Настройка Cisco ASA 5510

@kraborak · Регистрация: 05.09.2013

Студворк — интернет-сервис помощи студентам

Всех категоричски приветствую.
Подскажите, пожалуйста, как можно настроить хождение пакетов между сетями на сабжевой железке? Интересует подсеть 10.0.0.0/16 и 192.168.1.0/24 (Ethernet0/2 и Ethernet0/1) access-listы прописал, same-security-traffic тоже, security-level стоит одинаковый, траффик не ходит. Интерфейсы пингуются из своих подсетей, компьютеры подсетей с циски так же пингуются а между интерфейсами пинг не проходит. Вот конфиг железки:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
cassa# show running-config
: Saved
:
ASA Version 8.2(5)
!
hostname cassa
enable password xxx encrypted
passwd xxx encrypted
names
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address x.x.x.x x.x.x.x
!
interface Ethernet0/1
nameif LAN
security-level 50
ip address 192.168.1.10 255.255.255.0
!
interface Ethernet0/2
nameif EXT
security-level 50
ip address 10.0.2.149 255.255.0.0
!
interface Ethernet0/3
nameif Manage
security-level 100
ip address 192.168.2.100 255.255.255.0
management-only
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.0.1 255.255.255.0
management-only
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list LAN remark LAN ICMP
access-list LAN extended permit icmp any any
access-list LAN remark LAN TCP
access-list LAN extended permit tcp any any
access-list LAN remark LAN IP
access-list LAN extended permit ip any any
access-list EXT remark EXT ICMP
access-list EXT extended permit icmp any any
access-list EXT remark EXT TCP
access-list EXT extended permit tcp any any
access-list EXT remark EXT IP
access-list EXT extended permit ip any any
pager lines 24
logging asdm informational
mtu WAN 1500
mtu LAN 1500
mtu EXT 1500
mtu Manage 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any LAN
icmp permit any EXT
no asdm history enable
arp timeout 14400
global (WAN) 101 interface
nat (LAN) 101 0.0.0.0 0.0.0.0
access-group LAN in interface LAN per-user-override
access-group EXT in interface EXT per-user-override
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.255.0 management
http 192.168.0.0 255.255.255.0 LAN
http 192.168.1.2 255.255.255.255 LAN
http 192.168.1.12 255.255.255.255 LAN
http 192.168.2.12 255.255.255.255 Manage
http 192.168.1.12 255.255.255.255 Manage
http 192.168.1.220 255.255.255.255 LAN
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.1.2 255.255.255.255 LAN
telnet 192.168.1.12 255.255.255.255 LAN
telnet 192.168.2.12 255.255.255.255 Manage
telnet 192.168.1.12 255.255.255.255 Manage
telnet timeout 5
ssh 192.168.1.2 255.255.255.255 LAN
ssh 192.168.1.12 255.255.255.255 LAN
ssh 192.168.2.12 255.255.255.255 Manage
ssh 192.168.1.12 255.255.255.255 Manage
ssh timeout 5
console timeout 0
dhcpd address 192.168.0.2-192.168.0.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 192.168.1.3 source LAN
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
description GlobalRules
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:
: end

Далее пытаюсь отправить пакет на интерфейс EXT и получаю это:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
cassa# packet-tracer input LAN tcp 192.168.1.10 80 10.0.2.149 80
 
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.2.149      255.255.255.255 identity
 
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 
Result:
input-interface: LAN
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

В ASDM дополнительно нашел дополнительную строчку Implicit Rule в Access Rules, которую не нахожу в конфиге, я так понимаю что пакет тормозится именно из-за этого?
Сеть 10.0.0.0 приходит в виде витой пары из "соседней" организации, внутренняя сеть - 192.168.1.0, чуть позднее планирую еще настраивать интернет на ней, если разберусь как т.к. в цисках я пока еще очень краборак. Пробовал понижать у EXT security-level - все равно не пускает.

