Каморка

Stanislav писал(а):Неа, не фурычит... Придется завтра вертать Д-Линк взад...

Ну это дело хозяйское конечно.
Но вообще здесь несколько простейших движений нужно сделать - поснифить самим фаейрфолом пакеты на входе, поснифить на выходе, ну и опционально включить лог и позырить там чего он там с ними делает.

Я так и не понял какой ACL ты используешь - тот который у тебя или тот который я тебе нарисовал?
Твой ACL заведомо неправильный:
access-list telus_access_in extended permit tcp any eq 3389 host telus-interface
access-list telus_access_in extended permit tcp any eq https host telus-interface

Во первых, он имеет неправильные source порты, они будут больше 1024 и никак не 3389 или 443, и в твоём случае их вообще не надо указывать.
3389 и 443 это destination порты - разница здесь просто чудовищная.
Во вторых, что за хрень в дестинэйшн - "host telus-interface"? Object-group что-ли? Убери её нафиг, хотя бы временно, и сделай как сказано "interface telus eq 3389"

Третъе западло - асашный гуй слушает по дефолту на том же самом порту, что и один из твоих внутренних боксов - https=443. А поскольку с внешними адресами у тебя так сказать небогато, а если честно - то вообще один, то работать это не будет, если не развести их по разным портам: или асашный гуй посадить на другой порт, или NAT-ом поменять внешний порт для внутреннего ящика (и поправить ACL в этом случае соответственно).

В любом случае - Good luck!

Stone писал(а):
Stanislav писал(а):Неа, не фурычит... Придется завтра вертать Д-Линк взад...
Ну это дело хозяйское конечно.
Но вообще здесь несколько простейших движений нужно сделать - поснифить самим фаейрфолом пакеты на входе, поснифить на выходе, ну и опционально включить лог и позырить там чего он там с ними делает.

Я так и не понял какой ACL ты используешь - тот который у тебя или тот который я тебе нарисовал?
Твой ACL заведомо неправильный:
access-list telus_access_in extended permit tcp any eq 3389 host telus-interface
access-list telus_access_in extended permit tcp any eq https host telus-interface

Во первых, он имеет неправильные source порты, они будут больше 1024 и никак не 3389 или 443, и в твоём случае их вообще не надо указывать.
3389 и 443 это destination порты - разница здесь просто чудовищная.

Мля!!! Да, не обратил внимание.... Странно, вроде правильно в ГУЕ все поставил, а он как-то странно это прописал... Пофиксю в терминале.

Stone писал(а): Во вторых, что за хрень в дестинэйшн - "host telus-interface"? Object-group что-ли? Убери её нафиг, хотя бы временно, и сделай как сказано "interface telus eq 3389"

Это object - алиас для IP интерфейса - ГУЙ автоматически такие создает.
CLI матюгнулась на "interface telus" - invalid hostname.

Stone писал(а): Третъе западло - асашный гуй слушает по дефолту на том же самом порту, что и один из твоих внутренних боксов - https=443. А поскольку с внешними адресами у тебя так сказать небогато, а если честно - то вообще один, то работать это не будет, если не развести их по разным портам: или асашный гуй посадить на другой порт, или NAT-ом поменять внешний порт для внутреннего ящика (и поправить ACL в этом случае соответственно).
В любом случае - Good luck!

ГУЙ у меня слушает только на менежментском интерфейсе. Странно было бы, если бы ГУЙ мешал прокидыванью родных апачевских портов через файрвол.

P.S. Странно, новыe access-list ГУЙ не показывает в access-rules, только в ACL-manager

Да забей ты пока на ГУЙ, у него целая куча своих собственных багов и недоразумений. Сделай всё через сиэлай что бы работало, потом можешь и через гуй повторить уж если так охота.

"interface telus" - invalid hostname - убери слово "host" перед interface, то есть твой правильный ACL должен выглядеть:
access-list telus_access_in extended permit tcp any interface telus eq 3389

Чем опасно "any" я уже писал вчера, когда простой форвардинг заработает, почитай и сделай один из remote VPNs, если users не хотят ставить vpn-клиента, то это ssl-vpn.

Stone писал(а):Да забей ты пока на ГУЙ, у него целая куча своих собственных багов и недоразумений. Сделай всё через сиэлай что бы работало, потом можешь и через гуй повторить уж если так охота.

Я с Цисками дела еще не имел - посему подсознательно ищу упрощений в жизни

Stone писал(а): "interface telus" - invalid hostname - убери слово "host" перед interface, то есть твой правильный ACL должен выглядеть:
access-list telus_access_in extended permit tcp any interface telus eq 3389

Ок

Stone писал(а): Чем опасно "any" я уже писал вчера, когда простой форвардинг заработает, почитай и сделай один из remote VPNs, если users не хотят ставить vpn-клиента, то это ssl-vpn.

У меня стоит политика - три раза не угадал - аккаунт блокируется. Хотя за 2 года так никто и не ломился ко мне... Наверное, я Неуловимый Джо

А для юзеров я после Олимпиады все отрублю - это только на время Олимпиады резервный доступ к компам, если вдруг не удастся доехать до работы

Неа, все равно не работает... Что-то с этой циской не так...

