Забодался с Киской...

[Stanislav]

1. У тебя акцесс-лист не применён к интерфейсу, то есть он (ACL) существует, но не делает ровным счётом ничего. Я же тебе давал эту команду (на первом листе топика) ещё:
!
access-group telus_access_in in interface telus
!
Без неё ASA просто тихо дропает все SYN пакеты приходящие на внешний интерфейс.

Опа, а раньше был... значит я его снес как-то когда менял аксесс-листы...

2. Я не знаю твоей внутренней топологии, но когда тестирушь, будь абсолютно уверен, что внутри нет asymetric routing, то есть если TCP SYN с внешнего мира прорвался наконец через ASA на те два внутренних компа (на которые ты NATишь), то эти внутренние компы посылают SYN ACK на ASA, a не на другую железку.
Если опять не работает, можешь опять заслать вывод тех же самых 5 комманд (только ASA не перегружай после теста).

Абсолютно уверен. Перегружать не буду, но я всегда копирую ран-конфиг в старт-конфиг... так что уже прокомпостировал...

[PIX]

После того как ты правильный конфиг запустил, прочитал мануал, все понял и не работает можно запустить ASDM.
http://www.cisco.com/en/US/products/ps6121/index.html

Эта софтина проходит у нас под именем ГУЙ

- Ну и что тебе Пакет Трайсер ничего не говорит?

[Stanislav]

После того как ты правильный конфиг запустил, прочитал мануал, все понял и не работает можно запустить ASDM.
http://www.cisco.com/en/US/products/ps6121/index.html

Эта софтина проходит у нас под именем ГУЙ

- Ну и что тебе Пакет Трайсер ничего не говорит?

Да, но он говорил, что все ОК!
Я ставил параметры:
- Interface - telus
- Source - home IP
- Port - 13389
- Dest - our IP from telus
- Port 3389
Status - OK.
Сейчас тоже пакеты проходят - дома буду - проверю коннект.

[PIX]

не верю

[Stanislav]

не верю

Аналогично! Вот потому и открыл этот топик!
Верите что у Циски в доках ошибка? Я тоже не верил - а сейчас могу запостить картинко

[Stone]

не верю

А что там не верить. В самом начале там был кривой ACL, который был не приложен к интерфейсу.
Потом чуток модифицированный, но всё равно кривой ACL, приложенный к интерфейсу.
Потом наконец то правильный ACL, но опять без access-group.
Во всех случаях пакеты приходили на внешний интерфейс, но абслютно правильно дропались файерволом (счетчики пакетов в последнем ACL нулевые, так он не был приложен к интерфейсу).
Всё абсолютно закономерно и логично.

Сейчас всё должно работать, но нет самих пакетов. Btw Станислав, ты можешь проверить коннективити прямо из офиса (не обязательно из дома), - идешь к компу который имеет дефолт через другую железку (не через ASA), и открываешь rdp/https на внешний адрес ASA. SYN должен уйти в Интернет через вторую железку и прийти на ASA, отранслироваться и уйти на внутренний destination box, соответственно ответный syn ask должен вернуться тем же самым путем. Все довольны и хлопают ушами в ладоши

А документация - вы бы видели кто её пишет - иногда это люди который просто не понимают о чём они пишут (я серьёзно вполне, хотя речь не про кошку, а про её конкурента). У кошки кстати лучшая документация из всех сетевых вендоров.

[Stanislav]

не верю

А что там не верить. В самом начале там был кривой ACL, который был не приложен к интерфейсу.
Потом чуток модифицированный, но всё равно кривой ACL, приложенный к интерфейсу.
Потом наконец то правильный ACL, но опять без access-group.
Во всех случаях пакеты приходили на внешний интерфейс, но абслютно правильно дропались файерволом (счетчики пакетов в последнем ACL нулевые, так он не был приложен к интерфейсу).
Всё абсолютно закономерно и логично.

Сейчас всё должно работать, но нет самих пакетов. Btw Станислав, ты можешь проверить коннективити прямо из офиса (не обязательно из дома), - идешь к компу который имеет дефолт через другую железку (не через ASA), и открываешь rdp/https на внешний адрес ASA. SYN должен уйти в Интернет через вторую железку и прийти на ASA, отранслироваться и уйти на внутренний destination box, соответственно ответный syn ask должен вернуться тем же самым путем. Все довольны и хлопают ушами в ладоши

А документация - вы бы видели кто её пишет - иногда это люди который просто не понимают о чём они пишут (я серьёзно вполне, хотя речь не про кошку, а про её конкурента). У кошки кстати лучшая документация из всех сетевых вендоров.

Да, работает - запустил виртуальную машину, с нее и попробовал.
А простым юзерам то что делать? Я ж делаю как в доках - и получаю кривые ACL. Хорошо вот нашелся знающий человек - сказал как должно быть - так мне стало понятно, что в доках ACL не правильно описаны, а если бы не вы?

[PIX]

А что там не верить.

- Не верю что кривой конфиг может показывать правильную картинку в пакет трайсере. Штука не заменит вайршарк но для быстрого траблшутинга асы имхо оно.

хотя речь не про кошку, а про её конкурента

- Нука нука. Отсюда поподробнее.

У кошки кстати лучшая документация из всех сетевых вендоров.

- Встречаю постоянно пробелы в их докухе. Например криво описано как соединять бриджи в транке. Если читать докуху - не сделаешь картинки. Странно но факт.
Вот взять DMVPN - единственный документ это 1.1 знаменитый. Все его суют. А там совсем не показан референс мультихаб мультиспок с реданданси.
Вот у меня был вопрос принципиальный про очереди nhs nhrp - я облазил весь Интернет, прочел ВСЕ что читается и спросил человек 5 CCIE и пару просто грамотных людей которые деплоили глобальные DMVPN сети - никто не знает. Ответ я получил, но это стоило мне немалых сил и выхода на девелоперов. Не думаю что разговоры с циско девелоперами это то чего хочет обычный пользователь желающий получить ответ на свой вопрос.

Всяк согласен что у них хорошая докуха в целом. Я работал в вендоре сетевом - докухи не было вообще. В принципе. И насколько я понимаю это было сделано в том числе и с целью чтобы никто кроме инженеров вендора ничего сам не мог сконфигурить. Причем оборудование настраивалось так криво что без бутылки не поймешь вообще - все нестандарт и не как у людей.

[Stone]

- Не верю что кривой конфиг может показывать правильную картинку в пакет трайсере.

ASA cнифферу по большому счёту абсолютно пофигу на конфиг файерфола - я имею ввиду если сниффить входящие пакеты на внешнем интерфейсе, то снифферу похеру есть там акцесс-листы или нет на интерфейсе, и если есть то похеру что там в акцесс-листе. С другой стороны к самому снифферу можно приложить его собственный (снифферный ACL), тогда да - и кстати у Станислава там была тоже ошибка - исходящий порт.

хотя речь не про кошку, а про её конкурента


- Нука нука. Отсюда поподробнее.

Макс, что прикидываешься, ты же знаешь где я работал - http://www.fortinet.com
Или ты хочешь сказать что Fortigate не конкурент ASA? Тогда это будет длинный топик

- Встречаю постоянно пробелы в их докухе.

У кошки лучшая дока, потому что у всех других вендоров она просто ещё хуже (заметь я не сказал хорошая или идеальная!)

А простым юзерам то что делать?

Это кошка специально такую доку выпускает что бы кошко-партнеры и другая примазавшаяся публика типа меня с голоду не пропали. Шутка

[Stanislav]

Уряяяяяя! Заработало! С меня пиво в любое время в любом месте!

[Stanislav]

А простым юзерам то что делать?

Это кошка специально такую доку выпускает что бы кошко-партнеры и другая примазавшаяся публика типа меня с голоду не пропали. Шутка

В каждой шутке есть только доля шутки
Долгое время в России ходили слухи, что 1С специально выпускает такую программу, которой требуется постоянное внимнание программистов, чтобы подкормить российских программистов

[PIX]

ASA cнифферу по большому счёту абсолютно пофигу на конфиг файерфола

- http://www.youtube.com/watch?v=T9G5FKItoyw

Или ты хочешь сказать что Fortigate не конкурент ASA?

- Не знаю, в глаза Fortigate не видел. Для меня нет если честно как для человека принимающего решения - знаю Cisco, CheckPoint и Juniper.

У кошки лучшая дока, потому что у всех других вендоров она просто ещё хуже

- Согласен.

ЗЫ: Ты можешь меня на моб набрать - хочу поболтать о машине - я такую же купил )

[Vims]

Fortigate не видел. Для меня нет если честно как для человека принимающего решения - знаю Cisco, CheckPoint и Juniper.

у нас стоят я с таким балуюсь сейчас, вроде ничего нормально

[PIX]

у нас стоят я с таким балуюсь сейчас, вроде ничего нормально

- как с докухой? ) Вообще я уже сказал что бизнес не подразумевает возможности покупать разнобой не важно насколько он рабочий и как здорово называется.