@kraborak · 22.10.2015, 17:21 **[ТС]**

Я пытался настроить циску через ADSM - мастер настройки. SSL он мне не дает настроить - ругается на отсутствие нужного алгоритма шифрования. Через Cisco VPN Client мне не удалось подключиться а версии AnyConnect, которые я пробовал, тоже с ней не дружат. Одна циску вообще не видит, другая видит но ругается на неизвестную ошибку. С этим пока голяк. Где взять "проверенную" версию не знаю, те что пробовал брал с рутрекера. Вот и пытаюсь понять хотя бы в каком направлении мне двигаться.

@xeonz · 22.10.2015, 17:58

Вы определитесь что вы хотите и тогда будем копать в нужную сторону. Копать сразу во все стороны я считаю малопродуктивным. Если хотите, можем после копания одного направления покопать другое.

@kraborak · 23.10.2015, 08:52 **[ТС]**

Я хочу просто удаленный доступ в сеть с компьютеров, подключенных к интернету извне. Нужно это, к примеру, для людей, находящихся в командировке. Ну и, конечно же, для себя любимого)

@xeonz · 23.10.2015, 09:09

Настраивайте anyconnect, инструкций в инете полно. Предварительно активируйте 3DES лицензию, которую можно загрузить бесплатно на сайте циски (http://skill-admin.blogspot.ru... 512-x.html).

@kraborak · 10.11.2015, 12:36 **[ТС]**

Спасибо спасибо спасибо за советы, дело сдвинулось с мертвой точки!!!
Итак я активировал лицензию 3DES, надыбал инструкцию вроде этой:
http://www.go-to-easyit.com/20... asa-2.html
и УРАААААА - циска дала мне скачать с себя клиент anyconnect (ее "родной"), установив его я смог к ней подцепиться. Она мне присвоила адрес из пула (192.168.5.Х/24), но на этом все моих успехи и закончились. Я не "вижу" внутреннюю сеть. Нужные ресурсы не пингуются. Не пингуется даже шлюз на виртуальном интерфейсе (мой адрес 192.168.5.1, адрес шлюза 192.168.5.2). По мануалу добавил правило NONAT:

Code
1
access-list NONAT line 2 extended permit ip any 192.168.5.0 255.255.255.0

что я мог упустить?

@xeonz · 10.11.2015, 13:47

Покажите конфиг, который вы сделали в плане ssl vpn.

