Привет всем! Я тут новичек, поэтому многое еще не видел и нечитал! Столкнулся с такой проблемой: Есть программа которая раньше работала, а сейчас на ней сбились настройки и немогу ничего сделать( программа своей работой, имея свои отчеты и заданые конфиги, облегчала подсчет времени и стоимости звонков! написана очень давно! Ее сейчас нигде нету! Она просто по набранному на телефоне номеру у оператора на компе светила какая страна и сумма на которую наговорили), Так вот я хочу спросить есть сдесь кто нить кто может посмотреть эту прогу? Если кто желает пишите в личку, я перекину вам прогу, если что выйдет с настройкой, и вам пригодится я уверен, очень у нее удобное пользование! Или же посоветуйте мне какую нить подобную. Мне надо что нить такое что бы показывало через атаху (по ранее вбитой базе страна = сумма) какую страну, и на какую сумму был звонок! Отзовитесь в личку
» Настройка Cisco PIX Firewall / ASA
ESX091
спасибо за тестирование.
я попробую проделать всё ещё раз.
с object-group может и напутал в текущем примере. просто собирал его вручную, а не из конфига показывал.
crypto isakmp enable Untrust - есть конечно же, упустил в посте.
где то есть более старй конфиг - я его приведу - там вроде всё было правильно как у тебя в примере и дело в том что ребята из cisco потвердили что всё ок. и проблема с девайсом.
а перегружать пока неготовы.
ещё раз спасибо.
спасибо за тестирование.
я попробую проделать всё ещё раз.
с object-group может и напутал в текущем примере. просто собирал его вручную, а не из конфига показывал.
crypto isakmp enable Untrust - есть конечно же, упустил в посте.
где то есть более старй конфиг - я его приведу - там вроде всё было правильно как у тебя в примере и дело в том что ребята из cisco потвердили что всё ок. и проблема с девайсом.
а перегружать пока неготовы.
ещё раз спасибо.
to slech
не за что=)
рад, если все заработало!
Если берется пример настройки какой-либо фичи с cisco.com, и она не работает применительно к вашей конфигурации, то в 90% надо смотреть, что до этого было настроено и подправлять
не за что=)
рад, если все заработало!
Если берется пример настройки какой-либо фичи с cisco.com, и она не работает применительно к вашей конфигурации, то в 90% надо смотреть, что до этого было настроено и подправлять
интересует такой вопрос: есть PIX515E там проц celeron 433 МГц, как думаете заменить его на более мощный типа Pentium III 600 или Pentium III 1000 прокатит или нет? Хочется впн сервер из него сделать с шифрованием да слабоват проц
имеется ASA 5505
хочу решить на ней несколько задач, основная их часть решена без проблем,(они решались и PIX515E, но потребовались еще интерфейсы и приобрел ASA 5505)
итак перечислю все задачи.
1. обеспечить выход пользователей в интернет
2. создать и настроить зону DMZ для почтовика
3. создать бэкап соединение с интернетом
4. соединиться со вторым офисом.
задачи 1 и 2 решились легко.
а вот с остальными задачами проблемы...
итак используется для решения задач 5 интерфейсов.
1 интерфейс основной провайдер1 используется для выхода пользователей в интернет
2 интерфейс хочу использовать как для бэкап так и для работы почтовика
3 интерфейс - ДМЗ
4 интерфейс inside сеть офиса 1
5 интерфейс inside сеть офиса 2
в офисе 2 своя инфраструктура сети, свой выход в инет и т.д. (наш холдинг состоит из нескольких компаний, котоорые объединяются вот в 1 сеть) поэтому той сетью я не рулю и только могу сотрудничать с админами той сети.
провайдер нам выделил VLAN поэтому для соединения достаточно просто назначить нужные нам ИП адреса.
что я сделал: (пока работай с основным провайдером) дмз пока не использую..
назначил соотв. ип на интерфейсы с соотв. секьюрити: 1,2 - секьюрити 0. 3-секьюрити 50 и 4-5 секьюрити 100
создал НАТ трансляцию адесов с офиса 1 в оутсайд основного провайдера
прописал аццесс листы на интерфейс оутсайд и интерфейс офиса 1
прописал роут 0.0.0.0 на оутсайд интерфейсе на гейт провайдера.
на этом основное конфигурирование закончено...выход в инет есть...
далее соединяемся с офисом 2.. на интерфесе в офис 2 прописываем нужную ИП
теперь осталось добавить роут
говоримм АСА что сети 10.0.0.0 находятся за маршрутизатором офиса 2.
в свою очередь на маршрутезаторе в офисе 2 прописывают мою сеть...вроде как все в порядке..но это в теории...
на практике получилось следующее: (забыл упомянуть пинги все разрешены как на интерфейсах так и в аццесс листах)
пинг с АСА шлюза офиса 2 проходит..
пинг с АСА любой раб. станции сети офиса 2 проходит...
а вот
пинг с любой тачки(маршрутизатора) офиса 2 на любую тачку офиса 1 - тишина..