[Stone]

ASA cнифферу по большому счёту абсолютно пофигу на конфиг файерфола

- http://www.youtube.com/watch?v=T9G5FKItoyw

Посмотрев это ролик я понял наконец почему мы спорим: Когда ты говоришь пакет трейсер - ты имеешь ввиду вот эту гуйную приладу в ролике, она показывает как прошёл пакет через все цепочки от входа до выхода, я eё не использую так как не использую гуй вообще. То, что мужик в ролике показывает, естественно зависит от интерфейсных акцесс-листов, ибо это полное прохождение пакета через железку.

Когда я говорю ASA sniffer - я подразумеваю сиэлайную команду "capture", и ей пофигу интерфейсные ACLы, наты и любые L4-L7 инспекции, ибо она просто нюхает входящие или исходящие пакеты на интерфейсе. Что бы проанализировать что произошло с пакетом внутри железки, я привык включать голову а не гуй, так как мир не идеален и в реальной жизни всё время вылазит какая-нибудь хрень типа бажков в доке, гуе, внутреннем коде или конфигурациях\кодах соседствующих девайсов.

Или ты хочешь сказать что Fortigate не конкурент ASA?

- Не знаю, в глаза Fortigate не видел. Для меня нет если честно как для человека принимающего решения - знаю Cisco, CheckPoint и Juniper.

Зайдем издалека Вот в твоём золотом списке - Juniper. Все знают что собственных секьюрных решений у джунипера никогда не было и он прикупил по случаю файервольного возмутителя спокойствия в своё время - NetScreen за 4 биллиона грина. По странному стечению обстоятельств два неугомонных братца Xie, те самые которые основали/развили/надрали циске задницу в своем сегменте/и продали NetScreen джуниперу, основали Fortinet. Перетащили туда главные мозги,
которые делали NetScreen, и за несколько лет сделали новый продукт, и продали одного только железа пол-миллиона экземпляров, не считая туевой хучи всяких сопутствующих сервисов
типа регулярной подписки на antivirus\URL filtering\ и иже с ними. Просто как пример:

http://www.fortinet.com/press_releases/070917.html

Вот ты мне как художник художнику скажи, поддерживает ли PIX/ASA/FWSM:

1. BGP со всеми биджипишными рюшечками типа route-reflectors, confederations, ORF, etc?
2. Динамическую маршрутизацию внутри виртуальных firewalls (contexts)?
3. IPSEC inside виртуальных firewalls (contexts)?
4. IPSEC inside transparent firewall (L2 firewalls)?
5. GRE tunnels in single or multiple context mode?

Иными словами можно ли на ASA взять 200 скажем virtual firewalls (читай 200 разных кастомеров), поднять в каждом из них независимый IPSEC VPN, наложить на это дело сверху динамическую маршрутизацию (i.e. через GRE+OSPF или GRE+BGP), и сверху прогнать через это всё динамический
же мультикаст в виде PIM-SM?
Ты сам знаешь ответ на все эти вопросы - нихрена подобного не поддерживается в ASA. Fortigate это всё делал ещё четыре года назад.
Всё это (и даже лучше если говорить только про L3) можно естественно сделать на кошко-раутерах, но во первых, мы говорим про сегмент firewalls и UTM only, во вторых сразу возникает вопрос производительности, scalability и цены за эту производительность/scalability, и на кошко-раутерах там сильно не разбежишься, а если вдруг по условиям тендера нужны L7 функции - то всё становится совсем неоднозначно.

Я коснулся только L3 функционала, так как был завязан на него. В application layer (L7) разница c ASA будет ещё более удручающая, не в пользу ASA к сожалению.

Disclaimer: я не знаю как дела у них там сейчас, в каком состоянии продукт и как с продажами, так как не касался FortiOS-вской консоли более 4 лет. Знаю только что было успешное IPO в конце прошлого года. Вообщем это очень серьёзный кошкин конкурент в области секъюрных девайсов, откуда кошка постоянно п№;%?т новые фичи и идеи.

бизнес не подразумевает возможности покупать разнобой не важно насколько он рабочий и как здорово называется.

Они прошли уже этот период начального становления когда их никто не знал, и продают и в министерство обороны штатов и крупнейшим провайдерам и национальным банковским сетям.
Но я полностью согласен, что это фактор наверное самый главный который мешает повальному распространению, так как чисто технологически железка была лучше кошкиной просто на голову (по меньшей мере 4 года назад).

ЗЫ: Ты можешь меня на моб набрать - хочу поболтать о машине - я такую же купил )

Да надо потрепаться в офлайне а то всю конфу загадили уже своими сетевыми тараканами
Я не понял насчёт такой же - у меня фордов не было отродясь я всё как-то больше и больше на новый GX460 из штатов нацеливаюсь