@kraborak · 10.11.2015, 16:26 **[ТС]**

Вот полный текущий конфиг железки

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
cisco# show running-config
: Saved
:
ASA Version 8.2(5)
!
hostname cisco
enable password  encrypted
passwd encrypted
names
!
interface Ethernet0/0
 nameif WAN
 security-level 0
 ip address <"WAN_IP_Address">
!
interface Ethernet0/1
 nameif LAN
 security-level 50
 ip address 192.168.1.10 255.255.255.0
!
interface Ethernet0/2
 nameif NET2
 security-level 50
 ip address 10.0.2.149 255.255.0.0
!
interface Ethernet0/3
 nameif NET3
 security-level 50
 ip address 172.168.1.1 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.0.1 255.255.255.0
 management-only
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list LAN remark LAN ICMP
access-list LAN extended permit icmp any any
access-list LAN remark LAN TCP
access-list LAN extended permit tcp any any
access-list LAN remark LAN IP
access-list LAN extended permit ip any any
access-list LAN extended permit udp any any
access-list NET2 remark NET2 ICMP
access-list NET2 extended permit icmp host 10.0.2.181 any
access-list NET2 remark NET2 TCP
access-list NET2 extended permit tcp host 10.0.2.181 any
access-list NET2 remark NET2 IP
access-list NET2 extended permit ip host 10.0.2.181 any
access-list NET2 remark NET2 UDP
access-list NET2 extended permit udp host 10.0.2.181 any
access-list NET2 extended deny tcp any any
access-list NET2 extended deny udp any any
access-list WAN extended permit tcp any host <"WAN_IP_Address2"> eq www
access-list WAN extended permit tcp any host <"WAN_IP_Address2"> eq ftp
access-list WAN extended permit tcp any host <"WAN_IP_Address"> eq ftp
access-list WAN extended permit tcp any host <"WAN_IP_Address"> eq www
access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.0.0
access-list NONAT extended permit ip any 192.168.5.0 255.255.255.0
pager lines 500
logging asdm informational
mtu WAN 1500
mtu LAN 1500
mtu NET2 1500
mtu TrafInsp 1500
mtu management 1500
ip local pool VPNPool 192.168.5.1-192.168.5.20 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any LAN
icmp permit any NET2
no asdm history enable
arp timeout 14400
global (WAN) 101 interface
global (WAN) 102 <"WAN_IP_Address2"> netmask
nat (LAN) 0 access-list NONAT
nat (LAN) 102 192.168.1.11 255.255.255.255
nat (LAN) 101 192.168.1.12 255.255.255.255
nat (LAN) 102 192.168.1.220 255.255.255.255
nat (LAN) 101 192.168.1.221 255.255.255.255
nat (TrafInsp) 101 172.168.1.2 255.255.255.255
static (LAN,WAN) tcp interface www 192.168.1.12 www netmask 255.255.255.255
static (LAN,WAN) tcp <"WAN_IP_Address2"> ftp 192.168.1.11 ftp netmask 255.255.255.255
static (LAN,WAN) tcp <"WAN_IP_Address2"> www 192.168.1.11 www netmask 255.255.255.255
access-group WAN in interface WAN per-user-override
access-group LAN in interface LAN per-user-override
access-group NET2 in interface NET2 per-user-override
route WAN 0.0.0.0 0.0.0.0 X.X.X.X 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.255.0 management
http 192.168.1.2 255.255.255.255 LAN
http 192.168.1.12 255.255.255.255 LAN
http 192.168.1.220 255.255.255.255 LAN
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.1.2 255.255.255.255 LAN
telnet 192.168.1.12 255.255.255.255 LAN
telnet timeout 5
ssh 192.168.1.2 255.255.255.255 LAN
ssh 192.168.1.12 255.255.255.255 LAN
ssh timeout 5
console timeout 0
dhcpd address 192.168.0.2-192.168.0.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 192.168.1.3 source LAN
ntp server 192.168.1.7 source LAN
webvpn
 enable WAN
 svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1
 svc enable
group-policy gpolicy internal
group-policy NEW_SSL_VPN internal
group-policy NEW_SSL_VPN attributes
 vpn-tunnel-protocol svc webvpn
 address-pools value VPNPool
 webvpn
  url-list none
  svc ask enable
username vpnuser password encrypted privilege 0
username vpnuser attributes
 vpn-group-policy NEW_SSL_VPN
tunnel-group connprofile type remote-access
tunnel-group connprofile general-attributes
 address-pool VPNPool
 default-group-policy NEW_SSL_VPN
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 description GlobalRules
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:
: end

@corlovito · 10.11.2015, 16:41

а packet tracer что показывает ?

Добавлено через 1 минуту
зря конечно списки доступа именами интерфейсов обозвали, я вот даже что то и ни когда не задавался вопросом, можно так или нет, но лучше переименуйте их

Добавлено через 1 минуту
и еще поглядите на самом компе у вас после подключения ани коннектом как таблица маршрутизации выглядит

@xeonz · 10.11.2015, 16:57

Еще логи посмотрите во время пингов. Для включения:
logging enable
logging timestamp
logging buffered informational
logging asdm informational

@kraborak · 10.11.2015, 17:26 **[ТС]**

Ну какбы списки доступов не вызывали проблем - что надо пропускают, что не надо отбрыкивают... Никаких глюков не замечал)

packet-tracer отбрыкивает на 3м шаге - access-list (пункт отправления - интерфейс WAN, пункт назначения - LAN)

Я так понимаю, приходяший пакет на интерфейс WAN c flhtcf 192.168.5.X должен быть прписан в access-list в качестве разрешенного пройти на этот интерфейс, иначе он откидывается. Правильно я понимаю логику?