пинг с любой тачки офиса 1 любой ип офиса 2 (комп или маршрутизатор) не проходит..
пробовал ставить на интерфейс котрый смотрит в офис 2 обычный комп и пытался его пропинговать т.е это фактически как пинговать ИП ДМЗ зоны...не получилось. маршрутизации м/у inside зонами нет. как настроить не понимаю...
когда ставил тачку во 2-й интерфейс, то пробовал даж из одной зоны inside в другую и обратно создавать статический нат (м/у 192.168.1.0/24 и 10.0.1.0/24)
тоже не помогло..
еще раз скажу провайдер нам выделил отдельный VLAN для связи м/у офисами
-----------------------------------
пробовали вариант в котором на шлюзе офиса2 прописывали ИП из области офиса1
192,168,1,254 и на АСА прописать маршрут ято сеть 10,0,0,0 нах-ся за шлюзом 192,168,1,254 в этом случаю тоже с циски пинг идет отлично, а вот с рабочих компов пинг шел только если на них указать любо шлюзом по умолчанию роутер офиса 2, что мне совсем не нравится. т.к я им рулить не могу и любые другие маршруты свои мне придется рулить ч/з других, или выполнить на компе команду route add и т.д...
но это вариант тоже не нравится т.к. раб. станций много..и если что то поменяется , то нужно менятьна всех компах. что не очень удобно. про этот вариант я позже прочитал что на пиксах (не знаю как на аса) для такой работы нужно использовать именно роутер в качестве шлюза по умолчанию...чт мне не подходит..
подскажите что я сделал не так или чего не сделал так?
-------------------------------------------
и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он был еще и резервным для пользователей офиса1
я пробовал так: создал еще 1 роут 0.0.0.0 на гейт второго провайдера с метрикой 2
и при помощи НАТ отправлял почтовик на второго провайдера.. НО:
пакет попадая в циску видел что для выхода в инет надо идти на гейт основного провайдера..он имеет метрику 1...а по правилам НАТ туда ему дорги не было...получился тупик.
хочу решить на ней несколько задач, основная их часть решена без проблем,(они решались и PIX515E, но потребовались еще интерфейсы и приобрел ASA 5505)
итак перечислю все задачи.
1. обеспечить выход пользователей в интернет
2. создать и настроить зону DMZ для почтовика
3. создать бэкап соединение с интернетом
4. соединиться со вторым офисом.
задачи 1 и 2 решились легко.
а вот с остальными задачами проблемы...
итак используется для решения задач 5 интерфейсов.
1 интерфейс основной провайдер1 используется для выхода пользователей в интернет
2 интерфейс хочу использовать как для бэкап так и для работы почтовика
3 интерфейс - ДМЗ
4 интерфейс inside сеть офиса 1
5 интерфейс inside сеть офиса 2
в офисе 2 своя инфраструктура сети, свой выход в инет и т.д. (наш холдинг состоит из нескольких компаний, котоорые объединяются вот в 1 сеть) поэтому той сетью я не рулю и только могу сотрудничать с админами той сети.
провайдер нам выделил VLAN поэтому для соединения достаточно просто назначить нужные нам ИП адреса.
что я сделал: (пока работай с основным провайдером) дмз пока не использую..
назначил соотв. ип на интерфейсы с соотв. секьюрити: 1,2 - секьюрити 0. 3-секьюрити 50 и 4-5 секьюрити 100
создал НАТ трансляцию адесов с офиса 1 в оутсайд основного провайдера
прописал аццесс листы на интерфейс оутсайд и интерфейс офиса 1
прописал роут 0.0.0.0 на оутсайд интерфейсе на гейт провайдера.
на этом основное конфигурирование закончено...выход в инет есть...
далее соединяемся с офисом 2.. на интерфесе в офис 2 прописываем нужную ИП
теперь осталось добавить роут
говоримм АСА что сети 10.0.0.0 находятся за маршрутизатором офиса 2.
в свою очередь на маршрутезаторе в офисе 2 прописывают мою сеть...вроде как все в порядке..но это в теории...
на практике получилось следующее: (забыл упомянуть пинги все разрешены как на интерфейсах так и в аццесс листах)
пинг с АСА шлюза офиса 2 проходит..
пинг с АСА любой раб. станции сети офиса 2 проходит...
а вот
пинг с любой тачки(маршрутизатора) офиса 2 на любую тачку офиса 1 - тишина..
пинг с любой тачки офиса 1 любой ип офиса 2 (комп или маршрутизатор) не проходит..
пробовал ставить на интерфейс котрый смотрит в офис 2 обычный комп и пытался его пропинговать т.е это фактически как пинговать ИП ДМЗ зоны...не получилось. маршрутизации м/у inside зонами нет. как настроить не понимаю...
когда ставил тачку во 2-й интерфейс, то пробовал даж из одной зоны inside в другую и обратно создавать статический нат (м/у 192.168.1.0/24 и 10.0.1.0/24)
тоже не помогло..
