The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не открываются SSL-сайты через Cisco"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не открываются SSL-сайты через Cisco"  
Сообщение от avichi email(ok) on 24-Июн-08, 20:01 
Ситуация такая: Cisco 2811, на ней настроен проброс портов 25, 80 и 443 на эксчендж 2007. По 25-му и 80-му портам все работает на ура, по 443-му - "невозможно отобразить страницу". Изнутри сети доступ есть.
Помогите, пожалуйста.

лог такой:

!
interface FastEthernet0/0
description INET_XXX.XXX.131.28/30
ip address XXX.XXX.131.30 255.255.255.252
ip access-group INCOMING in
ip nat outside
ip inspect IPFW out
ip ips IPS in
ip virtual-reassembly
duplex full
speed 100
crypto map EASYMAP
!
interface FastEthernet0/1
description Server_Net_10.224.1.0/24
ip address 10.224.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!

!
no ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT interface FastEthernet0/0 overload
ip nat inside source static tcp 10.224.1.50 80 XXX.XXX.131.30 80 extendable
ip nat inside source static tcp 10.224.1.50 443 XXX.XXX.131.30 443 extendable
ip nat inside source static tcp 10.224.1.50 25 XXX.XXX.131.30 25 extendable
!
ip access-list extended EASY
permit ip 10.224.1.0 0.0.0.255 any
ip access-list extended INCOMING
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit tcp any host XXX.XXX.131.30 eq 80
permit tcp any host XXX.XXX.131.30 eq 25
permit tcp any host XXX.XXX.131.30 eq 443
permit esp any host XXX.XXX.131.30
permit gre any host XXX.XXX.131.30
permit icmp any any
permit ip any 10.224.1.0 0.0.0.255
deny ip any any log-input
ip access-list extended IPS-INSPECT
permit ip any any
ip access-list extended NAT
deny ip 10.224.1.0 0.0.0.255 172.16.26.0 0.0.0.255
permit ip 10.224.1.0 0.0.0.255 any
permit ip 172.16.25.0 0.0.0.255 any
permit ip any any
!

cisco2811#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp XXX.XXX.131.30:25 10.224.1.180:25 --- ---
tcp XXX.XXX.131.30:80 10.224.1.180:80 --- ---
tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481
tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не открываются SSL-сайты через Cisco"  
Сообщение от CrAzOiD (ok) on 25-Июн-08, 02:31 
>[оверквотинг удален]
>permit ip 172.16.25.0 0.0.0.255 any
>permit ip any any
>!
>
>cisco2811#show ip nat translations
>Pro Inside global Inside local Outside local Outside global
>tcp XXX.XXX.131.30:25 10.224.1.180:25 --- ---
>tcp XXX.XXX.131.30:80 10.224.1.180:80 --- ---
>tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481
>tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---

1. покажите что у вас в inspect настроено
2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не мешало бы привести

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не открываются SSL-сайты через Cisco"  
Сообщение от avichi email(ok) on 25-Июн-08, 10:08 
>1. покажите что у вас в inspect настроено
>2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не
>мешало бы привести

Вот список inspect и ips
Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и все работает.

Как обойти эту проблему?

ip inspect log drop-pkt
ip inspect max-incomplete high 1700
ip inspect max-incomplete low 1500
ip inspect one-minute high 1100
ip inspect one-minute low 900
ip inspect udp idle-time 25
ip inspect dns-timeout 7
ip inspect tcp idle-time 21600
ip inspect tcp finwait-time 7
ip inspect tcp synwait-time 15
ip inspect tcp block-non-session
ip inspect tcp max-incomplete host 50 block-time 3
ip inspect name IPFW fragment maximum 1000 timeout 1
ip inspect name IPFW tcp alert on
ip inspect name IPFW udp alert on
ip inspect name IPFW icmp alert on
ip inspect name IPFW ftp
ip inspect name IPFW citrix
ip inspect name IPFW pop3
ip inspect name IPFW imap
ip inspect name IPFW telnet
ip inspect name IPFW ntp alert on
ip inspect name IPFW dns
ip inspect name IPFW ssh alert on audit-trail on
ip inspect name IPFW aol
ip inspect name IPFW smtp
ip inspect name IPFW http
ip inspect name IPFW isakmp
ip inspect name IPFW ipsec-msft
ip inspect name IPFW ica
ip inspect name IPFW icabrowser
ip inspect name IPFW https
ip ips sdf location flash:128MB.sdf
ip ips deny-action ips-interface
ip ips signature 2004 0 disable
ip ips signature 2000 0 disable
ip ips signature 2001 0 disable
ip ips signature 2005 0 disable
ip ips signature 4050 0 disable
ip ips name IPS list IPS-INSPECT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не открываются SSL-сайты через Cisco"  
Сообщение от CrAzOiD (ok) on 25-Июн-08, 16:06 
>>1. покажите что у вас в inspect настроено
>>2. попробуйде отключить ips и посмотрите, ну и его настройки тоже не
>>мешало бы привести
>
>Вот список inspect и ips
>Отключение IPS ничего не меняет, а вот отключение INSPECT разрешает доступ и
>все работает.
>
>Как обойти эту проблему?
>

дай команду
no ip inspect name IPFW https


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не открываются SSL-сайты через Cisco"  
Сообщение от chesnok email(ok) on 25-Июн-08, 11:59 
>[оверквотинг удален]
>permit ip 172.16.25.0 0.0.0.255 any
>permit ip any any
>!
>
>cisco2811#show ip nat translations
>Pro Inside global Inside local Outside local Outside global
>tcp XXX.XXX.131.30:25 10.224.1.180:25 --- ---
>tcp XXX.XXX.131.30:80 10.224.1.180:80 --- ---
>tcp XXX.XXX.131.30:443 10.224.1.180:443 YYY.YYY.4.114:1481 YYY.YYY.4.114:1481
>tcp XXX.XXX.131.30:443 10.224.1.180:443 --- ---

Какое значение MTU на интерфейсах ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не открываются SSL-сайты через Cisco"  
Сообщение от avichi email(ok) on 25-Июн-08, 16:54 
>Какое значение MTU на интерфейсах ?

на обоих интерфейсах MTU 1300.

Убрал из конфига строку  ip inspect tcp block-non-session и все заработало.
Она блокировала входящие TCP соединения. Почему блокировка касалась только SSL-соединений - пока не ясно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру