URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16105
[ Назад ]

Исходное сообщение
"Помогите разобраться с маршрутизацией ASA 5510"
Отправлено Bronya , 23-Апр-08 11:31

Ситуация такая, есть в локалке 2 маршрутизатора. Первый для инета, второй - корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. мимо первого.
Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через асу - все работает.
Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как в такой ситуации сделать исключающее правило?!

Содержание

Помогите разобраться с маршрутизацией ASA 5510,ВОЛКА, 11:48 , 23-Апр-08
- Помогите разобраться с маршрутизацией ASA 5510,Bronya, 12:10 , 23-Апр-08
  - Помогите разобраться с маршрутизацией ASA 5510,ВОЛКА, 13:48 , 23-Апр-08

Сообщения в этом обсуждении

"Помогите разобраться с маршрутизацией ASA 5510"
Отправлено ВОЛКА , 23-Апр-08 11:48

>[оверквотинг удален]
>корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем
>соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким
>образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е.
>мимо первого.
>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и
>udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно
>tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через
>асу - все работает.
>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как
>в такой ситуации сделать исключающее правило?!
ну так сделайте, чтобы весь трафик проходил через ASA
иначе нафиг вы ее вообще поставили?

"Помогите разобраться с маршрутизацией ASA 5510"
Отправлено Bronya , 23-Апр-08 12:10

>[оверквотинг удален]
>>мимо первого.
>>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и
>>udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно
>>tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через
>>асу - все работает.
>>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как
>>в такой ситуации сделать исключающее правило?!
>
>ну так сделайте, чтобы весь трафик проходил через ASA
>иначе нафиг вы ее вообще поставили?
Так оно и будет, просто пока нужна именно такая схема.
-------------
Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает на рабочую станцию динамический маршрут на второй маршрутизатор и после этого соединение устанавливается как надо.

"Помогите разобраться с маршрутизацией ASA 5510"
Отправлено ВОЛКА , 23-Апр-08 13:48

>[оверквотинг удален]
>>ну так сделайте, чтобы весь трафик проходил через ASA
>>иначе нафиг вы ее вообще поставили?
>
>Так оно и будет, просто пока нужна именно такая схема.
>
>-------------
>
>Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает
>на рабочую станцию динамический маршрут на второй маршрутизатор и после этого
>соединение устанавливается как надо.
вам надоотключить tcp рандомизацию
PIX515(config)# policy-map global_policy
PIX515(config-pmap)#  class inspection_default
PIX515(config-pmap-c)# set connection random-sequence-number ?
mpf-policy-map-class mode commands/options:
  disable  Disable TCP sequence number randomization
  enable   Enable TCP sequence number randomization