еще раз скажу провайдер нам выделил отдельный VLAN для связи м/у офисами
-----------------------------------
пробовали вариант в котором на шлюзе офиса2 прописывали ИП из области офиса1
192,168,1,254 и на АСА прописать маршрут ято сеть 10,0,0,0 нах-ся за шлюзом 192,168,1,254 в этом случаю тоже с циски пинг идет отлично, а вот с рабочих компов пинг шел только если на них указать любо шлюзом по умолчанию роутер офиса 2, что мне совсем не нравится. т.к я им рулить не могу и любые другие маршруты свои мне придется рулить ч/з других, или выполнить на компе команду route add и т.д...
но это вариант тоже не нравится т.к. раб. станций много..и если что то поменяется , то нужно менятьна всех компах. что не очень удобно. про этот вариант я позже прочитал что на пиксах (не знаю как на аса) для такой работы нужно использовать именно роутер в качестве шлюза по умолчанию...чт мне не подходит..
подскажите что я сделал не так или чего не сделал так?
-------------------------------------------
и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он был еще и резервным для пользователей офиса1
я пробовал так: создал еще 1 роут 0.0.0.0 на гейт второго провайдера с метрикой 2
и при помощи НАТ отправлял почтовик на второго провайдера.. НО:
пакет попадая в циску видел что для выхода в инет надо идти на гейт основного провайдера..он имеет метрику 1...а по правилам НАТ туда ему дорги не было...получился тупик.
Kwasti
как-то много написали)))
>>и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он
попробуйте использовать policy nat?
acl1 permit ip почтовый сервер any
nat (inside) 1 acl1
global (outside_на_второго провайдера) 1 ip_address1
схема сети такая?
lan1---ASA---wan---Router--lan2 ???
чтобы удобнее было траблшутить схему и конфиги, выложите плиз
как-то много написали)))
>>и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он
попробуйте использовать policy nat?
acl1 permit ip почтовый сервер any
nat (inside) 1 acl1
global (outside_на_второго провайдера) 1 ip_address1
схема сети такая?
lan1---ASA---wan---Router--lan2 ???
чтобы удобнее было траблшутить схему и конфиги, выложите плиз
Kwasti
Вы не забыли, что ASA, как и PIX впрочем, роутерами не являются? И потому многие вещи очевидные для роутеров тут надо прописывать руками. Например - трафик между интерфейсами с одинаковым security level без специального разрешения ходить не будет. Кроме того по умолчанию включен nat control.
Вы не забыли, что ASA, как и PIX впрочем, роутерами не являются? И потому многие вещи очевидные для роутеров тут надо прописывать руками. Например - трафик между интерфейсами с одинаковым security level без специального разрешения ходить не будет. Кроме того по умолчанию включен nat control.
Цитата:
трафик между интерфейсами с одинаковым security level без специального разрешения ходить не будет
вот в этом и вопрос как его разрешить?
Цитата:
какой еще маршрут? у вас офисы соединяются по чистому ipsec?
тогда создайте acl и укажите в нем какие данные необходимо шифровать, acl помещаете в crypto-map, таким образом аса будет знать destination, шифровать весь трафик, который идет в удаленную локальную сеть и отправлять их удаленному узлу (маршуртизатору?)
провайдер выделил VLAN на концах которые заходят в офисы мы сами можем прописать любой ИП адрес. и промежуток м/у офисами хоть и ходит ч/з оптику провайдера но для нас он прозрачен и выглядит как обычная локальная сеть интранет
Цитата:
>>и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он
а кто мешает использовать policy nat?
acl1 permit ip почтовый сервер any
nat (inside) 1 acl1
global (outside_на_второго провайдера) 1 ip_address1
схема сети такая?
lan1---ASA---wan---Router--lan2 ???
чтобы удобнее было траблшутить схему и конфиги, выложите плиз
все это интересно, но моя перввая циска которой я рулил был PIX515E, и не скажу что супер-пупер профи в командной строчке, поэтому практически все настройки я делаю ч/з ASDM и конфиг который получился у меня скину завтра с работы..счас я дома..
схема примерно такая:
лан10.0.2(3,4).0/24 --- (10.0.2.1)router(10.0.1.1-тут можно прописать л юбую другую не используемую нами сеть для соед. м/у роутером и ASA) --- (это канал провайдера для нас он прозрачен) --- (10.0.1.2)ASA(192.168.1.1) --- лан(192.168.x.0/24)
у ASA так же еще интерфейсы подкл. к провайдерам и интерфейс DMZ зоны(192.168.4.0/24)
роуты след.: (роуты делал в ASDM поэтому напишу как если бы роут прописывал в винде не помню как они пишутся на циске)
route add 0.0.0.0 mask 0.0.0.0 гейт_провайдера
route add 10.0.0.0 mask 255.255.0.0 10.0.1.1 - это гейт роутера в другую сеть
по поводу бэкап канала я так понимаю надо использовать route-map... но егопохоже в ASDM не сделать, точнонадо только в командной строке..т.к. я в ней не силен то хочу этим занятся (разобраться что и как)уже после того как соединю офисы...
этот вопрос скорее к тому что можно ли route-map делать в ASDM или нет..
to vindium
>>Кроме того по умолчанию включен nat control.
это смотря о какой версии идет речь.
например в 7.2 вЫключен by default
to Kwasti
e1 =nameif outside1 = 1 интерфейс основной провайдер1 используется для выхода пользователей в интернет
e2 =nameif dmz -2 интерфейс хочу использовать как для бэкап так и для работы почтовика
e3 =nameif outside2 =3 интерфейс - ДМЗ
e4 =nameif inside1 =4 интерфейс inside сеть офиса 1
e5 =nameif inside2 =5 интерфейс inside сеть офиса 2
добавляете следующие команды и получите связь между двумя офисами и выход в интернет.
версия PIX Version 7.2(4). nat control отключен
подключаетесь к консоли или удаленно и в командой строчке
conf t и вперед.
same-security-traffic permit inter-interface
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.2.0 255.255.255.0
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.3.0 255.255.255.0
... остальные подсети за маршуртизатором к которым нужен доступ
route Inside2 10.0.2.0 255.255.255.0 10.0.1.1
route Inside2 10.0.3.0 255.255.255.0 10.0.1.1
... остальные подсети за маршуртизатором к которым нужен доступ
nat (Inside1) 0 access-list NO_NAT
nat (Inside1) 1 0.0.0.0 0.0.0.0
global (Outside1) 1 interface
policy-map global_policy
class inspection_default
inspect icmp
end
насчет "2 интерфейс хочу использовать как для бэкап так и для работы почтовика"
не уверен, но можно сделать, чтобы почтовик ходил через второго провайдера.
подразумевается, что на dmz интерфейсе кроме почтового сервера больше ничего нет. иначе придется немного усложнять конфигурацию.
nat (dmz) 2 0 0
global (Outside2) 0 0 <шлюз второго провайдера> 2
access-list from_ISP2 permit tcp any host <ip_address_ASA_outside2> eq <порт_ХХХ>
access-group from_ISP2 in interface Outside2
static (dmz,outside2) tcp interface <порт_ХХХ> <ip-почтового сервера> <порт_ХXXY>
>>Кроме того по умолчанию включен nat control.
это смотря о какой версии идет речь.
например в 7.2 вЫключен by default
to Kwasti
e1 =nameif outside1 = 1 интерфейс основной провайдер1 используется для выхода пользователей в интернет
e2 =nameif dmz -2 интерфейс хочу использовать как для бэкап так и для работы почтовика
e3 =nameif outside2 =3 интерфейс - ДМЗ
e4 =nameif inside1 =4 интерфейс inside сеть офиса 1
e5 =nameif inside2 =5 интерфейс inside сеть офиса 2
добавляете следующие команды и получите связь между двумя офисами и выход в интернет.
версия PIX Version 7.2(4). nat control отключен
подключаетесь к консоли или удаленно и в командой строчке
conf t и вперед.
same-security-traffic permit inter-interface
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.2.0 255.255.255.0
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.3.0 255.255.255.0
... остальные подсети за маршуртизатором к которым нужен доступ
route Inside2 10.0.2.0 255.255.255.0 10.0.1.1
route Inside2 10.0.3.0 255.255.255.0 10.0.1.1
... остальные подсети за маршуртизатором к которым нужен доступ
nat (Inside1) 0 access-list NO_NAT
nat (Inside1) 1 0.0.0.0 0.0.0.0
global (Outside1) 1 interface
policy-map global_policy
class inspection_default
inspect icmp
end
насчет "2 интерфейс хочу использовать как для бэкап так и для работы почтовика"
не уверен, но можно сделать, чтобы почтовик ходил через второго провайдера.
подразумевается, что на dmz интерфейсе кроме почтового сервера больше ничего нет. иначе придется немного усложнять конфигурацию.
nat (dmz) 2 0 0
global (Outside2) 0 0 <шлюз второго провайдера> 2
access-list from_ISP2 permit tcp any host <ip_address_ASA_outside2> eq <порт_ХХХ>
access-group from_ISP2 in interface Outside2
static (dmz,outside2) tcp interface <порт_ХХХ> <ip-почтового сервера> <порт_ХXXY>
Цитата:
насчет "2 интерфейс хочу использовать как для бэкап так и для работы почтовика"
не уверен, но можно сделать, чтобы почтовик ходил через второго провайдера.
подразумевается, что на dmz интерфейсе кроме почтового сервера больше ничего нет. иначе придется немного усложнять конфигурацию.
я наверноне так выразился..
почтовик имеет фиксированный инет адрес который выдан вторым провайдером
почтовик ест-но сидит в дмз зоне...
у второо провайдера скорость канала в несколько раз ниже поэтому для нужд почтовика он вполне подходит и как резервный канал.
полностью оставить его резервным не желательно, т.к. есть базовый объем трафика который мы потребляем или нет но платить все равно будем.
вот поэтому и хотел все таки как то его использовать..
