Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ Сообщений: 5 ] 
Автор Сообщение
СообщениеДобавлено: 20 окт 2014, 15:08 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 3

Зарегистрирован: 20 окт 2014, 15:03
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
ОС: win
Всем доброго дня!

Оборудование и ПО:

Kerio Control 8.3.2
Cisco ASA 5505

Народ, помогите плиз вот с такой проблемой. Есть шлюз Kerio для выхода в интернет. Внутри сети для определенных ПК стоит cisco asa 5505. (На эти ПК подключаются сотрудники сторонней фирмы по IPSec через Cisco VPN Client) После того как мы подключили наш филиал в другом городе посредством Kerio-VPN-Kerio, из вне перестал подключатся клиент Cisco на ASA 5505.

В Kerio есть правило на подключение к Cisco ASA из вне:

Код:
Интернет - Брандмауэр - по портам IKE, IPSec, IPSec NAT-T - разрешить - map (на IP адрес Cisco asa 5505)


После присоединения филиала появилось еще два правила

Код:
Интернет - Брандмауэр - по портам IKE, IPSec, IPSec NAT-T - разрешить


Код:
Интернет - Брандмауэр - по портам Kerio VPN (TCP/UDP 4090) - разрешить


Эти два правила расположены выше правила для Cisco ASA

Был у нас человек и занимался этим, он ушел и тут обозначили проблему. Вот хотим чтобы и Филиал к нам конектился и сторонняя фирма к Cisco ASA.

Может не понятно объяснил, вот накарябал схемку как сейчас у нас выглядит связь. Не работает соответственно в этой схеме Туннель который идет от сторонней организации к Cisco ASA. Внутри нашей сети, по локальному IP я без проблем цепляюсь а ASA.

Изображение


Такое чувство что, сторонняя фирма перестала коннектится из-за того что подняли туннель между нашим офисом и филлиалом. Сегодня из дома попробую вечером когда никто не будет работать, отрубить туннель между нами и филлиалом, и попробую подключится к ASA из вне. Но это только догадки :)

Вообще возможна такая схема? Как то можно реализовать то, что мы хотим на текущей схеме?

Помогите люди добрые :)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 20 окт 2014, 19:38 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1887

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Slackware-current
DeadMemories
Желательны скрины политик фаера. После этого будем "курить"


Изображение

Изображение

Work: Slackware Linux 14.0 х 'all Servers'
Laptop: Slackware64-current / Xfce 4.10 / Linux 3.10.5


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 20 окт 2014, 22:43 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 3

Зарегистрирован: 20 окт 2014, 15:03
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
ОС: win
Вот правила которые в керио

Изображение


Тут первое и третье с одинаковыми портами по сути. Ту тосновной вопрос можно ли вообще сделать такую схему на данном оборудовании и ПО. :)

Первые два правила делал человек который у нас работал скажем так. Третье мое правило было изначально пока не присоеденили филиал. После этого на Cisco ASA перестали подключатся из вне. Внутри все ок ессесно :)

-------------------------------------------------

В общем пробовал сейчас отключить VPN cервер Kerio. Оставил только старое правило от ASA. Все равно не конектится(


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 21 окт 2014, 15:43 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 3

Зарегистрирован: 20 окт 2014, 15:03
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
ОС: win
Дело не стоит на месте!

Цитата:
09:24 Появилась еще информация. Вчера пробовал вечером остановать VPN Server Kerio. Отключал правила которые были для него созданы. Оставил только одно правило для Cisco ASA. Все равно не подключается. Заметил еще такую особенность, раньше в активных хостах Керио был IP адрес Cisco. И для него был создан локальный пользователь керио с автоматической авторизацией. После рестарта Керио этот IP адрес пропал из активных хостов. Т.е. не авторизирована железка на проксе. Как заставить её там появится?


------------------------------------------------------------------

Решил вопрос с появлениев железки в Kerio

------------------------------------------------------------------

Мозговой штурм продолжается.

Сделал правило, поставил на нем учет пакетов, открыл порты UDP 500, UDP 4500, IKE (TCP/UDP 50)

Изображение


В логах высвечивается, даже с открытыми портами:

Код:
[21/Oct/2014 12:55:35] DROP "access" packet from SunLink, proto:UDP, len:891, 37.147.145.242:53745 -> 87.244.16.50:500, udplen:863


Это если я делаю проброс NAT.

Меняю в правиле NAT на MAP 10.0.0.99 (IP адрес Cisco)

Изображение


В логах вижу следующее:

Код:
[21/Oct/2014 13:05:17] PERMIT "access" packet from SunLink, proto:UDP, len:891, 37.147.145.242:53748 -> 87.244.16.50:500, udplen:863

[21/Oct/2014 13:05:17] PERMIT "access" packet to local, proto:UDP, len:891, 37.147.145.242:53748 -> 10.0.0.99:500, udplen:863


Вроде все хорошо, но все равно CIsco VPN Client выдает

Код:
Secure VPN Connection terminated locally by the Client
Reason 412: The remote peer is no longer responding


т.е. получается что Керио прокинул внутрь это соединение, оно пришло на Cisco (10.0.0.99) но дальше не шевелится. Как в cisco поглядеть ломится кто нибудь к ней или нет? Имеется ПО Cisco ASDM 7.1 for ASA. По shh доступа нет. Железка находится в другом здании и пока возможности нет к ней прийти с консольным кабелем.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 21 окт 2014, 16:29 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2898
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 121 раз.
ОС: RHEL 6.7
Тут надо смотреть с обоих концов и в т.ч. и на цыцке. Слишком мало информации, чтобы можно было обьективно покурить.


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Перенесенная Документация по Gentoo

в форуме Linux

Gen1us2k

0

4

05 мар 2010, 18:54

Gen1us2k Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO