Перейти до

Две Cisco ASA и один сервер


inco

Рекомендованные сообщения

Добрый день всем сетевикам.

 

Обрисую проблему, есть такая схема:

- есть две асы

- за каждой асой стоит веб-сервер

- сервера между собой соединены напрямую

- на асах проброшены порты, настроен нат, ацлки.

 

Требуется временно убрать второй сервак, а его асу подключить к первому серверу (дабы не заморачиваться с днс и прочее).

 

Перенесли всю инфу со второго сервера на первый, прописали айпишники, переподключили асу, но получили болт.

 

Насколько я понимаю проблема в маршруте по умолчанию плюс у ас 5505 нет поддержки мультипаса. 

Есть какие либо идеи? или может я чет не так сделал?

 

Всем кто откликнулся - спасибо!

 

post-12008-0-83141200-1401284412.png

Ссылка на сообщение
Поделиться на других сайтах

маршрут по умолчанию для srv-1 это 192.168.1.1

сеть 192.168.1.0 доступна через ем0

сеть 192.168.2.0 через ем1 соответственно

 

значит нужен маршрут для сети 192.168.2.0 через 192.168.1.2

так?

Ссылка на сообщение
Поделиться на других сайтах

Обе Asa, я так понимаю, имеют выход в интернет? Сервер должен быть доступен снаружи с обеих Asa? Не будет оно работать, у Вас по сути, asymmetric routing получилось.

Просто прописывание маршрута не поможет, twice nat надо использовать.

Какая версия ios на Asa 2?

Відредаговано Nikolay_
Ссылка на сообщение
Поделиться на других сайтах

Да обе асы имеют выход в инет.

Да, сервер должен быть доступен с обеих ас.

 

аса 5505 версия 8.4.

 

вчера попробовал такую схему - и правда, не завелось.

 

Опишите суть twice nat, если не сложно.

Ссылка на сообщение
Поделиться на других сайтах

Twice NAT - когда натится и source и destination address в пакете.

Вот приблизительно Ваш случай.

http://www.fir3net.com/Cisco-ASA/cisco-asa-twice-nat.html

Пакет который приходит на outside interface - у него натится destination address согласно ваших правил проброса портов, а source address натится динамически адрес из пула адресов (какая-то определенная подсеть, например 192.168.11.0/24)

 

На вашем сервере прописываете маршрут, не знаю на чем он у Вас, для Cisco это выглядело бы так:

ip route 192.168.11.0 255.255.255.0 192.168.2.1

когда возвращающийся пакет придет на inside interface - он будет подвергнут обратной трансляции и уйдет по назначению.

Другого решения Вашей задачи я не вижу...

 

Почему за версия IOS спрашивал - до 8.3 был один синтаксис написания правил NAT, начиная с 8.3 - другой, наверное, сами знали.

Если нужна более практическая помощь - могу помочь с конфигом, но нужны будут куски конфига с Вашей Cisco ASA 2. На asa 1 вообще ничего трогать не надо.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)




ASA-2# sh run
: Saved
:
ASA Version 8.4(5)
!
hostname ASA-2
!
names
!
interface Ethernet0/0
shutdown
!
interface Ethernet0/1
switchport access vlan 100
!
interface Ethernet0/2
switchport access vlan 200
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan1
no nameif
no security-level
no ip address
!
interface Vlan100
nameif outside
security-level 0
ip address 195.12.59.10 255.255.255.240
!
interface Vlan200
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.252
!
boot system disk0:/asa845-k8.bin
ftp mode passive
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 8.8.8.8
name-server 195.12.56.1
name-server 195.12.59.30
object network INTERNET
subnet 0.0.0.0 0.0.0.0
object network SSH-SRV
host 192.168.2.2
object network WEB-SRV
host 192.168.2.2
object network FTP-SRV
host 192.168.2.2
object network ASA-EXT
host 195.12.59.10
object network MONIT
host 192.168.2.2
object service WEB-HTTPS
service tcp destination eq https
object network WEB-443
host 192.168.2.2
object network MON-5678
host 192.168.2.2
object-group network FTP-ACCESS
network-object host 91.224.3.66
network-object host 91.224.3.35
object-group network ADMINS
network-object host 91.224.3.35
network-object host 91.224.3.66
network-object host 172.16.39.26
network-object host 172.16.39.28
network-object host 172.16.39.30
network-object host 91.226.201.2
network-object host 194.176.97.83
network-object host 178.159.238.213
network-object host 195.225.228.242
network-object host 194.29.62.154
object-group network INSIDE-NET
description Vnutrinnie seti!!!
network-object host 192.168.2.1
network-object host 192.168.2.2
access-list OUTSIDE-ACCESS-IN extended permit ip object-group ADMINS any log disable
access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 2812
access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp
access-list OUTSIDE-ACCESS-IN extended permit tcp object-group FTP-ACCESS any eq ftp-data
access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq www log disable
access-list OUTSIDE-ACCESS-IN extended permit tcp any object WEB-SRV eq https log disable
access-list OUTSIDE-ACCESS-IN extended permit tcp object-group ADMINS any eq 5678
access-list INSIDE-ACCESS-IN extended permit ip object-group INSIDE-NET any
access-list INSIDE-ACCESS-IN extended permit ip object-group ADMINS any
access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp inactive
access-list INSIDE-ACCESS-IN extended permit tcp object ASA-EXT object-group FTP-ACCESS eq ftp-data inactive
access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp
access-list INSIDE-ACCESS-IN extended permit tcp any object-group FTP-ACCESS eq ftp-data
pager lines 40
mtu outside 1500
mtu inside 1500
ip verify reverse-path interface outside
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-649-103.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network INTERNET
nat (inside,outside) dynamic interface
object network SSH-SRV
nat (inside,outside) static interface service tcp 1022 1022
object network WEB-SRV
nat (inside,outside) static interface service tcp www www
object network FTP-SRV
nat (inside,outside) static interface service tcp ftp 2121
object network MONIT
nat (inside,outside) static interface service tcp 2812 2812
object network WEB-443
nat (inside,outside) static interface service tcp https https
object network MON-5678
nat (inside,outside) static interface service tcp 5678 5678
access-group OUTSIDE-ACCESS-IN in interface outside
access-group INSIDE-ACCESS-IN in interface inside
route outside 0.0.0.0 0.0.0.0 195.12.59.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http 91.224.3.0 255.255.255.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh 91.224.3.0 255.255.255.0 outside
ssh 91.224.3.66 255.255.255.255 outside
ssh 192.168.1.0 255.255.255.252 inside
ssh 192.168.2.0 255.255.255.252 inside
ssh 192.168.2.2 255.255.255.255 inside
ssh 192.168.2.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
anyconnect-essentials
username inco password TB0eEY3Q1r7MYy/h encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DD CEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
password encryption aes
Cryptochecksum:21fcead2e6c207954ba11db6f6be4e41
: end
ASA-2#

 

Відредаговано inco
Ссылка на сообщение
Поделиться на других сайтах

Надо было конфиг в PM кинуть,  или public IP спрятать :) .

Попробуйте так прописать:
 

object network WEB_CLIENTS

 subnet 192.168.11.0 255.255.255.0

 

object network WEB_SRV_2

 host 192.168.2.2

 

object network WEB_SRV_2_MAPPED

 host 195.12.59.10

 

 

object service WEB_SERVICE

 service 80

 

nat (outside,inside) 1 source dynamic any WEB_CLIENTS destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

 

 

Сейчас ASA под рукой нет, писал по памяти...

сеть 192.168.11.0 255.255.255.0 не должна использоваться нигде, кроме ASA 2.

На сервере должен быть прописан маршрут к сети 192.168.11.0 255.255.255.0

ip route 192.168.11.0 255.255.255.0 192.168.2.1

 

если не взлетит - пишите. Если взлетит - тоже.

Відредаговано Nikolay_
Ссылка на сообщение
Поделиться на других сайтах

итак

при попытке ткнуть правило ната, ругнулось так:

ASA-2(config)# nat (outside,inside) 1 source dynamic any WEB_CLIENTS destinati$
ERROR: Subnet can not be used as mapped source in dynamic NAT policy.
Ссылка на сообщение
Поделиться на других сайтах

Ок. попробую на ASA нормальной и скорректирую конфиг..