идея вообще была поставить в сети 2 прокси и часть пользователей гнать по одному провайдеру а другую по второму..
и в лучае только отсутствия одного из них работать по оставшемуся..
по поводу маршрутизации м/у интерфейсами попробую счас разобраться..
Добавлено: мой текущий конфиг
Код:
names
name 192.168.8.2 Domain description domain server
name 192.168.8.3 SQLServer
name 192.168.8.4 exchange
name 192.168.8.5 fileserver
name 192.168.15.6 transport description transport server
name 82.147.82.22 dnstexno1
name 82.147.83.3 dns_texno2
name 194.85.128.10 dnssovintel1
name 194.85.129.8 dnssovintel2
!
interface Vlan2
nameif outsidesovintel
security-level 0
ip address 195.239.197.202 255.255.255.252
ospf cost 10
!
interface Vlan12
nameif outsidetexno
security-level 0
ip address 82.147.84.130 255.255.255.248
ospf cost 10
!
interface Vlan22
nameif DMZ
security-level 50
ip address 192.168.15.1 255.255.255.0
ospf cost 10
!
interface Vlan42
nameif insidekirova
security-level 100
ip address 192.168.8.254 255.255.255.0
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 12
!
interface Ethernet0/2
switchport access vlan 22
!
interface Ethernet0/4
switchport access vlan 42
!
ftp mode passive
dns server-group DefaultDNS
domain-name invest72.ru
object-group network dns_sovintel
network-object host dnssovintel1
network-object host dnssovintel2
object-group network dns_texno
network-object host dnstexno1
network-object host dns_texno2
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service WEB tcp
port-object eq www
port-object eq https
object-group service mail tcp
port-object eq pop3
port-object eq smtp
object-group service transport tcp
port-object eq 50389
port-object eq 50636
object-group network DM_INLINE_NETWORK_1
network-object host Domain
network-object host fileserver
object-group service FTPGroup tcp
port-object eq ftp
port-object eq ftp-data
object-group service DM_INLINE_TCP_1 tcp
group-object FTPGroup
group-object WEB
access-list insidekirova_access_in extended permit icmp any any
access-list insidekirova_access_in extended permit object-group TCPUDP object-group DM_INLINE_NETWORK_1 any eq domain
access-list insidekirova_access_in extended permit tcp host fileserver any object-group DM_INLINE_TCP_1
access-list insidekirova_access_in extended permit tcp host exchange host transport object-group transport
access-list insidekirova_access_in extended permit udp object-group CSGroup host transport object-group CSPort
access-list insidekirova_access_in extended permit tcp host exchange host transport
access-list outsidetexno_access_in extended permit icmp any any
access-list outsidetexno_access_in extended permit tcp any host transport eq smtp
access-list outsidesovintel_access_in extended permit icmp any any
access-list DMZ_access_in extended permit icmp any any
access-list DMZ_access_in extended permit object-group TCPUDP host transport host Domain eq domain
access-list DMZ_access_in extended permit tcp host transport host exchange object-group transport
access-list DMZ_access_in extended permit tcp host transport any object-group mail
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outsidesovintel 1500
mtu outsidetexno 1500
mtu DMZ 1500
mtu insidekirova 1500
no failover
monitor-interface outsidesovintel
monitor-interface outsidetexno
monitor-interface DMZ
monitor-interface insidekirova
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outsidesovintel
icmp permit any outsidetexno
icmp permit any DMZ
icmp permit any insidekirova
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (outsidesovintel) 1 interface
global (outsidetexno) 2 interface
nat (insidekirova) 1 192.168.8.0 255.255.255.0
static (DMZ,outsidetexno) tcp interface smtp transport smtp netmask 255.255.255.255
access-group outsidesovintel_access_in in interface outsidesovintel
access-group outsidetexno_access_in in interface outsidetexno
access-group DMZ_access_in in interface DMZ
access-group insidekirova_access_in in interface insidekirova
route outsidesovintel 0.0.0.0 0.0.0.0 195.239.197.201 1
версия софта 7.2?
команды, которые написал применили?
команды, которые написал применили?
Kwasti
Цитата:
Можно было спокойно обойтись и одним PIX. Вам ни что не мешало в PIX-е нарезать VLAN-ы на физических интерфесах и получили бы те же 6 сетей (max 10).
Цитата:
Читайте ASA/PIX 7.x: Redundant or Backup ISP Links Configuration Example. Здесь подробный пример как работать с двумя провайдерами. Как раз под ваше задание.
Цитата:
,(они решались и PIX515E, но потребовались еще интерфейсы и приобрел ASA 5505)
Можно было спокойно обойтись и одним PIX. Вам ни что не мешало в PIX-е нарезать VLAN-ы на физических интерфесах и получили бы те же 6 сетей (max 10).
Цитата:
3. создать бэкап соединение с интернетом
Читайте ASA/PIX 7.x: Redundant or Backup ISP Links Configuration Example. Здесь подробный пример как работать с двумя провайдерами. Как раз под ваше задание.
