https://opennet.dev/openforum/vsluhforumID6/2246.html Привет всем!<br>Прошу помощи у гуру сетевых технологии<br>Построил IPsec VPN Site-to-Site между главным и удаленным офисом, сам туннель строится пинги идут. В центральном офисе web-сервачок, с удаленного офиса к web-серверу по протоколу http (tcp 80) не получается достучаться, не только 80-порт, но и 22 (ssh) так же не доступен. <br><br>Вот конфиг центрального роутера<br>Web-сервер в VLAN104 (10.0.38.0/29)<br>IP-адрес Web-сервера в центральном офисе 10.0.38.2/29<br><br>version 15.3<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>hostname CGW<br>boot-start-marker<br>boot-end-marker<br>aqm-register-fnf<br>no logging console<br>aaa new-model<br>aaa authentication login default local<br>aaa session-id common<br>no ip source-route<br>no ip bootp server<br>ip domain name domain.com<br>ip name-server 8.8.8.8<br>!<br>ip inspect name INSPECT_RULE dns<br>ip inspect name INSPECT_RULE icmp<br>ip inspect name INSPECT_RULE ntp<br>ip inspect name INSPECT_RULE tcp router-tr https://opennet.dev/openforum/vsluhforumID6/2246.html#14 Thu, 28 Dec 2017 12:36:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; На WEB-сервере поменял стандартный порт http 80\tcp на 8089 и все получилось.<br>&gt;&gt;&gt;&gt; как быть! куда копать?!<br>&gt;&gt;&gt; а если уберать <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE http <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE https <br>&gt;&gt;&gt; и оставить только <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE tcp ?<br>&gt;&gt; не получилось!<br>&gt; na pervom routere u vas rule: INSPECT_RULE a pod interfaceom <br>&gt; INSPECT_OUT, eto tozhe opechatka?<br><br>да, опечатка<br><br><br> https://opennet.dev/openforum/vsluhforumID6/2246.html#13 Thu, 28 Dec 2017 12:30:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; ip inspect name INSPECT_RULE tcp <br>&gt;&gt;&gt; не получилось!<br>&gt;&gt;&gt; На WEB-сервере поменял стандартный порт http 80\tcp на 8089 и все получилось.<br>&gt;&gt;&gt; как быть! куда копать?!<br>&gt;&gt; а если уберать <br>&gt;&gt; ip inspect name INSPECT_RULE http <br>&gt;&gt; ip inspect name INSPECT_RULE https <br>&gt;&gt; и оставить только <br>&gt;&gt; ip inspect name INSPECT_RULE tcp ?<br>&gt; не получилось!<br><br>na pervom routere u vas rule: INSPECT_RULE a pod interfaceom<br>INSPECT_OUT, eto tozhe opechatka?<br> https://opennet.dev/openforum/vsluhforumID6/2246.html#12 Thu, 28 Dec 2017 12:26:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; попробуйте так: <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE tcp <br>&gt;&gt; не получилось!<br>&gt;&gt; На WEB-сервере поменял стандартный порт http 80\tcp на 8089 и все получилось.<br>&gt;&gt; как быть! куда копать?!<br>&gt; а если уберать <br>&gt; ip inspect name INSPECT_RULE http <br>&gt; ip inspect name INSPECT_RULE https <br>&gt; и оставить только <br>&gt; ip inspect name INSPECT_RULE tcp ?<br><br>не получилось!<br> https://opennet.dev/openforum/vsluhforumID6/2246.html#11 Thu, 28 Dec 2017 12:17:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ip inspect name INSPECT_RULE icmp router-traffic <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE http <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE https <br>&gt;&gt;&gt; ip inspect name INSPECT_RULE ftp <br>&gt;&gt; ip inspect name INSPECT_RULE tcp router-traffic - вроде ОК <br>&gt;&gt; попробуйте так: <br>&gt;&gt; ip inspect name INSPECT_RULE tcp <br>&gt; не получилось!<br>&gt; На WEB-сервере поменял стандартный порт http 80\tcp на 8089 и все получилось. <br>&gt; как быть! куда копать?!<br><br>а если уберать<br><br>ip inspect name INSPECT_RULE http <br>ip inspect name INSPECT_RULE https<br><br>и оставить только<br><br>ip inspect name INSPECT_RULE tcp ?