Всем привет.
Есть сервак к которому подключаются клиенты через провайдерские каналы. На default gateway сервера (Cisco 3845) прописаны статические маршруты до клиентских сетей. Шлюзом этих маршрутов является IP провайдера:

ip route 10.11.0.10 255.255.255.255 192.168.111.240
ip route 10.11.0.14 255.255.255.255 192.168.111.240
ip route 10.11.0.21 255.255.255.255 192.168.111.220
ip route 10.11.0.30 255.255.255.255 192.168.111.220
ip route 10.11.0.34 255.255.255.255 192.168.111.240
ip route 169.162.188.0 255.255.255.128 192.168.111.240
ip route 169.162.242.0 255.255.255.0 192.168.111.240
...
сеток довольно много.

возникла необходимость перенести эту статику на Cisco ASA.

route inside 10.11.0.10 255.255.255.255 192.168.111.240
route inside 10.11.0.14 255.255.255.255 192.168.111.240
route inside 10.11.0.21 255.255.255.255 192.168.111.220
route inside 10.11.0.30 255.255.255.255 192.168.111.220
route inside 10.11.0.34 255.255.255.255 192.168.111.240
route inside 169.162.188.0 255.255.255.128 192.168.111.240
route inside 169.162.242.0 255.255.255.0 192.168.111.240

ASA и провайдерский шлюз в одной IP сети (на ASA IP - 192.168.111.167). Друг друга видят, все IP открыто. При переносе маршрутов на АСУ клиенты не могут подключиться к серверу, при этом на сервере наблюдается такая картина:

mars# netstat -n | grep 192.168.111.2 | grep 1530
tcp        0      0 192.168.111.2:1530      172.26.181.14:1241      SYN_RECV
tcp        0      0 192.168.111.2:1530      192.168.49.42:1043      SYN_RECV
tcp        0     74 192.168.111.2:1530      192.168.49.42:3086      SYN_RECV
и так по всем сетям.
т.е. получается что соединения до сервера проходят, но TCP сессия не устанавливается ?

как только возвращаю маршруты обратно на 3845 все нормализуется. TCP сессии устанавливаются:

mars# netstat -n | grep 192.168.111.2 | grep 1530
tcp        0      0 192.168.111.2:1530      172.26.181.14:1241      ESTABLISHED
tcp        0      0 192.168.111.2:1530      192.168.49.42:1043      ESTABLISHED
tcp        0     74 192.168.111.2:1530      192.168.49.42:3086      ESTABLISHED

не подскажите в чем причина может быть ?

• Статическая маршрутизация на Cisco ASA и TCP сессии,sTALK_specTrum, 10:54 , 07-Мрт-13
  • Статическая маршрутизация на Cisco ASA и TCP сессии,Vova, 11:32 , 07-Мрт-13
    • Статическая маршрутизация на Cisco ASA и TCP сессии,Aleks305, 15:17 , 07-Мрт-13
• Статическая маршрутизация на Cisco ASA и TCP сессии,vg, 16:28 , 07-Мрт-13
  • Статическая маршрутизация на Cisco ASA и TCP сессии,sTALK_specTrum, 17:17 , 07-Мрт-13
  • Статическая маршрутизация на Cisco ASA и TCP сессии,sTALK_specTrum, 19:40 , 07-Мрт-13
    • Статическая маршрутизация на Cisco ASA и TCP сессии,Vova, 06:55 , 11-Мрт-13
      • Статическая маршрутизация на Cisco ASA и TCP сессии,eek, 07:37 , 11-Мрт-13
      • Статическая маршрутизация на Cisco ASA и TCP сессии,sTALK_specTrum, 12:04 , 11-Мрт-13
• Статическая маршрутизация на Cisco ASA и TCP сессии,Co6aka_IIokycaka, 19:44 , 21-Мрт-13
  • Статическая маршрутизация на Cisco ASA и TCP сессии,Alting, 18:02 , 27-Мрт-13
    • Статическая маршрутизация на Cisco ASA и TCP сессии,Vova, 07:33 , 19-Июн-13
      • Статическая маршрутизация на Cisco ASA и TCP сессии,Alting, 12:55 , 19-Июн-13
        • Статическая маршрутизация на Cisco ASA и TCP сессии,Vova Ivanov, 14:42 , 19-Июн-13
          • Статическая маршрутизация на Cisco ASA и TCP сессии,Alting, 15:20 , 19-Июн-13

> не подскажите в чем причина может быть ?

В первую очередь смотреть ACLs

>> не подскажите в чем причина может быть ?
> В первую очередь смотреть ACLs

access-list 1 extended permit ip any any
access-group 1 in interface inside
access-group 1 out interface inside

>>> не подскажите в чем причина может быть ?
>> В первую очередь смотреть ACLs
> access-list 1 extended permit ip any any
> access-group 1 in interface inside
> access-group 1 out interface inside

ох...ный конфиг)как раз для межсетевого экрана)

а сервер обратно пакеты как отсылает? Тоже через ASA?
ибо очень похоже что первый пакет до сервера дошел, а обратно нет

Тоже вариант.
Пакеты туда и обратно идут разными путями - ходовая залипуха.

Тоже вариант.
Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.

> Тоже вариант.
> Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.

да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а аса - не хочет. можно это как-то обойти временно средствами асы ? на счет аксес листов - позже все будет настроено как положено.

> аса - не хочет. можно это как-то обойти временно средствами асы
> ? на счет аксес листов - позже все будет настроено как
> положено.

https://supportforums.cisco.com/docs/DOC-14491

> да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а
> аса - не хочет. можно это как-то обойти временно средствами асы ?

same-security-traffic permit intra-interface

И это не всегда, а только в том случае, если обратно проходящие пакеты входят и выходят на одном интерфейсе, как бы "отражаются". Если обратный маршрут вообще не касается ASA - то никак.

Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...

> Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а
> возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она
> режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...

Та же проблема, но фиг я что понял из примера :(
Configuration Examples for TCP State Bypass

The following is a sample configuration for TCP state bypass:

hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any

hostname(config)# class-map tcp_bypass

hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"

hostname(config-cmap)# match access-list tcp_bypass

hostname(config-cmap)# policy-map tcp_bypass_policy

hostname(config-pmap)# class tcp_bypass

hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass

hostname(config-pmap-c)# service-policy tcp_bypass_policy outside

hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224

где тут чьи айпишники?.. :(

Причем, ping и traceroute работают - все остальное - нет.

> где тут чьи айпишники?.. :(
> Причем, ping и traceroute работают - все остальное - нет.

IP адреса естественно ваши. В ACL указываете сеть либо хост для которого нужно делать tcp bypass.
Фича работает. У меня была версия 8.0 и там её не было. Обновил АСУ до 8.2 и все завелось.

>> где тут чьи айпишники?.. :(
>> Причем, ping и traceroute работают - все остальное - нет.
> IP адреса естественно ваши. В ACL указываете сеть либо хост для которого
> нужно делать tcp bypass.
> Фича работает. У меня была версия 8.0 и там её не было.
> Обновил АСУ до 8.2 и все завелось.

Да в том-то все и дело, что никак не пойму, как в примере заменить на мои.
Вот у меня, к примеру, так:
локалка в офисе - 172.16.0.0/24,
локалка в удаленном офисе - 192.168.1.0/25

как их подставить в пример? На какие места?

вот эта строчка:
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? Чей? Циски из локального офиса? Или клиента? Или что?

Помогите, пожалуйста, правильно прописать.

>[оверквотинг удален]
> Вот у меня, к примеру, так:
> локалка в офисе - 172.16.0.0/24,
> локалка в удаленном офисе - 192.168.1.0/25
> как их подставить в пример? На какие места?
> вот эта строчка:
> hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
> 255.255.255.224
> вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний?
> Чей? Циски из локального офиса? Или клиента? Или что?
> Помогите, пожалуйста, правильно прописать.

видимо что-то вроде этого:
access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0

это если нужно включить bypass между этими сетями.
static nat в примере вероятно для настройки bypass при доступе из инета.
в моем случае он не нужен, т.к. все вертится на inside интерфейсе в пределах одной сети. в вашем случае вероятно тоже nat не нужен.

>[оверквотинг удален]
>> Чей? Циски из локального офиса? Или клиента? Или что?
>> Помогите, пожалуйста, правильно прописать.
> видимо что-то вроде этого:
> access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
> access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0
> это если нужно включить bypass между этими сетями.
> static nat в примере вероятно для настройки bypass при доступе из инета.
> в моем случае он не нужен, т.к. все вертится на inside интерфейсе
> в пределах одной сети. в вашем случае вероятно тоже nat не
> нужен.

Как-то что-то заработало, пришлось еще в nonat правило добавить на удаленную сеть, без этого не работало.
Уф.
Спасибо Вам огромное!
Пошел разбираться, что я там намутил.