Цитата:
Можно было спокойно обойтись и одним PIX. Вам ни что не мешало в PIX-е нарезать VLAN-ы на физических интерфесах и получили бы те же 6 сетей (max 10).
это все так, но для этого еще 1 маршрутизатор нужно было брать, а хотелочсь обойтись одной железкой. на одной и инет сделатьи ко второму офису подрубиться..
Цитата:
команды, которые написал применили?
да попробовал..
и на автомате сохранил конф в память...
но что то сделал не совсем так похоже..
и перестал выходить в инет совсем...
перепроверил все аццес листы в командной строчке.. все правильно.. но в инетне пускало...пришлось все полностью удалить и создать заново.
только что восстановил все...
буду внимательнее пробовать опять
Цитата:
версия софта 7.2?
Cisco Adaptive Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
Добавлено:
Бэкап канал получился..спасибо за ссылку!
Если удаленный офис подключен к нескольким провайдерам и имеет несколько ip-адресов, то для задания site-to-site VPN можно указать все эти адреса в команде:
crypto map outside_map 10 set peer x.x.x.x y.y.y.y z.z.z.z
В описании к этой команде сказано, что создание VPN-канала при неудаче с первым адресом (x.x.x.x) происходит со вторым (y.y.y.y) и т.д. если и здесь постигнет неудача.
У меня вопрос.
Если в момент поднятия VPN был недоступен адрес x.x.x.x и канал был поднят с y.y.y.y, то после восстановления маршрута до x.x.x.x произойдет ли пересоздание VPN канала на этот адрес или он так и останется на y.y.y.y?
Так же интересует, что произойдет с каналом при окончании lifetime заданных в командах например таких:
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
Новые ключи будут созданы для канала на y.y.y.y или будет создан новый канал на x.x.x.x?
crypto map outside_map 10 set peer x.x.x.x y.y.y.y z.z.z.z
В описании к этой команде сказано, что создание VPN-канала при неудаче с первым адресом (x.x.x.x) происходит со вторым (y.y.y.y) и т.д. если и здесь постигнет неудача.
У меня вопрос.
Если в момент поднятия VPN был недоступен адрес x.x.x.x и канал был поднят с y.y.y.y, то после восстановления маршрута до x.x.x.x произойдет ли пересоздание VPN канала на этот адрес или он так и останется на y.y.y.y?
Так же интересует, что произойдет с каналом при окончании lifetime заданных в командах например таких:
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
Новые ключи будут созданы для канала на y.y.y.y или будет создан новый канал на x.x.x.x?
Цитата:
e1 =nameif outside1 = 1 интерфейс основной провайдер1 используется для выхода пользователей в интернет
e2 =nameif dmz -2 интерфейс хочу использовать как для бэкап так и для работы почтовика
e3 =nameif outside2 =3 интерфейс - ДМЗ
e4 =nameif inside1 =4 интерфейс inside сеть офиса 1
e5 =nameif inside2 =5 интерфейс inside сеть офиса 2
добавляете следующие команды и получите связь между двумя офисами и выход в интернет.
версия PIX Version 7.2(4). nat control отключен
подключаетесь к консоли или удаленно и в командой строчке
conf t и вперед.
same-security-traffic permit inter-interface
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.2.0 255.255.255.0
access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.0.3.0 255.255.255.0
... остальные подсети за маршуртизатором к которым нужен доступ
route Inside2 10.0.2.0 255.255.255.0 10.0.1.1
route Inside2 10.0.3.0 255.255.255.0 10.0.1.1
... остальные подсети за маршуртизатором к которым нужен доступ
nat (Inside1) 0 access-list NO_NAT
nat (Inside1) 1 0.0.0.0 0.0.0.0
global (Outside1) 1 interface
policy-map global_policy
class inspection_default
inspect icmp
end
class inspection_default
inspect icmp
эти команды не применились..но пинг м/у интерфейсами стал проходить в обоих направлениях
а вот сетевую папку открыть не удается..
я пока поставил в сеть 192.168.9.0/24 компьютер ИП 192.168.99.6 и пробую до него достучаться. пинг идет а общую папку не могу открыть
вот конф.
Код: !
interface Vlan5
nameif insidekirova
security-level 100
ip address 192.168.8.253 255.255.255.0
!
interface Vlan6
nameif insidetest
security-level 100
ip address 192.168.99.1 255.255.255.0
same-security-traffic permit inter-interface
access-list NO_NAT2 extended permit ip 192.168.99.0 255.255.255.0 192.168.8.0 255.255.255.0
access-list NO_NAT extended permit ip 192.168.8.0 255.255.255.0 192.168.99.0 255.255.255.0
icmp permit any insidekirova
icmp permit any insidetest
global (outsidesovintel) 1 interface
nat (insidekirova) 0 access-list NO_NAT
nat (insidekirova) 1 192.168.8.0 255.255.255.0
nat (insidetest) 0 access-list NO_NAT2
route outsidesovintel 0.0.0.0 0.0.0.0 195.239.197.201 1 track 1
!
class-map inspection_default
!
!
policy-map global_policy
!
