт-13, 16:28

>[оверквотинг удален]
>> или ограничения по аксес листам
>> на самом ВПН сервере.
> нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть
> за OpenVPN сам сервер OpenVPN - то все работает.
>> Как-то не очень информативные начальные условия. Что
>> пакеттрасер на АСЕ говорит?
> Да ничего не говорит... Что TCP, что UDP - RESULT - The
> packet is allowed в обе стороны :(
>> И почему ВПН не перенести на АСУ?
> Это как? ASA умеет OpenVPN?
Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
Я указал IP этого сервера в качестве шлюза на другой машине.
Все работает. Пакет идет от клиента на сервер, от него на сервер OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента OpenVPN и дальше в локалку за клиентом.
Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только в каких....

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Alting (ok) on 28-Мрт-13, 11:35

>[оверквотинг удален]
>>> И почему ВПН не перенести на АСУ?
>> Это как? ASA умеет OpenVPN?
> Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную
> сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
> Я указал IP этого сервера в качестве шлюза на другой машине.
> Все работает. Пакет идет от клиента на сервер, от него на сервер
> OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента
> OpenVPN и дальше в локалку за клиентом.
> Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только
> в каких....
Продолжая тихо сам с собою... :)
Скорее всего, моя проблема кроется в том, что пакеты уходят через один шлюз, а возвращаются через другой. Правда, непонятно тогда в таком случае, почему пинги идут?..
К примеру, как тут:
http://www.cisco.com/en/US/products/ps6120/products_configur...
Все беда в том, что везде рассматриваются варианты с внешнем интерфейсом ASA.
А у меня-то как раз получается, что он не задействован.
Клиент находится не "за ASA", а за другим сервером, который расположен в том же LAN сегменте, что и ASA. Т.е. пакеты с внутреннего на внешний интерфейс в ASA не идут, а сразу перенаправляются на LAN интерфейс нужного сервера.
Пример моей конфигурации:
LAN сегмент локальный - 192.168.0.0/24
LAN сегмент удаленный - 192.168.1.1/24
ASA LAN интерфейс - 192.168.0.1
Сервер OpenVPN LAN интерфейс - 192.168.0.2
Клиент - 192.168.0.3, основной шлюз 192.168.0.1
Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
И пакеты должны идти так:
192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Merridius (ok) on 28-Мрт-13, 11:47

>[оверквотинг удален]
> LAN сегмент локальный - 192.168.0.0/24
> LAN сегмент удаленный - 192.168.1.1/24
> ASA LAN интерфейс - 192.168.0.1
> Сервер OpenVPN LAN интерфейс - 192.168.0.2
> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
> И пакеты должны идти так:
> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
same-security-traffic permit intra-interface прописано?
А вообще правильно сделать так: все ваши сервера с сервисами, в том числе openvpn, переместить в другой vlan, с другим security level, короче создать DMZ.
На клиентах в качестве default gateway указать циску.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Маршрут через другой маршрутизатор в локалке" +/–