вот лог с циски - попытка попинговать нечто с адресом 192.168.1.11 в локальной сети:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
6|Nov 10 2015|08:35:32|302021|192.168.5.1|1|192.168.1.11|0|Teardown ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:30|302020|192.168.5.1|1|192.168.1.11|0|Built inbound ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:27|302021|192.168.5.1|1|192.168.1.11|0|Teardown ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:25|302020|192.168.5.1|1|192.168.1.11|0|Built inbound ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
4|Nov 10 2015|08:35:23|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 66 per second, max configured rate is 10; Current average rate is 116 per second, max configured rate is 5; Cumulative total count is 69936
6|Nov 10 2015|08:35:22|302021|192.168.5.1|1|192.168.1.11|0|Teardown ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:20|302020|192.168.5.1|1|192.168.1.11|0|Built inbound ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:18|302021|192.168.5.1|1|192.168.1.11|0|Teardown ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:16|302020|192.168.5.1|1|192.168.1.11|0|Built inbound ICMP connection for faddr 192.168.5.1/1 gaddr 192.168.1.11/0 laddr 192.168.1.11/0 (vpnuser)
6|Nov 10 2015|08:35:15|302016|192.168.0.220|51244|192.168.1.7|53|Teardown UDP connection 31119 for LAN:192.168.0.220/51244 to LAN:192.168.1.7/53 duration 0:02:08 bytes 185
6|Nov 10 2015|08:35:11|110002|192.168.5.1|49228|||Failed to locate egress interface for UDP from WAN:192.168.5.1/49228 to 239.255.255.250/3702
6|Nov 10 2015|08:35:07|302015|192.168.5.1|138|192.168.5.255|138|Built inbound UDP connection 31143 for WAN:192.168.5.1/138 (192.168.5.1/138) to WAN:192.168.5.255/138 (192.168.5.255/138) (vpnuser)
4|Nov 10 2015|08:35:03|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 56 per second, max configured rate is 10; Current average rate is 116 per second, max configured rate is 5; Cumulative total count is 69662
6|Nov 10 2015|08:35:02|722022|||||Group <NEW_SSL_VPN> User <vpnuser> IP <X.X.X.X> UDP SVC connection established without compression
5|Nov 10 2015|08:35:02|722033|||||Group <NEW_SSL_VPN> User <vpnuser> IP <X.X.X.X> First UDP SVC connection established for SVC session.

@xeonz · 10.11.2015, 18:03

Сообщение от kraborak

packet-tracer отбрыкивает на 3м шаге - access-list

Ну и добавьте тогда в access list разрешение.

Добавлено через 1 минуту
Либо вообще
sysopt connection permit-vpn

@kraborak · 11.11.2015, 13:34 **[ТС]**

Ввел команду sysopt connection permit-vpn и никакой разницы не увидел. Как блокировались пакеты на шаге 2 (отсутствие разрешений в access-list) так и блокируются. Ну да ладно. Добавляю следующее (тренируюсь пока на попингуях):

Code
1
access-list WAN extended permit icmp 192.168.5.0 255.255.255.0 any

и вроде уже получшало, но все равно чего-то не хватает. Вот вывод packet-tracer:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
cisco(config)# packet-tracer input WAN icmp 192.168.5.1 7 1 192.168.1.11
 
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.168.1.0     255.255.255.0   LAN
 
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group WAN in interface WAN per-user-override
access-list WAN extended permit icmp 192.168.5.0 255.255.255.0 any
Additional Information:
 
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 
Phase: 4
Type: CP-PUNT
Subtype:
Result: ALLOW
Config:
Additional Information:
 
Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 description GlobalRules
 class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:
 
Phase: 6
Type: WEBVPN-SVC
Subtype: in
Result: DROP
Config:
Additional Information:
 
Result:
input-interface: WAN
input-status: up
input-line-status: up
output-interface: LAN
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Как бороться с последним шагом? Это какое-то еще одно правило access-list должно быть на каком-то интерфейсе или я что-то недонастроил в самом VPN (groups, users)?

