Страница 1 из 1

Проброс в Kerio железки Cisco ASA 5505 или VPN внутри VPN

Добавлено: 20 окт 2014, 15:08
DeadMemories
Всем доброго дня!

Оборудование и ПО:

Kerio Control 8.3.2
Cisco ASA 5505

Народ, помогите плиз вот с такой проблемой. Есть шлюз Kerio для выхода в интернет. Внутри сети для определенных ПК стоит cisco asa 5505. (На эти ПК подключаются сотрудники сторонней фирмы по IPSec через Cisco VPN Client) После того как мы подключили наш филиал в другом городе посредством Kerio-VPN-Kerio, из вне перестал подключатся клиент Cisco на ASA 5505.

В Kerio есть правило на подключение к Cisco ASA из вне:

Код: Выделить всё

Интернет - Брандмауэр - по портам IKE, IPSec, IPSec NAT-T - разрешить - map (на IP адрес Cisco asa 5505)
После присоединения филиала появилось еще два правила

Код: Выделить всё

Интернет - Брандмауэр - по портам IKE, IPSec, IPSec NAT-T - разрешить

Код: Выделить всё

Интернет - Брандмауэр - по портам Kerio VPN (TCP/UDP 4090) - разрешить
Эти два правила расположены выше правила для Cisco ASA

Был у нас человек и занимался этим, он ушел и тут обозначили проблему. Вот хотим чтобы и Филиал к нам конектился и сторонняя фирма к Cisco ASA.

Может не понятно объяснил, вот накарябал схемку как сейчас у нас выглядит связь. Не работает соответственно в этой схеме Туннель который идет от сторонней организации к Cisco ASA. Внутри нашей сети, по локальному IP я без проблем цепляюсь а ASA.

Изображение

Такое чувство что, сторонняя фирма перестала коннектится из-за того что подняли туннель между нашим офисом и филлиалом. Сегодня из дома попробую вечером когда никто не будет работать, отрубить туннель между нами и филлиалом, и попробую подключится к ASA из вне. Но это только догадки :)

Вообще возможна такая схема? Как то можно реализовать то, что мы хотим на текущей схеме?

Помогите люди добрые :)

Re: Проброс в Kerio железки Cisco ASA 5505 или VPN внутри VPN

Добавлено: 20 окт 2014, 19:38
Infernal Flame
DeadMemories
Желательны скрины политик фаера. После этого будем "курить"

Re: Проброс в Kerio железки Cisco ASA 5505 или VPN внутри VPN

Добавлено: 20 окт 2014, 22:43
DeadMemories
Вот правила которые в керио

Изображение

Тут первое и третье с одинаковыми портами по сути. Ту тосновной вопрос можно ли вообще сделать такую схему на данном оборудовании и ПО. :)

Первые два правила делал человек который у нас работал скажем так. Третье мое правило было изначально пока не присоеденили филиал. После этого на Cisco ASA перестали подключатся из вне. Внутри все ок ессесно :)

-------------------------------------------------

В общем пробовал сейчас отключить VPN cервер Kerio. Оставил только старое правило от ASA. Все равно не конектится(

Re: Проброс в Kerio железки Cisco ASA 5505 или VPN внутри VPN

Добавлено: 21 окт 2014, 15:43
DeadMemories
Дело не стоит на месте!
09:24 Появилась еще информация. Вчера пробовал вечером остановать VPN Server Kerio. Отключал правила которые были для него созданы. Оставил только одно правило для Cisco ASA. Все равно не подключается. Заметил еще такую особенность, раньше в активных хостах Керио был IP адрес Cisco. И для него был создан локальный пользователь керио с автоматической авторизацией. После рестарта Керио этот IP адрес пропал из активных хостов. Т.е. не авторизирована железка на проксе. Как заставить её там появится?
------------------------------------------------------------------

Решил вопрос с появлениев железки в Kerio

------------------------------------------------------------------

Мозговой штурм продолжается.

Сделал правило, поставил на нем учет пакетов, открыл порты UDP 500, UDP 4500, IKE (TCP/UDP 50)

Изображение

В логах высвечивается, даже с открытыми портами:

Код: Выделить всё

[21/Oct/2014 12:55:35] DROP "access" packet from SunLink, proto:UDP, len:891, 37.147.145.242:53745 -> 87.244.16.50:500, udplen:863
Это если я делаю проброс NAT.

Меняю в правиле NAT на MAP 10.0.0.99 (IP адрес Cisco)

Изображение

В логах вижу следующее:

Код: Выделить всё

[21/Oct/2014 13:05:17] PERMIT "access" packet from SunLink, proto:UDP, len:891, 37.147.145.242:53748 -> 87.244.16.50:500, udplen:863

[21/Oct/2014 13:05:17] PERMIT "access" packet to local, proto:UDP, len:891, 37.147.145.242:53748 -> 10.0.0.99:500, udplen:863
Вроде все хорошо, но все равно CIsco VPN Client выдает

Код: Выделить всё

Secure VPN Connection terminated locally by the Client
Reason 412: The remote peer is no longer responding
т.е. получается что Керио прокинул внутрь это соединение, оно пришло на Cisco (10.0.0.99) но дальше не шевелится. Как в cisco поглядеть ломится кто нибудь к ней или нет? Имеется ПО Cisco ASDM 7.1 for ASA. По shh доступа нет. Железка находится в другом здании и пока возможности нет к ней прийти с консольным кабелем.

Re: Проброс в Kerio железки Cisco ASA 5505 или VPN внутри VPN

Добавлено: 21 окт 2014, 16:29
Raven
Тут надо смотреть с обоих концов и в т.ч. и на цыцке. Слишком мало информации, чтобы можно было обьективно покурить.