<br><br> https://opennet.dev/openforum/vsluhforumID6/2246.html#10 Thu, 28 Dec 2017 12:11:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip inspect name INSPECT_RULE ntp <br>&gt;&gt; ip inspect name INSPECT_RULE tcp router-traffic <br>&gt;&gt; ip inspect name INSPECT_RULE udp router-traffic <br>&gt;&gt; ip inspect name INSPECT_RULE icmp router-traffic <br>&gt;&gt; ip inspect name INSPECT_RULE http <br>&gt;&gt; ip inspect name INSPECT_RULE https <br>&gt;&gt; ip inspect name INSPECT_RULE ftp <br>&gt; ip inspect name INSPECT_RULE tcp router-traffic - вроде ОК <br>&gt; попробуйте так: <br>&gt; ip inspect name INSPECT_RULE tcp <br><br>не получилось!<br>На WEB-сервере поменял стандартный порт http 80\tcp на 8089 и все получилось. как быть! куда копать?!<br> https://opennet.dev/openforum/vsluhforumID6/2246.html#9 Thu, 28 Dec 2017 11:53:28 GMT &gt;[оверквотинг удален]<br>&gt; Может быть CBAC (Firewall) блочит?<br>&gt; ip inspect name INSPECT_RULE dns <br>&gt; ip inspect name INSPECT_RULE icmp <br>&gt; ip inspect name INSPECT_RULE ntp <br>&gt; ip inspect name INSPECT_RULE tcp router-traffic <br>&gt; ip inspect name INSPECT_RULE udp router-traffic <br>&gt; ip inspect name INSPECT_RULE icmp router-traffic <br>&gt; ip inspect name INSPECT_RULE http <br>&gt; ip inspect name INSPECT_RULE https <br>&gt; ip inspect name INSPECT_RULE ftp <br><br>ip inspect name INSPECT_RULE tcp router-traffic - вроде ОК<br>попробуйте так:<br>ip inspect name INSPECT_RULE tcp<br><br><br> https://opennet.dev/openforum/vsluhforumID6/2246.html#8 Thu, 28 Dec 2017 11:51:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Host is up (0.0030s latency).<br>&gt;&gt;&gt;&gt; PORT STATE SERVICE <br>&gt;&gt;&gt;&gt; 80/tcp filtered http <br>&gt;&gt;&gt;&gt; Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds <br>&gt;&gt;&gt;&gt; STATE=filtered не как не пойму где фильтруется <br>&gt;&gt;&gt; а у вас на сервере нету фиревалла? можно на время отключить фиревалл <br>&gt;&gt;&gt; на роутерах?<br>&gt;&gt; да, а почему " Nmap scan report for 10.3.33.2" а не 10.0.38.2?<br>&gt; не тот репорт скинул.<br>&gt; но, результ тот же...<br><br>Может быть CBAC (Firewall) блочит?<br>ip inspect name INSPECT_RULE dns<br>ip inspect name INSPECT_RULE icmp<br>ip inspect name INSPECT_RULE ntp<br>ip inspect name INSPECT_RULE tcp router-traffic<br>ip inspect name INSPECT_RULE udp router-traffic<br>ip inspect name INSPECT_RULE icmp router-traffic<br>ip inspect name INSPECT_RULE http<br>ip inspect name INSPECT_RULE https<br>ip inspect name INSPECT_RULE ftp<br> https://opennet.dev/openforum/vsluhforumID6/2246.html#7 Thu, 28 Dec 2017 11:50:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; вот результ: <br>&gt;&gt;&gt; Nmap scan report for 10.3.33.2 <br>&gt;&gt;&gt; Host is up (0.0030s latency).<br>&gt;&gt;&gt; PORT STATE SERVICE <br>&gt;&gt;&gt; 80/tcp filtered http <br>&gt;&gt;&gt; Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds <br>&gt;&gt;&gt; STATE=filtered не как не пойму где фильтруется <br>&gt;&gt; а у вас на сервере нету фиревалла? можно на время отключить фиревалл <br>&gt;&gt; на роутерах?<br>&gt; да, а почему " Nmap scan report for 10.3.33.2" а не 10.0.38.2? <br><br>не тот репорт скинул.<br>но, результ тот же...<br><br> https://opennet.dev/openforum/vsluhforumID6/2246.html#6 Thu, 28 Dec 2017 11:45:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt; просканил web-сервер на 80-порт <br>&gt;&gt; вот результ: <br>&gt;&gt; Nmap scan report for 10.3.33.2 <br>&gt;&gt; Host is up (0.0030s latency).<br>&gt;&gt; PORT STATE SERVICE <br>&gt;&gt; 80/tcp filtered http <br>&gt;&gt; Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds <br>&gt;&gt; STATE=filtered не как не пойму где фильтруется <br>&gt; а у вас на сервере нету фиревалла? можно на время отключить фиревалл <br>&gt; на роутерах?<br><br>да, а почему " Nmap scan report for 10.3.33.2" а не 10.0.38.2?<br>