URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 648
[ Назад ]
Исходное сообщение
"Маршрут через другой маршрутизатор в локалке"
Отправлено Alting , 27-Мрт-13 14:59 
Коллеги, заработался...
Простая задача:
1. Есть ASA 5510 с прошивкой 8.2 как основной шлюз компании.
2. Есть некий сервер под линукс, выступающий в том числе, как OpenVPN сервер.
Задача:
увидеть из локальной сети сеть удаленного клиента OpenVPN.

На ASA разрешены пинги везде и всюду.

Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился того, что сеть клиента пингуется, и с клиента также пингуются машины локальной сети.
Но только пингуются, ни один сервис больше недоступен :(
Ну и tracreroute еще работает, конечно.

Чего я недокрутил, подскажите, пожалуйста!

Содержание
Сообщения в этом обсуждении
"Маршрут через другой маршрутизатор в локалке"
Отправлено Николай , 27-Мрт-13 15:05 
>[оверквотинг удален]
> Задача:
> увидеть из локальной сети сеть удаленного клиента OpenVPN.
> На ASA разрешены пинги везде и всюду.
> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
> того, что сеть клиента пингуется, и с клиента также пингуются машины
> локальной сети.
> Но только пингуются, ни один сервис больше недоступен :(
> Ну и tracreroute еще работает, конечно.
> Чего я недокрутил, подскажите, пожалуйста!

На аса наверное правил разрешающих не хватает или ограничения по аксес листам на самом ВПН сервере. Как-то не очень информативные начальные условия. Что пакеттрасер на АСЕ говорит?
И почему ВПН не перенести на АСУ?

"Маршрут через другой маршрутизатор в локалке"
Отправлено Alting , 27-Мрт-13 15:15 
>[оверквотинг удален]
>> увидеть из локальной сети сеть удаленного клиента OpenVPN.
>> На ASA разрешены пинги везде и всюду.
>> Прописал сеть удаленного клиента OpenVPN в исключения из NAT (Exempt).
>> Прописав статический маршрут в клиентскую сеть через OpenVPN сервер на ASA добился
>> того, что сеть клиента пингуется, и с клиента также пингуются машины
>> локальной сети.
>> Но только пингуются, ни один сервис больше недоступен :(
>> Ну и tracreroute еще работает, конечно.
>> Чего я недокрутил, подскажите, пожалуйста!
> На аса наверное правил разрешающих не хватает

Вот скорее всего.


> или ограничения по аксес листам
> на самом ВПН сервере.

нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть за OpenVPN сам сервер OpenVPN - то все работает.

> Как-то не очень информативные начальные условия. Что
> пакеттрасер на АСЕ говорит?

Да ничего не говорит... Что TCP, что UDP - RESULT - The packet is allowed в обе стороны :(

> И почему ВПН не перенести на АСУ?

Это как? ASA умеет OpenVPN?

"Маршрут через другой маршрутизатор в локалке"
Отправлено Alting , 27-Мрт-13 16:28 
>[оверквотинг удален]
>> или ограничения по аксес листам
>> на самом ВПН сервере.
> нет, там нету запретов. Если прописать в качестве шлюза в клиентскую сеть
> за OpenVPN сам сервер OpenVPN - то все работает.
>> Как-то не очень информативные начальные условия. Что
>> пакеттрасер на АСЕ говорит?
> Да ничего не говорит... Что TCP, что UDP - RESULT - The
> packet is allowed в обе стороны :(
>> И почему ВПН не перенести на АСУ?
> Это как? ASA умеет OpenVPN?

Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
Я указал IP этого сервера в качестве шлюза на другой машине.
Все работает. Пакет идет от клиента на сервер, от него на сервер OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента OpenVPN и дальше в локалку за клиентом.

Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только в каких....

