URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1166
[ Назад ]

Исходное сообщение
"Маршрутизация asa 5510 "
Отправлено Кирилл , 25-Дек-13 19:30

Всем добрый вечер.
На сети стоит asa 5510 (8.4) работает шлюзом по умолчанию и выпускает всех в инет,
IP 192.168.2.2.
Внутренняя сеть 192.168.2.0/24, внутри есть еще один шлюз с IP 192.168.2.10 за ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут до этой подсети, либо ручками либо в DHCP. Очень хочется сделать это как то централизованно то есть на asa прописать роут до этой подсети через 192.168.2.10.
Вот что я уже сделал: прописал
route inside 192.168.5.0 255.255.255.0 192.168.2.10 1
same-security-traffic permit intra-interface
Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой другой не идет.
Пните в нужную сторону, или asa так не умеет?

Содержание

Маршрутизация asa 5510 ,Merridius, 20:00 , 25-Дек-13
- Маршрутизация asa 5510 ,Кирилл, 20:05 , 25-Дек-13
  - Маршрутизация asa 5510 ,Merridius, 20:24 , 25-Дек-13
    - Маршрутизация asa 5510 ,Merridius, 20:31 , 25-Дек-13
    - Маршрутизация asa 5510 ,Кирилл, 20:55 , 25-Дек-13
      - Маршрутизация asa 5510 ,Merridius, 23:03 , 25-Дек-13
        
        Маршрутизация asa 5510 ,Ajavrik, 15:59 , 27-Дек-13
        
        Маршрутизация asa 5510 ,spiegel, 15:57 , 09-Янв-14
        
        Маршрутизация asa 5510 ,Merridius, 09:13 , 10-Янв-14

Сообщения в этом обсуждении

"Маршрутизация asa 5510 "
Отправлено Merridius , 25-Дек-13 20:00

>[оверквотинг удален]
> ним сетка 192.168.5.0/24. Сейчас кому нужно в подсеть 192.168.5.0/24 прописан роут
> до этой подсети, либо ручками либо в DHCP. Очень хочется сделать
> это как то централизованно то есть на asa прописать роут до
> этой подсети через 192.168.2.10.
> Вот что я уже сделал: прописал
> route inside 192.168.5.0 255.255.255.0 192.168.2.10 1
> same-security-traffic permit intra-interface
> Сеть начала пинговаться, но вот TCP пакеты например порт 3389 или любой
> другой не идет.
> Пните в нужную сторону, или asa так не умеет?
Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.

"Маршрутизация asa 5510 "
Отправлено Кирилл , 25-Дек-13 20:05

> Используйте packet-tracer на асе, он вам расскажет почему не ходит трафик.
Судя по нему все хорошо:
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.168.5.0     255.255.255.0   inside
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 121 in interface inside
access-list 121 extended permit ip any any
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: FLOW-EXPORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 23613107, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

"Маршрутизация asa 5510 "
Отправлено Merridius , 25-Дек-13 20:24

>[оверквотинг удален]
> Additional Information:
> New flow created with id 23613107, packet dispatched to next module
> Result:
> input-interface: inside
> input-status: up
> input-line-status: up
> output-interface: inside
> output-status: up
> output-line-status: up
> Action: allow
А на другом роутере все в порядке? Обратный роут есть? ACL?

"Маршрутизация asa 5510 "
Отправлено Merridius , 25-Дек-13 20:31

>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?
Вообще лучший вариант здесь - это для асы и роутера выделить отдельную подсеть линковую, и гонять трафик через нее, тогда не будет заморочки с icmp redirect, и масштабируемость увеличиться в разы.

"Маршрутизация asa 5510 "
Отправлено Кирилл , 25-Дек-13 20:55

>[оверквотинг удален]
>> New flow created with id 23613107, packet dispatched to next module
>> Result:
>> input-interface: inside
>> input-status: up
>> input-line-status: up
>> output-interface: inside
>> output-status: up
>> output-line-status: up
>> Action: allow
> А на другом роутере все в порядке? Обратный роут есть? ACL?
На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.
А не может быть загвоздка в том, что когда идет пакет на адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше попадает на 192.168.5.3
тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу попадает на хост отправителя. Или я где то не прав?

"Маршрутизация asa 5510 "
Отправлено Merridius , 25-Дек-13 23:03

>[оверквотинг удален]
>>> output-line-status: up
>>> Action: allow
>> А на другом роутере все в порядке? Обратный роут есть? ACL?
> На другом Роуте Шлюз по умолчанию 192.168.2.2 тот через который должны ходить.
> Самое интересно, что я вижу трафик на 192.168.2.10 значит маршрут сработал.
> А не может быть загвоздка в том, что когда идет пакет на
> адрес 192.168.5.3 доходит до 192.168.2.2 его там разворачивает на 192.168.2.10 дальше
> попадает на 192.168.5.3
> тот отвечает, ответ проходит через 192.168.2.10 и незаходя на 192.168.2.2 сразу
> попадает на хост отправителя. Или я где то не прав?
По идее да, поскольку asa не поддерживает icmp redirect, то не может назначить хосту роут до .5.0 через .2.10.
Я вам выше уже написал лучшее решение, как минимум, с точки зрения best practice.

"Маршрутизация asa 5510 "
Отправлено Ajavrik , 27-Дек-13 15:59

Решал аналогичное, примерно неделю назад.
Пришел к выводу что это асимметричный маршрут, но настроить не смог и выкрутился так, что поставил на каждый хост НАТ (их у меня десяток).
Такой вывод делал из того, что ставил третий шлюз на FreeBSD и вот с ним все работало ОК.
А когда ASA шла через циску то облом.
Причем tcpdump показывал что уходит с хоста syn возвращается с сервера syn win, и потом хост пускает rst, т.е. маршруты все правильные т.к. пакеты ходят, а вот в пакете что-то не так.

"Маршрутизация asa 5510 "
Отправлено spiegel , 09-Янв-14 15:57

А не забыли, что аса это прежде всего файерволл? Если юзер шлет tcp syn через асу, а получает ack минуя ее, то аса, инспектируя пакет, естественно дропает его, согласно своему предназначению.
Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы, или разбить один физический на 2 логических, при условии, что свитч поддерживает транк и в обоих случаях сделать отдельную подсеть для линка асы с роутером.

"Маршрутизация asa 5510 "
Отправлено Merridius , 10-Янв-14 09:13

> А не забыли, что аса это прежде всего файерволл? Если юзер шлет
> tcp syn через асу, а получает ack минуя ее, то аса,
> инспектируя пакет, естественно дропает его, согласно своему предназначению.
> Тут два варианта на асе - или разрулить трафик через отдельные интерфейсы,
> или разбить один физический на 2 логических, при условии, что свитч
> поддерживает транк и в обоих случаях сделать отдельную подсеть для линка
> асы с роутером.
Ну так, собственно поэтому и icmp redirect не поддерживается.