 

 

Вот так попробуйте прописать.

 

object service WEB_SERVICE
 service tcp destination eq www

 

nat (OUTSIDE,INSIDE) source dynamic any interface destination static WEB_SRV_2_MAPPED WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

Відредаговано Nikolay_
Ссылка на сообщение
Поделиться на других сайтах

Сегодня проверил на живой ASA  9.2(1)  - все работает в таком виде:

 

object network WEB_SRV_2

 host 192.168.2.2

 

object service WEB_SERVICE
 service tcp destination eq www

 

nat (OUTSIDE,INSIDE) source dynamic any interface destination static interface WEB_SRV_2 service WEB_SERVICE WEB_SERVICE

 

Сервер видит все подключения с source address 192.168.2.1

 

Да, и Ваш сервер должен слушать 80 порт на адресе 192.168.2.2, не только на адресе 192.168.1.2.

 

Так что пробуйте...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від yurii11
      1. Cisco Catalyst 3560 WS-C3560-24PS-S V09  Ethernet 10/100 ports PoE , 2x SFP  - 2000 грн.
      2. Cisco Catalyst 3750 WS-C3750G-24TS-S1U V03 Ethernet 10/100/1000 ports, 4x SFP, есть уши - 5000 грн.
      3. Cisco Catalyst WS-C3560-48PS-S 48 Ethernet 10/100 ports PoE , 4x SFP - не запускается-на запчасти - 300 грн. (при включении горит SYST, на MODE не реагирует, в консоль ничего не шлёт вообще, вычитал в инете что возможно залили прошивку для флеш на 32 мб, а здесь всего 16, вообщем идёт как донор)
      4. до кучи (дабы не плодить темы), D-Link DGS-1100-24 как донор, сгорела плата БП, свитчовая плата целая - 100 грн.
       
      фото по запросу, небольшой торг
      сброшены на завод, кабели питания есть, консольных нет
      пишите
    • Від gus
      Продаж
      Комутатори:
      Cisco SG100-24-24   1900грн
      Cisco Catalyst 2960-x 48 (WS-C2960X-48TS-L) 2600грн
      Cisco Catalyst 2960-x 24 (WS-C2960-24TT-L) 1300грн
      Cisco Catalyst 3650 24 2x10G (WS-C3650-24TD) 6000грн
      D-Link DGS-3120-48TS - 5000грн
      D-Link DGS-3100-48 - 4500грн
      Маршрутизатор 
      Cisco 1941 Series 1500грн
      Фаєрвол
      Cisco ASA5515-X 4000грн
      8 портовий KVM перемикач Master view ATEN SC-88A 900грн
      Гарантія на перевірку 
      068-897-37-56 
       
       
       
    • Від Михаил Гордиенко
      Продам Комутатор світч Cisco Nexus 2348TQ 10GE. Привезли з Європи. з'ясувалось, що мені він не потрібен, немає де використати. Ціна для форума 250$ Кому потрібен - запитуйте, торгуємо.










    • Від olapchuk
      Вечір добрий 
      потрібно підсказка чи це взагалі можливо зробити через snmp в ціско
      як влан створити, видалити і переімінувати розібрався через snmp, якщо комусь цікаво тут написано https://www.cisco.com/c/en/us/support/docs/ip/simple-network-management-protocol-snmp/45080-vlans.html, якщо треба приклади скину 
      але проблема в наступному, в ціско всі знають є таке штука яка interface vlan **id**
      тут потрібно саме це створити через snmp і задати пару параментрів, його взагалі можна створити через snmp!?
      interface Vlan3**
        no shutdown
        ip address 192.168.***.***/27
      подякував якщо хто тикне куди дивитись
    • Від Pavlo_110
      Продам маршрутизатори cisco asr 1004 в робочому стані. 2 шт. Ціна 5000 $ за 2 шт.. Пропозиції пишіть в особисті повідомдення. Продаємо по причині переходу на інший вендор.
×
×
  • Створити нове...