пытаюсь создать route-map на ASA
(хочу направлять все пакеты которые поступают со 192,168,15,6 отправлять на гейт
82.147.84.129)
а остальные по дефаулту
ругается на команды...
! выполняется
access-list DMZ_to_Texno extended permit ip 192.168.15.0 255.255.255.0 any
! не выплолняются толи в ASA их вообще нет толи имеют другой формат
ip policy route-map equal-access
route-map equal-access permit 10
match ip address DMZ_to_Texno
set ip default next-hop 82.147.84.129
(хочу направлять все пакеты которые поступают со 192,168,15,6 отправлять на гейт
82.147.84.129)
а остальные по дефаулту
ругается на команды...
! выполняется
access-list DMZ_to_Texno extended permit ip 192.168.15.0 255.255.255.0 any
! не выплолняются толи в ASA их вообще нет толи имеют другой формат
ip policy route-map equal-access
route-map equal-access permit 10
match ip address DMZ_to_Texno
set ip default next-hop 82.147.84.129
хорошо, что получилось.=)
что за ошибка была и что в итоге работает\не работает?
route-map, чтобы определенный трафик уходил к другому провайдеру, я правильно понял?
а nat как настроен? покажите конфиг, пожалуйста.
что за ошибка была и что в итоге работает\не работает?
route-map, чтобы определенный трафик уходил к другому провайдеру, я правильно понял?
а nat как настроен? покажите конфиг, пожалуйста.
от вет на вопрос skirix
вот моё:
Цитата:
Upgrade a Software Image and ASDM Image using CLI
вот моё:
Цитата:
ASA#copy tftp flash:/disk0:asa804-k8.bin
192.168.1.100
asa804-k8.bin
asa804-k8.bin
ASA#copy tftp flash:/disk0:asdm-613.bin
192.168.1.100
asdm-613.bin
asdm-613.bin
ASA#configure terminal
ASA(config)#boot system disk0:/asa804-k8.bin
ASA(config)#asdm image disk0:/asdm-613.bin
ASA#write memory
ASA#reload
ASA#dir flash:/
ASA#dir disk0:/
ASA#delete flash:/asa708-k8.bin
delete disk0:/asdm-508.bin
Upgrade a Software Image and ASDM Image using CLI
Спасибо, с этим разобрался )) Даже потом сам нашёл ещё и описание
http://www.s2p.ch/firmware-update.html
Но вот теперь не запускается с asdm
Стоит asa804-k8.bin и asdm-613.bin
Даже не знаю что делать... жаву переустановил, пишет
ASDM cannot be loaded.
Click OK to exit ASDM.
Unconnected sockets not implemented
И всё... Стоит
boot system disk0:/asa804-k8.bin
asdm image disk0:/asdm-613.bin
Может кто подскажет...
http://www.s2p.ch/firmware-update.html
Но вот теперь не запускается с asdm
Стоит asa804-k8.bin и asdm-613.bin
Даже не знаю что делать... жаву переустановил, пишет
ASDM cannot be loaded.
Click OK to exit ASDM.
Unconnected sockets not implemented
И всё... Стоит
boot system disk0:/asa804-k8.bin
asdm image disk0:/asdm-613.bin
Может кто подскажет...
skirix
Обычно делаем так:
1. Ставим новую версию ASAOS
2. Перезапускаем ASA
3. Ставим и прописываем asdm
4. Перезапускаем ASA
5. Пробуем ASDM
Обычно делаем так:
1. Ставим новую версию ASAOS
2. Перезапускаем ASA
3. Ставим и прописываем asdm
4. Перезапускаем ASA
5. Пробуем ASDM
skirix
удали последний установленный апдейт JRE 11 или 10
http://the-network-guy.blogspot.com/2008/10/asdm-error-unconnected-sockets-not.html
удали последний установленный апдейт JRE 11 или 10
http://the-network-guy.blogspot.com/2008/10/asdm-error-unconnected-sockets-not.html
Цитата:
route-map, чтобы определенный трафик уходил к другому провайдеру, я правильно понял?
а nat как настроен? покажите конфиг, пожалуйста.
до NAT пока еще не дошло т.к. еще route-map не настроен..
а без настройки route-map Только на правилах NAT не работало..
т.к. при обращении к внешнему ресурсу сначала определялся шлюз а по метрике это шлюз основногопроайдера..и далее по правилам NAT покет шел на интерфейс резервного провайдера в котором этого шлюза коненчо нет..
т.е. тут сначала нужно как торазрулить с route-map
чет читал что стандартного как на маршрутизаторах на ASA нет route-map
делается там мол все ч/з энное место, но возможно...типа OSPRF или RIP но ч/з них не пойму как сделать т.к. как я понял они для VPN нужны..
хотя жаль иметь столько интерфейсов и не иметь нормального route-map информаци очень мало в интернете. если я не прав, помогите разобраться пожалуйста..
может я чего-т не понимаю...
пример, который я привел показывает, как напралять с помощью nat+acl трафик с внутреннего интерфейса 1 через провайдера 1, а трафик с внутреннего интерфейса 2 через провайдера 2.
дальше нужно отплясывать от ваших желаний и возможностей оборудования.
как найду очередность того, как обрабатывает pix входящий трафик - скину инфу.
пример, который я привел показывает, как напралять с помощью nat+acl трафик с внутреннего интерфейса 1 через провайдера 1, а трафик с внутреннего интерфейса 2 через провайдера 2.
дальше нужно отплясывать от ваших желаний и возможностей оборудования.
как найду очередность того, как обрабатывает pix входящий трафик - скину инфу.
Все привет!
помогите разобраться есть PIX с тремя интерфейсами:
1. смотрит к провайдеру
2. смотрит в локалку
3. DMZ (Mail,WEB)
Бывают моменты не могу отправить или принять почту по причине не возможности подключения к Mail серверу помогает комманда на PIX-e clear xlate.
Выход в инет в это время доступен.
Помогите разобраться.
помогите разобраться есть PIX с тремя интерфейсами:
1. смотрит к провайдеру
2. смотрит в локалку
3. DMZ (Mail,WEB)
Бывают моменты не могу отправить или принять почту по причине не возможности подключения к Mail серверу помогает комманда на PIX-e clear xlate.
Выход в инет в это время доступен.
Помогите разобраться.
to aRMAN
в логах есть что-нибудь?
в критические моменты скиньте
show memory
show xlate
show conn
в логах есть что-нибудь?
в критические моменты скиньте
show memory
show xlate
show conn
to aRMAN
Цитата:
В этот момент нет доступа из локалки в ДМЗ?
Возможно кривовато настроен nat.
По-идее в направлении Локалка - ДМЗ можно nat отключить.
Цитата:
Бывают моменты не могу отправить или принять почту по причине не возможности подключения к Mail серверу помогает комманда на PIX-e clear xlate.
Выход в инет в это время доступен
В этот момент нет доступа из локалки в ДМЗ?
Возможно кривовато настроен nat.
По-идее в направлении Локалка - ДМЗ можно nat отключить.
ответ на вопрос Sterh84
Цитата:
нет, не надо. только на входящий.
Цитата:
2. Надо ли писать правила на исходящий траффик с интерфеса с уровнем защищенности 0 ?
нет, не надо. только на входящий.
Возникает вопрос, возможно ли закрыть траффик( для защиты от обратного соединения ) ?
И как защититься от ДДОСа ? Я понимаю что это не спасет от истощения канала, во как запретить пакетам проходить до сервера ?
И как защититься от ДДОСа ? Я понимаю что это не спасет от истощения канала, во как запретить пакетам проходить до сервера ?
А помогите кто может!!!
local net LN1(192.168.0.0/24) -> 192.168.0.1(Cisco C1)192.168.1.1 - VPN Site-To-Site(Internet) - 192.168.3.1(Cisco C2)192.168.4.1 -> localnet LN2(192.168.4.0/24) -> tftpserver(192.168.4.2)
cisco asa5505. На обоих 2 интерфейса inside outside
1.C2 -> tftp все OK
2.VPN работает. LN1 ping LN2 и наоборот
3. Но с самой C1 не могу ping LN2
4. C LN2 ping 192.168.0.1 OK!
На C1 и C2
tftp-server inside 192.168.4.2 file
Вопрос: Не хочется поднимать в каждой локальной сети tftp сервер.
Как настроить чтобы можно было сохранять конфиг на одном tftp серевре. Через Internet естественно не подходит.
на c1:
write net tftp:xxx - time out!!!
===============================
Тема закрыта. Проблема сохранения через ASDM. Если зайти через ssh все прекрасно работает.
local net LN1(192.168.0.0/24) -> 192.168.0.1(Cisco C1)192.168.1.1 - VPN Site-To-Site(Internet) - 192.168.3.1(Cisco C2)192.168.4.1 -> localnet LN2(192.168.4.0/24) -> tftpserver(192.168.4.2)
cisco asa5505. На обоих 2 интерфейса inside outside
1.C2 -> tftp все OK
2.VPN работает. LN1 ping LN2 и наоборот
3. Но с самой C1 не могу ping LN2
4. C LN2 ping 192.168.0.1 OK!
На C1 и C2
tftp-server inside 192.168.4.2 file
Вопрос: Не хочется поднимать в каждой локальной сети tftp сервер.
Как настроить чтобы можно было сохранять конфиг на одном tftp серевре. Через Internet естественно не подходит.
на c1:
write net tftp:xxx - time out!!!
===============================
Тема закрыта. Проблема сохранения через ASDM. Если зайти через ssh все прекрасно работает.
Sterh84
значит в твоём случае соединение будет исходить из интерфейса с уровнем 100 скажем.
ты вот на нём и создай правила:
1. всё что можно и куда можно
2. запретить всем и всё
значит в твоём случае соединение будет исходить из интерфейса с уровнем 100 скажем.
ты вот на нём и создай правила:
1. всё что можно и куда можно
2. запретить всем и всё
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.