"Маршрут через другой маршрутизатор в локалке"
Отправлено Alting , 28-Мрт-13 11:35 
>[оверквотинг удален]
>>> И почему ВПН не перенести на АСУ?
>> Это как? ASA умеет OpenVPN?
> Вот специально проделал эксперимент: на одном из серверов прописан маршрут в локальную
> сеть клиента за OpenVPN, где в качестве шлюза указан сервер OpenVPN.
> Я указал IP этого сервера в качестве шлюза на другой машине.
> Все работает. Пакет идет от клиента на сервер, от него на сервер
> OpenVPN (все они находятся в одном LAN сегменте), оттуда на клиента
> OpenVPN и дальше в локалку за клиентом.
> Выходит, дело все же в каких-то "разрешающих правилах на ASA". Вот только
> в каких....

Продолжая тихо сам с собою... :)
Скорее всего, моя проблема кроется в том, что пакеты уходят через один шлюз, а возвращаются через другой. Правда, непонятно тогда в таком случае, почему пинги идут?..
К примеру, как тут:
http://www.cisco.com/en/US/products/ps6120/products_configur...
Все беда в том, что везде рассматриваются варианты с внешнем интерфейсом ASA.
А у меня-то как раз получается, что он не задействован.
Клиент находится не "за ASA", а за другим сервером, который расположен в том же LAN сегменте, что и ASA. Т.е. пакеты с внутреннего на внешний интерфейс в ASA не идут, а сразу перенаправляются на LAN интерфейс нужного сервера.
Пример моей конфигурации:
LAN сегмент локальный - 192.168.0.0/24
LAN сегмент удаленный - 192.168.1.1/24
ASA LAN интерфейс - 192.168.0.1
Сервер OpenVPN LAN интерфейс - 192.168.0.2
Клиент - 192.168.0.3, основной шлюз 192.168.0.1
Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
И пакеты должны идти так:
192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)

"Маршрут через другой маршрутизатор в локалке"
Отправлено Merridius , 28-Мрт-13 11:47 
>[оверквотинг удален]
> LAN сегмент локальный - 192.168.0.0/24
> LAN сегмент удаленный - 192.168.1.1/24
> ASA LAN интерфейс - 192.168.0.1
> Сервер OpenVPN LAN интерфейс - 192.168.0.2
> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
> И пакеты должны идти так:
> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)

same-security-traffic permit intra-interface прописано?
А вообще правильно сделать так: все ваши сервера с сервисами, в том числе openvpn, переместить в другой vlan, с другим security level, короче создать DMZ.
На клиентах в качестве default gateway указать циску.

"Маршрут через другой маршрутизатор в локалке"
Отправлено Alting , 28-Мрт-13 12:36 
>[оверквотинг удален]
>> LAN сегмент удаленный - 192.168.1.1/24
>> ASA LAN интерфейс - 192.168.0.1
>> Сервер OpenVPN LAN интерфейс - 192.168.0.2
>> Клиент - 192.168.0.3, основной шлюз 192.168.0.1
>> Сервер на том конце OpenVPN соединения (OpenVPN клиент) - 192.168.1.1
>> Клиент на том конце - 192.168.1.2, основной шлюз 192.168.1.1
>> И пакеты должны идти так:
>> 192.168.0.3 (клиент локального LAN сегмента) - 192.168.0.1 (ASA) - 192.168.0.2 (сервер
>> OpenVPN) - 192.168.1.1 (клиент OpenVPN) - 192.168.1.2 (клиент удаленного LAN сегмента)
> same-security-traffic permit intra-interface прописано?

Да, да, конечно, прописаны.

> А вообще правильно сделать так: все ваши сервера с сервисами, в том
> числе openvpn, переместить в другой vlan, с другим security level, короче
> создать DMZ.

Думал уже об этом.
Просто на самом деле сервер под asterisk, а OpenVPN у него вспомогательная функция для удаленных подключений к телефонии. И если его выносить, то только ночью :( Очень критична у нас телефония днем...
Лучше уж тогда вообще ничего не трогать и ручками писать еще один гейтвей на тех клиентах, кому нужна удаленная сеть...

> На клиентах в качестве default gateway указать циску.