Stanislav писал(а):Неа, все равно не работает... Что-то с этой циской не так...

дай ему ремоте доступ

Vims писал(а):
Stanislav писал(а):Неа, все равно не работает... Что-то с этой циской не так...
дай ему ремоте доступ

Да без проблем...

А может ей заводскую конфигу загрузить? Хотя я вроде все везде вычистил...

Stanislav писал(а):А может ей заводскую конфигу загрузить? Хотя я вроде все везде вычистил...

ну я всегда с этого начинал, дефолт а потом уже скручивал мозги... если скрутил и не работает опять дефолт итп....

После того как ты правильный конфиг запустил, прочитал мануал, все понял и не работает можно запустить ASDM.
http://www.cisco.com/en/US/products/ps6121/index.html

PIX писал(а):После того как ты правильный конфиг запустил, прочитал мануал, все понял и не работает можно запустить ASDM.
http://www.cisco.com/en/US/products/ps6121/index.html

Эта софтина проходит у нас под именем ГУЙ

Stanislav писал(а):
Vims писал(а):
Stanislav писал(а):Неа, все равно не работает... Что-то с этой циской не так...
дай ему ремоте доступ
Да без проблем...

Траблешутить в конфе - это же фан, а траблешутить через ремоут доступ - это уже повседневная работа, и я не думаю что станиславова контора обрадуется моему трехзначному почасовому рейту

Так что если ещё там не D-link опять стоит, то можно поразвлекаться чуток дальше. Начнём с самого начала: Станислав, я правильно понимаю что железка получила заветный ай-пи через dhcp, и ты можешь с неё самой попинговать всякие гуглы с яхами по ай-пи хотя бы, и что внутренние юзеры могут браузить порнуху в интернете через эту железку (наводящий вопрос - это единственная пограничная с Интернетом железка в офисе, или ещё есть какие-нибудь в пыльных углах?)

Если всё хорошо с первым пунктом, то можно для начала взглянуть на выводы команд:
1. sh access-list telus_access_in
2. sh run access-group
3. sh run static
4. sh run nat
5. sh run global

Stone писал(а): Так что если ещё там не D-link опять стоит, то можно поразвлекаться чуток дальше. Начнём с самого начала: Станислав, я правильно понимаю что железка получила заветный ай-пи через dhcp, и ты можешь с неё самой попинговать всякие гуглы с яхами по ай-пи хотя бы, и что внутренние юзеры могут браузить порнуху в интернете через эту железку (наводящий вопрос - это единственная пограничная с Интернетом железка в офисе, или ещё есть какие-нибудь в пыльных углах?)

Да, этот IP она получила в наследство от Д-Линка. Этот IP регистрируется у Телуса специальной процедурой - регистрируется MAC адрес девайса. Если зарегистрировать другой девайс, то IP изменится. т.е. сейчас я прикидываюсь для Телуса старым, добрым Д-Линком.
interface GigabitEthernet0/0
mac-address 0050.0401.49ae standby 0050.0401.49ae

Сейчас я пишу с компа, который имеет default gateway как раз именно эту циску, т.е. Dynamic NAT (PAT) работает.
И даже попинговать удается с циски (но не с моего компа), хотя через другой раутер все пингуется (http://www.google.com)

Да, это не единственный раутер в офисе - но через циску работаю только я, остальные работают через shaw - там свой раутер.

Stone писал(а): Если всё хорошо с первым пунктом, то можно для начала взглянуть на выводы команд:
1. sh access-list telus_access_in
2. sh run access-group
3. sh run static
4. sh run nat
5. sh run global

Вот оно:

Код: Выделить всё

ASA(config)# sh access-list telus_access_in
access-list telus_access_in; 2 elements
access-list telus_access_in line 1 extended permit tcp any interface telus eq 3389 (hitcnt=0) 0x4bd3da03
access-list telus_access_in line 2 extended permit tcp any interface telus eq https (hitcnt=0) 0x3c0aa12b
ASA(config)# sh run access-group
ASA(config)# sh run static
static (inside,telus) tcp interface 3389 Stan 3389 netmask 255.255.255.255
static (inside,telus) tcp interface https TSGateway https netmask 255.255.255.255
ASA(config)# sh run nat
nat (inside) 101 0.0.0.0 0.0.0.0
ASA(config)# sh run global
global (telus) 101 interface
ASA(config)#

1. У тебя акцесс-лист не применён к интерфейсу, то есть он (ACL) существует, но не делает ровным счётом ничего. Я же тебе давал эту команду (на первом листе топика) ещё:
!
access-group telus_access_in in interface telus
!
Без неё ASA просто тихо дропает все SYN пакеты приходящие на внешний интерфейс.

2. Я не знаю твоей внутренней топологии, но когда тестирушь, будь абсолютно уверен, что внутри нет asymetric routing, то есть если TCP SYN с внешнего мира прорвался наконец через ASA на те два внутренних компа (на которые ты NATишь), то эти внутренние компы посылают SYN ACK на ASA, a не на другую железку.

Если опять не работает, можешь опять заслать вывод тех же самых 5 комманд (только ASA не перегружай после теста).

Каморка

Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...

Re: Забодался с Киской...