Цитата:
раньше неплохо использовал Sawmill (sawmill.net), сейчас нет необходимости
попробовал... сенкс и уважуха!!
» Настройка Cisco PIX Firewall / ASA
Цитата:
попробовал... сенкс и уважуха!!
Народ, а нет примеров конфигов ос, чтоб объединить 3 офиса, как тут нарисовано
http://www.lanmark.ru/solutions/vpn_cons.php , оч нада! Спасиба заранее.
http://www.lanmark.ru/solutions/vpn_cons.php , оч нада! Спасиба заранее.
Cucumber86
Дык, какое железо, какие версии софта, какие каналы и пр...
А вообще в сети уже достаточно много примеров настройки ip vpn
Дык, какое железо, какие версии софта, какие каналы и пр...
А вообще в сети уже достаточно много примеров настройки ip vpn
Cucumber86
конфиги-то есть, но подойдут ли они? ))
вообще, если грамотно поставишь тз (опишешь что нужно по сути и что есть), набить конфигурацию недолго.
конфиги-то есть, но подойдут ли они? ))
вообще, если грамотно поставишь тз (опишешь что нужно по сути и что есть), набить конфигурацию недолго.
возник вопрос.
WEB сервер.
открываем доступ к нему по HTTP снаружи внутрь, так же нужно изнутри наружи пустить ответ.
а как HTTPS та же история ? т.е. внутрь точно, а наружу так же ?
Name - Transport - Src port(low/high) - Dst port(low/high)
* HTTP - TCP - 1024/65535 80/80
* HTTPresponse - TCP - 80/80 - 1024/65535
* HTTPS - TCP - 1024/65535 - 443/443
* HTTPSresponse - TCP - 443/443 - 1024/65535
WEB сервер.
открываем доступ к нему по HTTP снаружи внутрь, так же нужно изнутри наружи пустить ответ.
а как HTTPS та же история ? т.е. внутрь точно, а наружу так же ?
Name - Transport - Src port(low/high) - Dst port(low/high)
* HTTP - TCP - 1024/65535 80/80
* HTTPresponse - TCP - 80/80 - 1024/65535
* HTTPS - TCP - 1024/65535 - 443/443
* HTTPSresponse - TCP - 443/443 - 1024/65535
slech
у web сервера ip внутренний?
можно через pix(asу) "пробросить" порт. Достаточно 2 команды на http и 2 на https.
для http:
static (inside, outside) <внешний_ip_адрес_pix> <порт_к_которому_будут_подключаться> <ip_адрес_WEB_сервера> <порт 80>
static (inside, outside) tcp 160.1.2.3 8080 192.168.1.1 80
и необходимо добавить acl
access-list xxx permit tcp any host 160.1.2.3 eq 8080
аналогично 2 команды для https:
static (inside, outside) tcp 160.1.2.3 4000 192.168.1.1 443
access-list xxx permit tcp any host 160.1.2.3 eq 4000
остается проверить, что access-group xxx будет висеть на outside интерфейсе.
Из LAN ничего доп-но открыть не нужно, у тебя pix, asa пропустят обратный трафик посмотрев таблицу соединений.
Если же речь идет об ios fw, можно воспользоваться командой ip inspect.
Текущий конфиг значительно облегчит задачу)
у web сервера ip внутренний?
можно через pix(asу) "пробросить" порт. Достаточно 2 команды на http и 2 на https.
для http:
static (inside, outside) <внешний_ip_адрес_pix> <порт_к_которому_будут_подключаться> <ip_адрес_WEB_сервера> <порт 80>
static (inside, outside) tcp 160.1.2.3 8080 192.168.1.1 80
и необходимо добавить acl
access-list xxx permit tcp any host 160.1.2.3 eq 8080
аналогично 2 команды для https:
static (inside, outside) tcp 160.1.2.3 4000 192.168.1.1 443
access-list xxx permit tcp any host 160.1.2.3 eq 4000
остается проверить, что access-group xxx будет висеть на outside интерфейсе.
Из LAN ничего доп-но открыть не нужно, у тебя pix, asa пропустят обратный трафик посмотрев таблицу соединений.
Если же речь идет об ios fw, можно воспользоваться командой ip inspect.
Текущий конфиг значительно облегчит задачу)
У меня есть подозрения что мой PIX 515 не сразу применяет в жизнь произведенные мною изменения в конфиге. Как только сделаю wr mem и затем reload, то всё начинает работать. Может есть какое-нить форсированное применение настроек?
newBuch
clear xlate
clear xlate
всем привет.
есть задача органихзовать routing между 3-мя интерфейсами ну и DMZ зона конечно же.
1-ый вариант - организовать 3-и зоны(3 VALN) и между ними routing и правила на firewall.
2-ой вариант - просто на уровне интерфейсов - routing + firewall.
прав ли я ?
спасибо.
есть задача органихзовать routing между 3-мя интерфейсами ну и DMZ зона конечно же.
1-ый вариант - организовать 3-и зоны(3 VALN) и между ними routing и правила на firewall.
2-ой вариант - просто на уровне интерфейсов - routing + firewall.
прав ли я ?
спасибо.
slech
если на ASA/PIX, то однозначно второй вариант.
если на ASA/PIX, то однозначно второй вариант.
Доброе время суток,
Есть два вопроса по PIX 501
Настроил Remote Access VPN. Split-tunnel прописал локальную сеть (10.0.x.x) и все чудесно заработало. Но есть два но.
1. При подключении из вне с VPN Client оно загоняет весь трафик в туннель. И вроде все как бы работает, но мне нужен в туннеле только трафик для локальной сети(10.0.x.x), а не весь. Абсолютно лишнее, если PIX еще и весь общий трафик от удаленных клиентов через себя будет пускать. На другом Роутере (Netgear) это получилось без напряг - в туннель идет трафик только для локальной сети от удаленных клиентов. А с остальной трафик обрабатывается самостоятельно клиентами.
2. Необходимо также создать также VPN Site-to-Site между центральным офисом Cisco PIX и филиалом (Netgear):
И все вроде опять таки хорошо, но вот на эту строчку ругается и не работает>
access-list outside_cryptomap_20 permit ip 10.0.x.x 255.255.255.0 192.168.y.y 255.255.255.0
[ERR]crypto map outside_map 20 set peer z.z.z.z
WARNING: This crypto map is incomplete.
To remedy the situation add a peer and a valid access-list to this crypto map.
Это же какого же ему access-list ему не хватает???? Все что я пребывал, не помогло. VPN не работает.
Если кто-то сможет подсказать, буду очень благодарен.
Есть два вопроса по PIX 501
Настроил Remote Access VPN. Split-tunnel прописал локальную сеть (10.0.x.x) и все чудесно заработало. Но есть два но.
1. При подключении из вне с VPN Client оно загоняет весь трафик в туннель. И вроде все как бы работает, но мне нужен в туннеле только трафик для локальной сети(10.0.x.x), а не весь. Абсолютно лишнее, если PIX еще и весь общий трафик от удаленных клиентов через себя будет пускать. На другом Роутере (Netgear) это получилось без напряг - в туннель идет трафик только для локальной сети от удаленных клиентов. А с остальной трафик обрабатывается самостоятельно клиентами.
2. Необходимо также создать также VPN Site-to-Site между центральным офисом Cisco PIX и филиалом (Netgear):
И все вроде опять таки хорошо, но вот на эту строчку ругается и не работает>
access-list outside_cryptomap_20 permit ip 10.0.x.x 255.255.255.0 192.168.y.y 255.255.255.0
[ERR]crypto map outside_map 20 set peer z.z.z.z
WARNING: This crypto map is incomplete.
To remedy the situation add a peer and a valid access-list to this crypto map.
Это же какого же ему access-list ему не хватает???? Все что я пребывал, не помогло. VPN не работает.
Если кто-то сможет подсказать, буду очень благодарен.
crypto isakmp client configuration group group1
key bla-bla-bla
pool VPN_pool
acl VPN
ip access-list extended VPN
permit ip 10.0.x.x 0.0.255.255 10.0.x.x 0.0.255.255
В этот акл (vpn) вешаем все роуты которые должны встать на клиентском хосте.
key bla-bla-bla
pool VPN_pool
acl VPN
ip access-list extended VPN
permit ip 10.0.x.x 0.0.255.255 10.0.x.x 0.0.255.255
В этот акл (vpn) вешаем все роуты которые должны встать на клиентском хосте.
Обновил PIX515e до 8.0(4) (лицензия UR), как теперь создаются vlan?, в описалове написано, что
interface vlan #
но такой команды вообще нет есть только
Ethernet IEEE 802.3
Redundant Redundant Interface
interface vlan #
но такой команды вообще нет есть только
Ethernet IEEE 802.3
Redundant Redundant Interface
всем привет. возник вопрос по добавлению object - группы хостов
(config)# name 208.111.160.44 WindowsUpdate_01 description download.windowsupdate.com
маску тут задать нельзя. а вот из ASDM можно.
(config)# object-group network WindowsUpdate
(config-network)# network-object 208.111.160.44 255.255.255.255
так я знаю но это не точто мне нужно.
единственное что я решил это добавление первой командойи потом правка из ASDM - можно ли другим способом ?
ещё вопрос про группы сервисов.
почему у cisco по умолчанию при создании севиса выставляется:
TCP src_port=0-65563
UDP src_por=1-65535
а не 1024-65535
(config)# name 208.111.160.44 WindowsUpdate_01 description download.windowsupdate.com
маску тут задать нельзя. а вот из ASDM можно.
(config)# object-group network WindowsUpdate
(config-network)# network-object 208.111.160.44 255.255.255.255
так я знаю но это не точто мне нужно.
единственное что я решил это добавление первой командойи потом правка из ASDM - можно ли другим способом ?
ещё вопрос про группы сервисов.
почему у cisco по умолчанию при создании севиса выставляется:
TCP src_port=0-65563
UDP src_por=1-65535
а не 1024-65535
eXcite
что-то типа
(config)#int e 3.1
(config-if)#vlan 1
что-то типа
(config)#int e 3.1
(config-if)#vlan 1
Цитата:
1. При подключении из вне с VPN Client оно загоняет весь трафик в туннель. И вроде все как бы работает, но мне нужен в туннеле только трафик для локальной сети(10.0.x.x), а не весь. Абсолютно лишнее, если PIX еще и весь общий трафик от удаленных клиентов через себя будет пускать. На другом Роутере (Netgear) это получилось без напряг - в туннель идет трафик только для локальной сети от удаленных клиентов. А с остальной трафик обрабатывается самостоятельно клиентами.
Как приятно самому спросить и самому ответить. Приятно, черт возьми, пообщаться с умным человеком.
Я очень хочу надеяться, что ниже написанное будет интересно всем остальным. Проблема была не в настройке PIX а в Cisco VPN Client 5.0.03 + Windows Vista. У всех остальных как клиентах, так и с этим же клиентом, но установленном на WinXP данной проблемы не наблюдается. Все работает абсолютно корректно. В туннель уходит трафик только для двух сетей прописанных в SplitTunnell. Уж не знаю, кто виноват VPN Client или ОС. Я честно говоря дальше не копал. Цитата:
2. Необходимо также создать также VPN Site-to-Site между центральным офисом Cisco PIX и филиалом (Netgear):
И все вроде опять таки хорошо, но вот на эту строчку ругается и не работает>
access-list outside_cryptomap_20 permit ip 10.0.x.x 255.255.255.0 192.168.y.y 255.255.255.0
[ERR]crypto map outside_map 20 set peer z.z.z.z
WARNING: This crypto map is incomplete.
To remedy the situation add a peer and a valid access-list to this crypto map.
Это же какого же ему access-list ему не хватает???? Все что я пребывал, не помогло. VPN не работает.
Проблема осталась. Причем она происходит, только если Site-to-Site конфигурирую вторым. А так, на чистый конфиг все ставиться. Это что же получается, что я не могу создать пару VPN подключений одновременно. Дык, а по документации я могу до 10 штук. В данном случае мне надо 2 раза Site-to-Site и максимально до 5 удаленных пользователей одновременно. Кстати, не сможет ли кто-то подсказать, а PIX 501 выдержит ли такою нагрузку да еще и офис 20 машин в придачу?
всем привет.
вопросик про firewall на ASA.
inside - sec-level=0
outside - sec-level=0
по умолчанию запрещён трафик между интерфейсами с одиноковыми sec-level.
и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 порту, то нужно
1. создать ALC на вход на outside по 80 порту - применить его
2. создать ACL на выход на inside по 80 порту и применить его.
если же выставить прохождение трафика при одинаковых sec-level то останется только 1 ACL.
верно ли то что я написал.
спасибо.
вопросик про firewall на ASA.
inside - sec-level=0
outside - sec-level=0
по умолчанию запрещён трафик между интерфейсами с одиноковыми sec-level.
и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 порту, то нужно
1. создать ALC на вход на outside по 80 порту - применить его
2. создать ACL на выход на inside по 80 порту и применить его.
если же выставить прохождение трафика при одинаковых sec-level то останется только 1 ACL.
верно ли то что я написал.
спасибо.
занимаюсь настройкой ASA 5510 -ASA 8.04 .
правила на прохождение между интерфейсами настроил.
стали проверять. всё работает.
если удалить дефолтную инспекцию трафика то трафик отказывается ходить и по PT и на реальном моделировании.
Везде встречал лишь то что для ICMP необходимо включать инспекцию если хотим не создавать 2 правила на in и out.
Но нигде не сказано, что если не будет вообще какой либо инспекции то трафик не будет вообще ходить между интерфейсами.
Проверяли на ftp и MS SQL протоколах. Кто может пояснить этот момент.
В книжке cisco-asa-pix-and-fwsm-firewall-handbook - не нашёл вообще про это. Судя по ней досточно просто правила in но так точно не хочет работать. Хотя мало ли может не коректная настройка.
спасибо.
правила на прохождение между интерфейсами настроил.
стали проверять. всё работает.
если удалить дефолтную инспекцию трафика то трафик отказывается ходить и по PT и на реальном моделировании.
Везде встречал лишь то что для ICMP необходимо включать инспекцию если хотим не создавать 2 правила на in и out.
Но нигде не сказано, что если не будет вообще какой либо инспекции то трафик не будет вообще ходить между интерфейсами.
Проверяли на ftp и MS SQL протоколах. Кто может пояснить этот момент.
В книжке cisco-asa-pix-and-fwsm-firewall-handbook - не нашёл вообще про это. Судя по ней досточно просто правила in но так точно не хочет работать. Хотя мало ли может не коректная настройка.
спасибо.
подскажите про часы.
по умолчанию ASA не обновляет часы в Internet ?
у Cisco нету своих серверов времени откуда можно было бы время обновлять ?
спасибо.
по умолчанию ASA не обновляет часы в Internet ?
у Cisco нету своих серверов времени откуда можно было бы время обновлять ?
спасибо.
slech
По первым двум вопросам не готов сходу сказать, надо стенд собирать и смотреть.
Касательно ntp - крайне не рекомендуется поднимать сервер ntp для локальной сети на PIX/ASA. Лучше прокиньте ntp на какой-нить опорный маршрутизатор или свитч
типа
access-list list_out extended permit udp host 10.77.16.1 host 62.117.76.141 eq ntp
и потом уже синхронизируйте ASA по внутреннему интерфейсу.
ntp-сервера, которыми пользуюсь не первый год:
134.214.100.6 (stratum 3) - этот вообще без сбоев около 8 лет юзаю
62.117.76.141 (stratum 2) - юзаю пару лет, бывали сбои
По первым двум вопросам не готов сходу сказать, надо стенд собирать и смотреть.
Касательно ntp - крайне не рекомендуется поднимать сервер ntp для локальной сети на PIX/ASA. Лучше прокиньте ntp на какой-нить опорный маршрутизатор или свитч
типа
access-list list_out extended permit udp host 10.77.16.1 host 62.117.76.141 eq ntp
и потом уже синхронизируйте ASA по внутреннему интерфейсу.
ntp-сервера, которыми пользуюсь не первый год:
134.214.100.6 (stratum 3) - этот вообще без сбоев около 8 лет юзаю
62.117.76.141 (stratum 2) - юзаю пару лет, бывали сбои
slech
Я не совсем понял, что требуется.
Если на интерфейсах security-level одинаковый, тогда
To permit communication between interfaces with equal security levels, or to allow traffic to enter and
exit the same interface, use the same-security-traffic command in global configuration mode. To
disable the same-security traffic, use the no form of this command
Если все таки inside >0, а Outside = 0.
>>и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 >>порту, то нужно
>>1. создать ALC на вход на outside по 80 порту - применить его
>>2. создать ACL на выход на inside по 80 порту и применить его.
достаточно одного acl, который бы разрешал доступ по 80 порту и повесить access-group с тем же именем, что и acl на outside interface (направление in).
пункт 2 не нужен.
Я не совсем понял, что требуется.
Если на интерфейсах security-level одинаковый, тогда
To permit communication between interfaces with equal security levels, or to allow traffic to enter and
exit the same interface, use the same-security-traffic command in global configuration mode. To
disable the same-security traffic, use the no form of this command
Если все таки inside >0, а Outside = 0.
>>и если я верно понимаю то для того чтобы с outside можно было попасть на inside по 80 >>порту, то нужно
>>1. создать ALC на вход на outside по 80 порту - применить его
>>2. создать ACL на выход на inside по 80 порту и применить его.
достаточно одного acl, который бы разрешал доступ по 80 порту и повесить access-group с тем же именем, что и acl на outside interface (направление in).
пункт 2 не нужен.
ESX091
спасибо, этот момент уже уяснил. Вот что нашёл в CCNA security
Цитата:
Кто может подсказать про VPN.
Site-to-Site
192.168.0.1 - Real IP <---> Real IP - 10.0.1.X
Всё работает ок если поднять VPN и разрешить весь ip траффик.
Мне же нужно разрешить только определённый.
PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access
если создаю ACL и разрешаю в нём
Цитата:
то есть это работает только в одном направлении т.е. из 192.168.0.1 в 10.0.1.X
а обратно нивкакую.
где ошибка ?
спасибо.
спасибо, этот момент уже уяснил. Вот что нашёл в CCNA security
Цитата:
Normally, interfaces on the same security level cannot communicate. If it is necessary that interfaces with the same security level are able to communicate, use the same-security-traffic command. Two interfaces could be assigned to the same level to allow them to communicate without using NAT, if more than 100 communicating interfaces are needed, or if protection features are to be applied equally for traffic between two interfaces.
Кто может подсказать про VPN.
Site-to-Site
192.168.0.1 - Real IP <---> Real IP - 10.0.1.X
Всё работает ок если поднять VPN и разрешить весь ip траффик.
Мне же нужно разрешить только определённый.
PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access
если создаю ACL и разрешаю в нём
Цитата:
access-list VPN_Filter extended permit object-group remote 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable
access-list VPN_Filter extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 log disable
access-list VPN_Filter extended deny ip any any log disable
group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
vpn-filter value VPN_Filter
vpn-tunnel-protocol IPSec l2tp-ipsec
tunnel-group XX.XX.XX.XX type ipsec-l2l
tunnel-group XX.XX.XX.XX general-attributes
default-group-policy GroupPolicy_VPN
то есть это работает только в одном направлении т.е. из 192.168.0.1 в 10.0.1.X
а обратно нивкакую.
где ошибка ?
спасибо.
В ASA 5505 имеющей лицензию Security Plus и подключенной к двум провайдерам (основному и запасному) в конфигурации интерфейса можно назначить backup interface примерно так:
interface Vlan2
backup interface Vlan3
nameif outside1
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
interface Vlan3
nameif outside2
security-level 0
ip address yyy.yyy.yyy.yyy 255.255.255.252
На сайте cisco.com я не нашел описания что это дает и как это практически использовать. Лично меня интересует могу ли я использовать такой backup интерфейс для резервирования vpn-соединения с удаленным офисом. Есть ли у кого практические примеры использования ASA 5505 для организации резервирования vpn-соединений через резервные каналы связи?
interface Vlan2
backup interface Vlan3
nameif outside1
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
interface Vlan3
nameif outside2
security-level 0
ip address yyy.yyy.yyy.yyy 255.255.255.252
На сайте cisco.com я не нашел описания что это дает и как это практически использовать. Лично меня интересует могу ли я использовать такой backup интерфейс для резервирования vpn-соединения с удаленным офисом. Есть ли у кого практические примеры использования ASA 5505 для организации резервирования vpn-соединений через резервные каналы связи?
slech
я вообще-т делал безовсяких
group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
можно вот так например (через preshared key, можно и с помощью Certification Authority).
crypto isakmp policy 10
authentication pre-share
encryption des
group 2
hash md5
crypto isakmp key cciesec address REAL_IP_REMOTE
access-list 121 extended permit ip 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
crypto ipsec transform-set 12 esp-des esp-md5-hmac
crypto map mymap 10 match address 121
crypto map mymap 10 set peer REAL_IP_REMOTE
crypto map mymap 10 set transform-set 12
crypto map mymap interface Outside
crypto isakmp enable Outside
.....
На второй асе зеркальные настройки. Выложите конфиги, плиз
я вообще-т делал безовсяких
group-policy GroupPolicy_VPN internal
group-policy GroupPolicy_VPN attributes
можно вот так например (через preshared key, можно и с помощью Certification Authority).
crypto isakmp policy 10
authentication pre-share
encryption des
group 2
hash md5
crypto isakmp key cciesec address REAL_IP_REMOTE
access-list 121 extended permit ip 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
crypto ipsec transform-set 12 esp-des esp-md5-hmac
crypto map mymap 10 match address 121
crypto map mymap 10 set peer REAL_IP_REMOTE
crypto map mymap 10 set transform-set 12
crypto map mymap interface Outside
crypto isakmp enable Outside
.....
На второй асе зеркальные настройки. Выложите конфиги, плиз
ESX091
в результате твоих настроек у тебя в тунеле бегает весь IP траффик.
у меня задача ограничить трафик бегающий по трубе, т.е. применить фильтр.
консультировались с представителями cisco. сказали все настройки корректны и должно работать, поддтвердили что неработает. сказали баг. посоветовали ребутнуть девайс - на что начальство ответило отказом.
выкрутилиь так:
Цитата:
и того:
отключаем для VPN обход ACL, создаём входящее правило на внешнем интерфейсе и входящее на внутренем и оно заработало.
в результате твоих настроек у тебя в тунеле бегает весь IP траффик.
у меня задача ограничить трафик бегающий по трубе, т.е. применить фильтр.
консультировались с представителями cisco. сказали все настройки корректны и должно работать, поддтвердили что неработает. сказали баг. посоветовали ребутнуть девайс - на что начальство ответило отказом.
выкрутилиь так:
Цитата:
no sysopt connection permit-vpn
access-list Outside_access_in extended permit object-group remote object-group 1_LAN object-group 2_LAN log notifications
access-list Inside_access_in extended permit object-group remote object-group 2_LAN object-group 1_LAN log notifications
и того:
отключаем для VPN обход ACL, создаём входящее правило на внешнем интерфейсе и входящее на внутренем и оно заработало.
что значит ВЕСЬ ip трафик?? 
я помещаю в туннель только тот трафик, который мне нужен, который не нужно передавать - не указываем в acl.
или, как вариант, нужно дополнительно/выборочно дропать трафик, который идет через туннель?
Тогда можно повесить acl на внешний интерфейс, который будет запрещать трафик, который получили по ipsec из другого офиса и трафик уже decrypted.
Но в этом случае acl будет действовать на все туннели (если их несколько). Вам насколько я понял, нужно, чтобы acl применялся только к определенному туннелю?
slech
может задачу поточнее поставите? тогда постараюсь конфиг подобрать. железо под руками есть- всегда можно оттестить. хорошо, если еще версии софта укажите)))
Добавлено:
at200859
"To ensure that traffic can pass over the backup interface in case the primary fails, be sure to configure default routes on both the primary and backup interfaces so that the backup interface can be used when the primary fails. For example, you can configure two default routes: one for the primary interface with a lower administrative distance, and one for the backup interface with a higher distance"
вот здесь описывается решение static route tracking:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml
c vpn проблем не вижу. после разрыва основного канала будет таймаут, который складывается из того, как быстро оба офиса переключатся (чистый ipsec или же + gre) и на построение нового туннеля.
я помещаю в туннель только тот трафик, который мне нужен, который не нужно передавать - не указываем в acl.
или, как вариант, нужно дополнительно/выборочно дропать трафик, который идет через туннель?
Тогда можно повесить acl на внешний интерфейс, который будет запрещать трафик, который получили по ipsec из другого офиса и трафик уже decrypted.
Но в этом случае acl будет действовать на все туннели (если их несколько). Вам насколько я понял, нужно, чтобы acl применялся только к определенному туннелю?
slech
может задачу поточнее поставите? тогда постараюсь конфиг подобрать. железо под руками есть- всегда можно оттестить. хорошо, если еще версии софта укажите)))
Добавлено:
at200859
"To ensure that traffic can pass over the backup interface in case the primary fails, be sure to configure default routes on both the primary and backup interfaces so that the backup interface can be used when the primary fails. For example, you can configure two default routes: one for the primary interface with a lower administrative distance, and one for the backup interface with a higher distance"
вот здесь описывается решение static route tracking:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml
c vpn проблем не вижу. после разрыва основного канала будет таймаут, который складывается из того, как быстро оба офиса переключатся (чистый ipsec или же + gre) и на построение нового туннеля.
ESX091
Цитата:
С переключением vpn не все так просто как кажется. Так как надо описать два vpn соединения с идентичными криптомапами но повешанными на разные интерфесы, то тут возникают сложности с назначением и переключением маршрутов для шифрованного трафика. Переключение при необходимости VPN канала до удаленного офиса должно происходить независимо от того переключился ли при этом интернет трафик основного канала. Т.е. это ситуация когда есть интернет на основном канале, но нет связи через него с удаленным офисом. Кроме того vpn канал должен уметь переключаться обратно при устранении мешающих ему причин. Все это должно происходить автоматически в обоих офисах с минимальными таймаутами и без участия живого администратора.
Я эту задачу решил, но не без недостатка, связанным как мне кажется с ошибками в ios. Одна из ASA-5505 обычно после перезагрузки не подымает vpn соединение. Мало того она вообще перестает пропускать даже не шифрованный трафик в сторону удаленного офиса. Лечу модификацией какого-нибудь параметра криптомапа vpn соединения и возврата его назад.
После этого канал может стоять месяцами, переключаясь с основного на запасной и обратно. Обновления ios не помагают.
Цитата:
я читал этот документ и именно по нему у меня сейчас реализовано подключение к интернет. Однако этот документ по PIX. Переключение трафика идет с помощью двух маршрутов с разными метриками. Однако у ASA с лицензией Security Plus есть новая опция для настройки интерфейса - backup interface. В хелпе к ASDM указано
Цитата:
Вот о ее использовании я и хотел услышать.
Цитата:
c vpn проблем не вижу
С переключением vpn не все так просто как кажется. Так как надо описать два vpn соединения с идентичными криптомапами но повешанными на разные интерфесы, то тут возникают сложности с назначением и переключением маршрутов для шифрованного трафика. Переключение при необходимости VPN канала до удаленного офиса должно происходить независимо от того переключился ли при этом интернет трафик основного канала. Т.е. это ситуация когда есть интернет на основном канале, но нет связи через него с удаленным офисом. Кроме того vpn канал должен уметь переключаться обратно при устранении мешающих ему причин. Все это должно происходить автоматически в обоих офисах с минимальными таймаутами и без участия живого администратора.
Я эту задачу решил, но не без недостатка, связанным как мне кажется с ошибками в ios. Одна из ASA-5505 обычно после перезагрузки не подымает vpn соединение. Мало того она вообще перестает пропускать даже не шифрованный трафик в сторону удаленного офиса. Лечу модификацией какого-нибудь параметра криптомапа vpn соединения и возврата его назад.
После этого канал может стоять месяцами, переключаясь с основного на запасной и обратно. Обновления ios не помагают. Цитата:
вот здесь описывается решение static route tracking:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml
я читал этот документ и именно по нему у меня сейчас реализовано подключение к интернет. Однако этот документ по PIX. Переключение трафика идет с помощью двух маршрутов с разными метриками. Однако у ASA с лицензией Security Plus есть новая опция для настройки интерфейса - backup interface. В хелпе к ASDM указано
Цитата:
This option is useful for Easy VPN; when the backup interface becomes the primary, the security appliance moves the VPN rules to the new primary interface.
Вот о ее использовании я и хотел услышать.
ESX091
вы когда создаёте VPN
Цитата:
указываете интересующий трафик.
я пробовал создавать:
Цитата:
т.е. что бы тунель поднимался только этим трафиком и собственно этот трафик в нём и ходил и ничего больше.
но вот только тунель не поднимался. поднимался только тогда когда указывали ip трафик между сетями.
т.е. вы хотите сказать что должно было бы заработать так как я указал в своём примере выше ?
Cisco ASA 5510 - OS 8.0(4)
задача поднять тунель между сетями и пускать в него только определённого вида трафик(например тот который я указал выше)
а вот выкрутились как уже писал именно так как вы советовали. разрешаем на входящем интерфейсе трафик с другово конца тунеля.
вот текущая конфига:
Цитата:
а вот собсвенно и статья PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access - по которой хотел всё настроить и ничего работать нехотело, вернее как писал выше - только в одну сторону.
вы когда создаёте VPN
Цитата:
access-list 121 extended permit ip 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
crypto map mymap 10 match address 121
указываете интересующий трафик.
я пробовал создавать:
Цитата:
access-list 121 extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0
object-group service remote
service-object tcp http
service-object tcp https
service-object tcp ftp
service-object tcp ssh
service-object tcp smtp
service-object tcp domain
service-object udp domain
service-object udp snmp
service-object udp syslog
service-object tcp eq 3389
service-object tcp eq 2211
service-object tcp range 5800 5806
service-object tcp range 5900 5906
service-object tcp eq 1433
service-object tcp eq 4083
service-object tcp eq 3796
service-object tcp eq 12599
service-object udp eq 1434
service-object icmp echo
service-object icmp echo-reply
service-object icmp redirect
service-object icmp time-exceeded
service-object icmp traceroute
service-object icmp unreachable
crypto map mymap 10 match address 121
т.е. что бы тунель поднимался только этим трафиком и собственно этот трафик в нём и ходил и ничего больше.
но вот только тунель не поднимался. поднимался только тогда когда указывали ip трафик между сетями.
т.е. вы хотите сказать что должно было бы заработать так как я указал в своём примере выше ?
Cisco ASA 5510 - OS 8.0(4)
задача поднять тунель между сетями и пускать в него только определённого вида трафик(например тот который я указал выше)
а вот выкрутились как уже писал именно так как вы советовали. разрешаем на входящем интерфейсе трафик с другово конца тунеля.
вот текущая конфига:
Цитата:
no sysopt connection permit-vpn
access-list Untrust_cryptomap_5 extended permit ip 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0
crypto map Untrust_map 30 match address Untrust_cryptomap_5
crypto map Untrust_map 30 set pfs
crypto map Untrust_map 30 set peer 80.80.80.80
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map 30 set security-association lifetime seconds 28800
crypto map Untrust_map 30 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust
access-list Untrust_access_in extended permit object-group remote 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 log notifications
access-group Untrust_access_in in interface Untrust
access-list Trust_access_in extended permit object-group remote 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable
access-group Trust_access_in in interface Trust
а вот собсвенно и статья PIX/ASA 7.x and Later: VPN Filter (Permit Specific Port or Protocol) Configuration Example for L2L and Remote Access - по которой хотел всё настроить и ничего работать нехотело, вернее как писал выше - только в одну сторону.
at200859
Линк можно использовать как для Pix, так и для Асы, разницы, как понимаете, нет.
для 5505 используется эта команда, чтобы обойти ограничение в 3 влана в версии 7.2(1) .
если у вас более новый софт, то кол-во vlan будет значительно больше и можно обойтись без этой настройки.
Туннели ipsec или используется и gre?
если можно, то скиньте (сюда или в личку) конфиги. на выходных посмотрю.
5505 под руками нет ((
Добавлено:
slech
а вы не напутали с object-group?
у меня все работает с vpn-filter.
По вашему конфигу:
1. меняем на sysopt connection permit-vpn
2 .access-list Untrust_cryptomap_5 extended permit ip 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0
3. crypto map Untrust_map 30 match address Untrust_cryptomap_5
! crypto map Untrust_map 30 set pfs
нужно ли?
crypto map Untrust_map 30 set peer 80.80.80.80
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map 30 set security-association lifetime seconds 28800
crypto map Untrust_map 30 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust
4. не увидел crypto isakmp enable Untrust
После этого должно работать 10.0.1.0 <-> 192.168.0.0
создаете object-groups:
например для icmp
Обратите внимание на тип object-group
...............................
object-group icmp-type ICMP_SERVICE
icmp-object echo
icmp-object echo-reply
...............................
Теперь для тестирования я разрешаю только icmp между подсетями в офисах
Настраиваю на pix (10.0.1.0)
Обратите внимание в каком месте acl вешаются object-group.
Если в object-group указаны порты, значит в acl эта object-group должна быть на месте портов.
Если же в object-group указаны подсети, значит в acl object-group должна быть вместо ip-адресов
access-list 103 extended permit icmp 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 object-group ICMP_SERVICE
Все остальное будет запрещено
Добавляю фильтр
group-policy filter internal
group-policy filter attributes
vpn-filter value 103
Вешаем фильтр на туннель
tunnel-group REAL-IP (192.168.0.0) general-attributes
default-group-policy filter
После этого должны ходить ТОЛЬКО icmp (пинги) между подсетями.
Линк можно использовать как для Pix, так и для Асы, разницы, как понимаете, нет
. для 5505 используется эта команда, чтобы обойти ограничение в 3 влана в версии 7.2(1) .
если у вас более новый софт, то кол-во vlan будет значительно больше и можно обойтись без этой настройки.
Туннели ipsec или используется и gre?
если можно, то скиньте (сюда или в личку) конфиги. на выходных посмотрю.
5505 под руками нет ((
Добавлено:
slech
а вы не напутали с object-group?
у меня все работает с vpn-filter.
По вашему конфигу:
1. меняем на sysopt connection permit-vpn
2 .access-list Untrust_cryptomap_5 extended permit ip 10.0.1.0 255.255.255.0 192.168.0.0 255.255.255.0
3. crypto map Untrust_map 30 match address Untrust_cryptomap_5
! crypto map Untrust_map 30 set pfs
нужно ли?
crypto map Untrust_map 30 set peer 80.80.80.80
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map 30 set security-association lifetime seconds 28800
crypto map Untrust_map 30 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust
4. не увидел crypto isakmp enable Untrust
После этого должно работать 10.0.1.0 <-> 192.168.0.0
создаете object-groups:
например для icmp
Обратите внимание на тип object-group
...............................
object-group icmp-type ICMP_SERVICE
icmp-object echo
icmp-object echo-reply
...............................
Теперь для тестирования я разрешаю только icmp между подсетями в офисах
Настраиваю на pix (10.0.1.0)
Обратите внимание в каком месте acl вешаются object-group.
Если в object-group указаны порты, значит в acl эта object-group должна быть на месте портов.
Если же в object-group указаны подсети, значит в acl object-group должна быть вместо ip-адресов
access-list 103 extended permit icmp 192.168.0.0 255.255.255.0 10.0.1.0 255.255.255.0 object-group ICMP_SERVICE
Все остальное будет запрещено
Добавляю фильтр
group-policy filter internal
group-policy filter attributes
vpn-filter value 103
Вешаем фильтр на туннель
tunnel-group REAL-IP (192.168.0.0) general-attributes
default-group-policy filter
После этого должны ходить ТОЛЬКО icmp (пинги) между подсетями.
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.