@corlovito · 11.11.2015, 13:57

это список доступа только в одну сторону разрешает

@xeonz · 11.11.2015, 14:43

Скорее всего не хватает исключения для НАТ на WAN для сети 192.168.5.0/24.

@kraborak · 11.11.2015, 17:34 **[ТС]**

Ребята всем огромное спасибо! Попинговать мне, пока, не удалось, хотя access-list прописал, и по шарам тоже не удалось полазить, однако я смог полазить по таким ресурсам как www или ftp и даже подцепиться удаленно к своей рабочей машине. Прописал на интерфейсах LAN и WAN разрешающие правила: для сети LAN с нужных машин в любом направлении (WAN), для WAN - разрешение из сети 192.168.5.0/24 в любом направлении (LAN). Сейчас поиграюсь еще немного и подведу некоторый итог.

@kraborak · 16.11.2015, 08:49 **[ТС]**

В общим, осталась некоторая проблемка с VPN связанная с NATами. Машина 192.168.1.11 имеет выход в интернет в т.ч. по 2м адресам. В конфиге (пост № 47) это описано следующим образом:

Code
1
2
3
nat (LAN) 102 192.168.1.11 255.255.255.255
static (LAN,WAN) tcp <"WAN_IP_Address2"> ftp 192.168.1.11 ftp netmask 255.255.255.255
static (LAN,WAN) tcp <"WAN_IP_Address2"> www 192.168.1.11 www netmask 255.255.255.255

Так же прописано правило на подсеть 192.168.1.5/24 траффик не натировать

Code
1
2
access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.0.0
access-list NONAT extended permit ip any 192.168.5.0 255.255.255.0

Здесь вместо any пробовал указывать конкретную подсеть - 192.168.1.0/24 но изменений не было.
В итоге лог packet-tracer выглядит вот так:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
cisco# packet-tracer input LAN tcp 192.168.1.11 1000 192.168.5.1 1000
 
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         WAN
 
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group LAN in interface LAN per-user-override
access-list LAN extended permit tcp any any
access-list LAN remark LAN IP
Additional Information:
 
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 
Phase: 5
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (LAN,WAN) tcp <"WAN_IP_Address2"> ftp 192.168.1.11 ftp netmask 255.255.255.255
  match tcp LAN host 192.168.1.11 eq 21 WAN any
    static translation to <"WAN_IP_Address2">/21
    translate_hits = 1332, untranslate_hits = 1387
Additional Information:
 
Phase: 6
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 
Phase: 7
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 52205, packet dispatched to next module
 
Result:
input-interface: LAN
input-status: up
input-line-status: up
output-interface: WAN
output-status: up
output-line-status: up
Action: allow

Если машина НЕ имеет доступ в интернет, все отлично. Как с этим бороться?

@kraborak · 18.11.2015, 15:45 **[ТС]**

Немного может быть непонятно выразился... Проблема вот в чем. Машины в локальной сети имеют выход в интернет через циску, для них настроены правила NAT. Или же некоторые сервисы должны быть "видны" извне, и тогда настроен PAT. Если я цепляюсь к циске через VPN эти машины я уже не вижу - они не пингуются. Исходя из лога packet-tracer постом выше, я грешу на NAT. В мануалах стоит оговорка что должно быть правило запрещающее натирование траффика на подсеть VPN, я это правило прописал (пост выше - правила NONAT), однако траффик продолжает "натироваться", если адресат - подсеть 192.168.5.0.

Хелп хелп хелп - как мне победить этого макаронного монстра? Я пока не нашел решения...

@corlovito · 18.11.2015, 16:02

разбираться конечно чисто по логам не совсем удобно, но насколько я понял, сделайте так, определите под какое именно правило попадает пакет и прямо перед ним добавьте правило чтобы он не попадал под него, как то так... был похожий случай так решил эту проблему, хотя логики на тот момент как то не уловил, но заработало

Добавлено через 5 минут
еще такой момент, я это делал в версии 8.4+ у вас старая версия в ней нат по другому работает, а что у вас на счет параметра nat-control он включен или нет не вижу в конфиге ?

@xeonz · 18.11.2015, 20:19

Да, забыл совсем. Для пингов надо icmp inspection

Сообщение от kraborak

я это правило прописал (пост выше - правила NONAT),

У вас это правило висит только на LAN интерфейсе
nat (LAN) 0 access-list NONAT
Добавьте его на WAN, либо сделайте глобальным.

Добавлено через 51 секунду

Сообщение от kraborak

Машины в локальной сети имеют выход в интернет через циску, для них настроены правила NAT. Или же некоторые сервисы должны быть "видны" извне, и тогда настроен PAT.

Название только местами поменять. Трансляция локальной сети в один адрес при выходе в инет - PAT. Проброс снаружи - static nat.

@kraborak · 18.11.2015, 20:34 **[ТС]**

xeonz - огромное спасибо за советы.

Господа, ложная тревога оказалась

Я не знаю почему, видимо сама железка начала немного тупить. Я ее перезагрузил, прописал новые правила и вуаля - все заработало.
Единственное, что я хотел - пару советов.
1. Когда я подключаюсь через VPN я не могу пользоваться интернетом. Это как-то лечится? Прописать правило NAT для этой подсети? Мне это далеко не критично, 5 минут в "локалке" я могу провести и без интернета.
2. Могу ли я быть спокоен за безопасность такого вот VPN? Вроде как SSL и пароли сделаю какие-нибудь 50ти символьные но все же?

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@kraborak 1 / 1 / 0 Регистрация: 05.09.2013 Сообщений: 45
	22.10.2015, 17:21 [ТС]
	Я пытался настроить циску через ADSM - мастер настройки. SSL он мне не дает настроить - ругается на отсутствие нужного алгоритма шифрования. Через Cisco VPN Client мне не удалось подключиться а версии AnyConnect, которые я пробовал, тоже с ней не дружат. Одна циску вообще не видит, другая видит но ругается на неизвестную ошибку. С этим пока голяк. Где взять "проверенную" версию не знаю, те что пробовал брал с рутрекера. Вот и пытаюсь понять хотя бы в каком направлении мне двигаться. 0

@xeonz 863 / 333 / 43 Регистрация: 16.05.2014 Сообщений: 2,596
	22.10.2015, 17:58
	Вы определитесь что вы хотите и тогда будем копать в нужную сторону. Копать сразу во все стороны я считаю малопродуктивным. Если хотите, можем после копания одного направления покопать другое. 0

@kraborak 1 / 1 / 0 Регистрация: 05.09.2013 Сообщений: 45
	23.10.2015, 08:52 [ТС]
	Я хочу просто удаленный доступ в сеть с компьютеров, подключенных к интернету извне. Нужно это, к примеру, для людей, находящихся в командировке. Ну и, конечно же, для себя любимого) 0

@xeonz 863 / 333 / 43 Регистрация: 16.05.2014 Сообщений: 2,596
	23.10.2015, 09:09
	Настраивайте anyconnect, инструкций в инете полно. Предварительно активируйте 3DES лицензию, которую можно загрузить бесплатно на сайте циски (http://skill-admin.blogspot.ru... 512-x.html). 0

@xeonz 863 / 333 / 43 Регистрация: 16.05.2014 Сообщений: 2,596
	10.11.2015, 13:47
	Покажите конфиг, который вы сделали в плане ssl vpn. 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	10.11.2015, 16:41
	а packet tracer что показывает ? Добавлено через 1 минуту зря конечно списки доступа именами интерфейсов обозвали, я вот даже что то и ни когда не задавался вопросом, можно так или нет, но лучше переименуйте их Добавлено через 1 минуту и еще поглядите на самом компе у вас после подключения ани коннектом как таблица маршрутизации выглядит 0

@xeonz 863 / 333 / 43 Регистрация: 16.05.2014 Сообщений: 2,596
	10.11.2015, 16:57
	Еще логи посмотрите во время пингов. Для включения: logging enable logging timestamp logging buffered informational logging asdm informational 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	11.11.2015, 13:57
	это список доступа только в одну сторону разрешает 0

@xeonz 863 / 333 / 43 Регистрация: 16.05.2014 Сообщений: 2,596
	11.11.2015, 14:43
	Скорее всего не хватает исключения для НАТ на WAN для сети 192.168.5.0/24. 0

@kraborak 1 / 1 / 0 Регистрация: 05.09.2013 Сообщений: 45
	11.11.2015, 17:34 [ТС]
	Ребята всем огромное спасибо! Попинговать мне, пока, не удалось, хотя access-list прописал, и по шарам тоже не удалось полазить, однако я смог полазить по таким ресурсам как www или ftp и даже подцепиться удаленно к своей рабочей машине. Прописал на интерфейсах LAN и WAN разрешающие правила: для сети LAN с нужных машин в любом направлении (WAN), для WAN - разрешение из сети 192.168.5.0/24 в любом направлении (LAN). Сейчас поиграюсь еще немного и подведу некоторый итог. 0

@kraborak 1 / 1 / 0 Регистрация: 05.09.2013 Сообщений: 45
	18.11.2015, 15:45 [ТС]
	Немного может быть непонятно выразился... Проблема вот в чем. Машины в локальной сети имеют выход в интернет через циску, для них настроены правила NAT. Или же некоторые сервисы должны быть "видны" извне, и тогда настроен PAT. Если я цепляюсь к циске через VPN эти машины я уже не вижу - они не пингуются. Исходя из лога packet-tracer постом выше, я грешу на NAT. В мануалах стоит оговорка что должно быть правило запрещающее натирование траффика на подсеть VPN, я это правило прописал (пост выше - правила NONAT), однако траффик продолжает "натироваться", если адресат - подсеть 192.168.5.0. Хелп хелп хелп - как мне победить этого макаронного монстра? Я пока не нашел решения... 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	18.11.2015, 16:02
	разбираться конечно чисто по логам не совсем удобно, но насколько я понял, сделайте так, определите под какое именно правило попадает пакет и прямо перед ним добавьте правило чтобы он не попадал под него, как то так... был похожий случай так решил эту проблему, хотя логики на тот момент как то не уловил, но заработало Добавлено через 5 минут еще такой момент, я это делал в версии 8.4+ у вас старая версия в ней нат по другому работает, а что у вас на счет параметра nat-control он включен или нет не вижу в конфиге ? 0

@kraborak 1 / 1 / 0 Регистрация: 05.09.2013 Сообщений: 45
	18.11.2015, 20:34 [ТС]
	xeonz - огромное спасибо за советы. Господа, ложная тревога оказалась Я не знаю почему, видимо сама железка начала немного тупить. Я ее перезагрузил, прописал новые правила и вуаля - все заработало. Единственное, что я хотел - пару советов. 1. Когда я подключаюсь через VPN я не могу пользоваться интернетом. Это как-то лечится? Прописать правило NAT для этой подсети? Мне это далеко не критично, 5 минут в "локалке" я могу провести и без интернета. 2. Могу ли я быть спокоен за безопасность такого вот VPN? Вроде как SSL и пароли сделаю какие-нибудь 50ти символьные но все же? 0