Сообщение от Alting (ok) on 28-Мрт-13, 12:36

>[оверквотинг удален]
>> LAN сегмент удаленный - 192.168.1.1/24
>> ASA LAN интерфейс - 192.168.0.1
>> Сервер OpenVPN LAN интерфейс - 192.168.0.2
>> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
>> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
>> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
>> И пакеты должны идти так:
>> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
>> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
> same-security-traffic permit intra-interface прописано?
Да, да, конечно, прописаны.
> А вообще правильно сделать так: все ваши сервера с сервисами, в том
> числе openvpn, переместить в другой vlan, с другим security level, короче
> создать DMZ.
Думал уже об этом.
Просто на самом деле сервер под asterisk, а OpenVPN у него вспомогательная функция для удаленных подключений к телефонии. И если его выносить, то только ночью :( Очень критична у нас телефония днем...
Лучше уж тогда вообще ничего не трогать и ручками писать еще один гейтвей на тех клиентах, кому нужна удаленная сеть...
> На клиентах в качестве default gateway указать циску.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маршрут через другой маршрутизатор в локалке"	+/–
Сообщение от Николай (??) on 27-Мрт-13, 15:05
>[оверквотинг удален] > Задача: > увидеть из локальной сети сеть удаленного клиента OpenVPN. > На ASA разрешены пинги везде и всюду. > Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt). > Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился > того, что сеть клиента пингуется, и с клиента также пингуются машины > локальной сети. > Но только пингуются, ни один сервис больше недоступен :( > Ну и tracreroute еще работает, конечно. > Чего я недокрутил, подскажите, пожалуйста! На аса наверное правил разрешающих не хватает или ограничения по аксес листам на самом ВПН сервере. Как-то не очень информативные начальные условия. Что пакеттрасер на АСЕ говорит? И почему ВПН не перенести на АСУ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Маршрут через другой маршрутизатор в локалке"	+/–
	Сообщение от Alting (ok) on 27-Мрт-13, 15:15
	>[оверквотинг удален] >> увидеть из локальной сети сеть удаленного клиента OpenVPN. >> На ASA разрешены пинги везде и всюду. >> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt). >> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился >> того, что сеть клиента пингуется, и с клиента также пингуются машины >> локальной сети. >> Но только пингуются, ни один сервис больше недоступен :( >> Ну и tracreroute еще работает, конечно. >> Чего я недокрутил, подскажите, пожалуйста! > На аса наверное правил разрешающих не хватает Вот скорее всего. > или ограничения по аксес листам > на самом ВПН сервере. нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть за OpenVPN сам сервер OpenVPN - то все работает. > Как-то не очень информативные начальные условия. Что > пакеттрасер на АСЕ говорит? Да ничего не говорит... Что TCP, что UDP - RESULT - The packet is allowed в обе стороны :( > И почему ВПН не перенести на АСУ? Это как? ASA умеет OpenVPN?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Маршрут через другой маршрутизатор в локалке"	+/–
	Сообщение от Alting (ok) on 27-Мрт-13, 16:28
	>[оверквотинг удален] >> или ограничения по аксес листам >> на самом ВПН сервере. > нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть > за OpenVPN сам сервер OpenVPN - то все работает. >> Как-то не очень информативные начальные условия. Что >> пакеттрасер на АСЕ говорит? > Да ничего не говорит... Что TCP, что UDP - RESULT - The > packet is allowed в обе стороны :( >> И почему ВПН не перенести на АСУ? > Это как? ASA умеет OpenVPN? Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN. Я указал IP этого сервера в качестве шлюза на другой машине. Все работает. Пакет идет от клиента на сервер, от него на сервер OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента OpenVPN и дальше в локалку за клиентом. Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только в каких....
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Маршрут через другой маршрутизатор в локалке"	+/–
	Сообщение от Alting (ok) on 28-Мрт-13, 11:35
	>[оверквотинг удален] >>> И почему ВПН не перенести на АСУ? >> Это как? ASA умеет OpenVPN? > Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную > сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN. > Я указал IP этого сервера в качестве шлюза на другой машине. > Все работает. Пакет идет от клиента на сервер, от него на сервер > OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента > OpenVPN и дальше в локалку за клиентом. > Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только > в каких.... Продолжая тихо сам с собою... :) Скорее всего, моя проблема кроется в том, что пакеты уходят через один шлюз, а возвращаются через другой. Правда, непонятно тогда в таком случае, почему пинги идут?.. К примеру, как тут: http://www.cisco.com/en/US/products/ps6120/products_configur... Все беда в том, что везде рассматриваются варианты с внешнем интерфейсом ASA. А у меня-то как раз получается, что он не задействован. Клиент находится не "за ASA", а за другим сервером, который расположен в том же LAN сегменте, что и ASA. Т.е. пакеты с внутреннего на внешний интерфейс в ASA не идут, а сразу перенаправляются на LAN интерфейс нужного сервера. Пример моей конфигурации: LAN сегмент локальный - 192.168.0.0/24 LAN сегмент удаленный - 192.168.1.1/24 ASA LAN интерфейс - 192.168.0.1 Сервер OpenVPN LAN интерфейс - 192.168.0.2 Клиент - 192.168.0.3, основной шлюз 192.168.0.1 Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1 Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1 И пакеты должны идти так: 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Маршрут через другой маршрутизатор в локалке"	+/–
	Сообщение от Merridius (ok) on 28-Мрт-13, 11:47
	>[оверквотинг удален] > LAN сегмент локальный - 192.168.0.0/24 > LAN сегмент удаленный - 192.168.1.1/24 > ASA LAN интерфейс - 192.168.0.1 > Сервер OpenVPN LAN интерфейс - 192.168.0.2 > Клиент - 192.168.0.3, основной шлюз 192.168.0.1 > Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1 > Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1 > И пакеты должны идти так: > 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер > OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента) same-security-traffic permit intra-interface прописано? А вообще правильно сделать так: все ваши сервера с сервисами, в том числе openvpn, переместить в другой vlan, с другим security level, короче создать DMZ. На клиентах в качестве default gateway указать циску.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Маршрут через другой маршрутизатор в локалке"	+/–
	Сообщение от Alting (ok) on 28-Мрт-13, 12:36
	>[оверквотинг удален] >> LAN сегмент удаленный - 192.168.1.1/24 >> ASA LAN интерфейс - 192.168.0.1 >> Сервер OpenVPN LAN интерфейс - 192.168.0.2 >> Клиент - 192.168.0.3, основной шлюз 192.168.0.1 >> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1 >> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1 >> И пакеты должны идти так: >> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер >> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента) > same-security-traffic permit intra-interface прописано? Да, да, конечно, прописаны. > А вообще правильно сделать так: все ваши сервера с сервисами, в том > числе openvpn, переместить в другой vlan, с другим security level, короче > создать DMZ. Думал уже об этом. Просто на самом деле сервер под asterisk, а OpenVPN у него вспомогательная функция для удаленных подключений к телефонии. И если его выносить, то только ночью :( Очень критична у нас телефония днем... Лучше уж тогда вообще ничего не трогать и ручками писать еще один гейтвей на тех клиентах, кому нужна удаленная сеть... > На клиентах в качестве default gateway указать циску.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору