Коллеги, добрый день!
Помогите, пожалуйста, в банальной задаче.
Есть корпоративная сеть работающая на Cisco 3850 (Ядро), Cisco 2960 (DMZ) и Cisco ASA
Схема подключения отражена в облаке, по ссылке https://dropmefiles.com/Yl9uvЗадача: сделать для ПК маршрут таким образом, чтобы в Интернет выходить через IP адрес 10.3.0.130 (VDOM ROOT). В системе не было никаких настроек Прокси сервера.
Сейчас все пользователи выходят через IP 10.3.0.244 (VDOM Proxy)
Когда FortiGate100D внедряли никаких спец. маршрутов не делали.
С ПК 10.343.79.2 адрес 10.3.0.130 пингуетсяC:\WINDOWS\system32>tracert 10.3.0.130
Трассировка маршрута к 10.3.0.130 с максимальным числом прыжков 30
1 2 ms 2 ms 1 ms 10.43.79.1
2 <1 мс <1 мс 1 ms 10.3.0.130Трассировка завершена.
C:\WINDOWS\system32>ipconfig
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . :
IPv4-адрес. . . . . . . . . . . . : 10.43.79.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.43.79.1Основной шлюз живет на Cisco 3850
Если я убираю настройки прокси сервера в системе и включаю снифер на 10.3.0.130, то никаких пакетов в принципе не приходит.
Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244
Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было.
Понимаю, что не всю инфу привел. Скажите какую я предоставлю.
> Основной шлюз живет на Cisco 3850
> Если я убираю настройки прокси сервера в системе и включаю снифер на
> 10.3.0.130, то никаких пакетов в принципе не приходит.
> Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244
> Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было.Если надо "как сейчас, но через другой VDOM", то пишите 10.3.0.130 в прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.
Если же вам надо избавиться от прокси вообще, то надо как-то сказать Cisco 3850 что
если src_ip == 10.43.79.2/24
то 0.0.0.0/0 via 10.3.0.130Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо создать route-map с условием какой IP у отправителя и next-hop желаемого шлюза.
В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему провайдеру подключён.
>[оверквотинг удален]
> прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.
> Если же вам надо избавиться от прокси вообще, то надо как-то сказать
> Cisco 3850 что
> если src_ip == 10.43.79.2/24
> то 0.0.0.0/0 via 10.3.0.130
> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
> создать route-map с условием какой IP у отправителя и next-hop желаемого
> шлюза.
> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
> провайдеру подключён.Тех поддержка Фортигейта ушла из России.
Я на 3850 прописал маршрут для своего ПК
10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли она проц на моей 3850. Мнения разные.
>[оверквотинг удален]
>> Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо
>> создать route-map с условием какой IP у отправителя и next-hop желаемого
>> шлюза.
>> В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему
>> провайдеру подключён.
> Тех поддержка Фортигейта ушла из России.
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.правильные ли мои настройки PBR на 3850?
distrib#sh run int vlan 437
interface Vlan437
description IT
ip address 10.43.79.1 255.255.255.0
ip helper-address 10.3.0.23
end###Настройки
conf t
ip access-list extended ACL-ROOT
permit ip any 10.43.72.2 255.255.255.255
route-map ROOT
match ip address ACL-ROOT
set ip next-hop 10.3.0.130
>[оверквотинг удален]
> ip address 10.43.79.1 255.255.255.0
> ip helper-address 10.3.0.23
> end
> ###Настройки
> conf t
> ip access-list extended ACL-ROOT
> permit ip any 10.43.72.2 255.255.255.255
> route-map ROOT
> match ip address ACL-ROOT
> set ip next-hop 10.3.0.130conf t
int vlan437
ip policy route-map ROOT
end
>[оверквотинг удален]
>> conf t
>> ip access-list extended ACL-ROOT
>> permit ip any 10.43.72.2 255.255.255.255
>> route-map ROOT
>> match ip address ACL-ROOT
>> set ip next-hop 10.3.0.130
> conf t
> int vlan437
> ip policy route-map ROOT
> endСделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
Получается мне на Фортигейте нужно маршруты прописывать? Какие?
https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
>[оверквотинг удален]
>>> match ip address ACL-ROOT
>>> set ip next-hop 10.3.0.130
>> conf t
>> int vlan437
>> ip policy route-map ROOT
>> end
> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схемуУ вас в PBR используется Extended ACL.
Исключите в ACL внутренние подсети.
>[оверквотинг удален]
>>> conf t
>>> int vlan437
>>> ip policy route-map ROOT
>>> end
>> Сделал PBR и сеть у меня полностью отвалилась, т.к. все пакеты побежали
>> на Фортигейт, даже внутренний портал отвалился, как и доступ к 3850.
>> Получается мне на Фортигейте нужно маршруты прописывать? Какие?
>> https://dropmefiles.com/BqStE добавил уровень распределения и сервера в схему
> У вас в PBR используется Extended ACL.
> Исключите в ACL внутренние подсети.Вот так будет ACL выглядеть?
ip access-list extended ACL-ROOT
permit ip any 10.43.79.2 255.255.255.255
deny ip any 10.0.0.0 0.0.0.255
deny ip any 172.16.0.0 0.0.240.255
deny ip any 192.168.0.0 0.0.255.255Почему то мой ACL
строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
Extended IP access list ACL-ROOT
10 permit ip any any
20 deny ip any 10.0.0.0 0.0.0.255
30 deny ip any 172.16.0.0 0.0.240.255
40 deny ip any 192.168.0.0 0.0.255.255
>[оверквотинг удален]
> deny ip any 10.0.0.0 0.0.0.255
> deny ip any 172.16.0.0 0.0.240.255
> deny ip any 192.168.0.0 0.0.255.255
> Почему то мой ACL
> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
> Extended IP access list ACL-ROOT
> 10 permit ip any any
> 20 deny ip any 10.0.0.0 0.0.0.255
> 30 deny ip any 172.16.0.0 0.0.240.255
> 40 deny ip any 192.168.0.0 0.0.255.255Потому, что это обратная маска.
Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL ключевое слово host.
>[оверквотинг удален]
>> Почему то мой ACL
>> строку permit ip any 10.43.79.2 255.255.255.255 превратил в permit ip any any
>> Extended IP access list ACL-ROOT
>> 10 permit ip any any
>> 20 deny ip any 10.0.0.0 0.0.0.255
>> 30 deny ip any 172.16.0.0 0.0.240.255
>> 40 deny ip any 192.168.0.0 0.0.255.255
> Потому, что это обратная маска.
> Если у вас проблема с этим понятием, тогда попробуйте использовать в ACL
> ключевое слово host.ДА, ошибку нашел.
ACL теперь выглядит такip access-list extended ACL-ROOT
permit ip host 10.43.79.2 any
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсыНа Фотригейте следующие маршруты
10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
0.0.0.0/0 SD-WAN Enabled
172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
10.45.5.0/24 10.3.0.254 Internal Root (port1) Enabled
>[оверквотинг удален]
> deny ip any 172.16.0.0 0.15.255.255
> deny ip any 192.168.0.0 0.0.255.255
> При использовании ACL выше, отваливается сеть. Недоступны ни интернет ни внутренние ресурсы
> На Фотригейте следующие маршруты
> 10.0.0.0/8 10.3.0.254 Internal Root (port1) Enabled
> 0.0.0.0/0 SD-WAN Enabled
> 172.16.233.0/24 10.3.0.254 Internal Root (port1) Enabled
> 192.168.24.0/23 10.3.0.254 Internal Root (port1) Enabled
> 10.3.0.0/24 10.3.0.254 Internal Root (port1) Enabled
> 10.45.5.0/24 10.3.0.254 Internal Root (port1) EnabledПравильно ли я настроил то, что хочу реализовать?
Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130, мой запрос проходит через route-map, далее сверяется с ACL и видно что хочу гугл - меня бросает на хоп 10.3.0.130.
Если же я хочу доступ к внутреннему серверу 1с, то при сверке с ACL я натыкаюсь на deny и меня должно пропустить по имеющимся маршрутам.Все так?
ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на 3850?
>[оверквотинг удален]
> Правильно ли я настроил то, что хочу реализовать?
> Я со своего ПК (10.43.79.2) хочу получить выход в Интернет через 10.3.0.130,
> мой запрос проходит через route-map, далее сверяется с ACL и видно
> что хочу гугл - меня бросает на хоп 10.3.0.130.
> Если же я хочу доступ к внутреннему серверу 1с, то при сверке
> с ACL я натыкаюсь на deny и меня должно пропустить по
> имеющимся маршрутам.
> Все так?
> ЗЫ: И точно ли в моей схеме, мне нужно маршрут делать на
> 3850?No, in ACL first you have to deny traffic for LAN then allow for Inet, like
!
ip access-list extended ACL-ROOT
deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
!... deny also to internal white IPs/Networks if you have such
!... etc
permit ip host 10.43.79.2 any
!
end
>[оверквотинг удален]
> !
> ip access-list extended ACL-ROOT
> deny ip host 10.43.79.2 10.0.0.0 0.255.255.255
> deny ip host 10.43.79.2 172.16.0.0 0.15.255.255
> deny ip host 10.43.79.2 192.168.0.0 0.0.255.255
> !... deny also to internal white IPs/Networks if you have such
> !... etc
> permit ip host 10.43.79.2 any
> !
> endВот за это спасибо большое. Трафик пришел туда куда нужно.
PS: Если я захочу сети добавить, то правило будет так выглядеть?
deny ip 10.43.79.2 255.255.255.0 10.0.0.0 0.255.255.255
deny ip 10.43.79.2 255.255.255.0 172.16.0.0 0.15.255.255
deny ip 10.43.79.2 255.255.255.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 anyИ еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети (по RFC) в правиле, как мне правильнее сделать?
Нужен ACL который из всех внутренних сетей будет делать deny на все внутренние сети, а nex hop делать, только если запрос вышел за пределы RFCdeny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 anyРазрешающие сети я бы все таки каждую отдельно добавил
>[оверквотинг удален]
> И еще вопрос по правильности. Чтобы мне не добавлять все внутренние сети
> (по RFC) в правиле, как мне правильнее сделать?
> Нужен ACL который из всех внутренних сетей будет делать deny на все
> внутренние сети, а nex hop делать, только если запрос вышел за
> пределы RFC
> deny ip 10.0.0.0 255.0.0.0 10.0.0.0 0.255.255.255
> deny ip 172.16.0.0 255.240.0.0 172.16.0.0 0.15.255.255
> deny ip 192.168.0.0 255.255.0.0 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Разрешающие сети я бы все таки каждую отдельно добавил1. no, for network you have to do so
deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any2. no. you have to defain 3x3 rules if you want to deny traffic between all rfc1918 nets, like
deny from 10 to 10
deny from 10 to 172
deny from 10 to 192
deny from 172 to 10
...
...
...but in general (it really depends on your network setup), you can do
deny from any to 10
deny from any to 172
deny from any to 192
then
allow from your net to any
...something like that
>[оверквотинг удален]
> ...
> but in general (it really depends on your network setup), you can
> do
> deny from any to 10
> deny from any to 172
> deny from any to 192
> then
> allow from your net to any
> ...
> something like thatСпасибо за ответ
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалиласьЗакономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".
А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip.Конкретику вам уже всю объяснили выше по ветке, поздравляю.
Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.
И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.
И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.Ну, вот он шанс попробовать и сей опыт обрести.
Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".
>[оверквотинг удален]
> И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до
> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
> Интернета вернулись куда надо.
> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>> она проц на моей 3850. Мнения разные.
> Ну, вот он шанс попробовать и сей опыт обрести.
> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
> остального. Потом будете при случае расказывать "да, я делал так-то и
> получилось вот что".Спасибо за разъяснение
>[оверквотинг удален]
>> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
>> Интернета вернулись куда надо.
>> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>>> она проц на моей 3850. Мнения разные.
>> Ну, вот он шанс попробовать и сей опыт обрести.
>> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
>> остального. Потом будете при случае расказывать "да, я делал так-то и
>> получилось вот что".
> Спасибо за разъяснениеПодскажите, пожалуйста, еще раз.
Делаю ACL для сетейdeny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 anyНо запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any
Как правильно сеть 10.43.79.0/24 в permit прописать?
>[оверквотинг удален]
>> Спасибо за разъяснение
> Подскажите, пожалуйста, еще раз.
> Делаю ACL для сетей
> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
> 255.255.255.0 any
> Как правильно сеть 10.43.79.0/24 в permit прописать?1. Наконец понять что такое wildcard и прямая маска.
2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
>[оверквотинг удален]
>> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
>> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
>> permit ip 10.43.79.2 255.255.255.0 any
>> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
>> 255.255.255.0 any
>> Как правильно сеть 10.43.79.0/24 в permit прописать?
> 1. Наконец понять что такое wildcard и прямая маска.
> 2. Понять что если что-то попало в ACL и обработалось, то второй
> раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
> 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.Подскажите, пожалуйста, по новому косяку.
После всех вышеизложенных советов, у меня ACL выглядит так
Extended IP access list ACL-ROOT
10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)
20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)
30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)
40 permit ip 10.43.79.0 0.0.0.255 any (982 matches)Route-map ниже
distrib#sh route-map ROOT
route-map ROOT, permit, sequence 10
Match clauses:
ip address (access-lists): ACL-ROOT
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 1455 packets, 170877 bytesЯ хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается.
В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)
>[оверквотинг удален]
> Set clauses:
> ip next-hop 10.3.0.130
> Policy routing matches: 1455 packets, 170877 bytes
> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
> отваливается.
> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
> 10.3.0.130 (это прокся)Подскажите, пожалуйста, с моим вопросом
>[оверквотинг удален]
>> ip next-hop 10.3.0.130
>> Policy routing matches: 1455 packets, 170877 bytes
>> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
>> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
>> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
>> отваливается.
>> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
>> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
>> 10.3.0.130 (это прокся)
> Подскажите, пожалуйста, с моим вопросомPBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно.
Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).
Возможно проверять html код куда ведут ссылки на документы.Это вам нужен отдельный админ (и может не один), а не форум в интернете.