forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco ASA 5510 static nat"
Отправлено des, 15-Мрт-10 12:16

Добрый день!
ПОмогите разобраться, пожалуйста.
Ситуация в следующем, есть два устройства Sprinter TX-10 (это мультиплексор для передачи потока E1 по IP сети...), которые нужно связать.
Устройство Sprinter1 имеет реальный IP адрес (например 1.2.3.4), а устройство Sprinter2 находится за Cisco ASA 5510, в dmz в IP 192.168.21.10/29.
Устройства связываются по sip и передают данные по портам 41000 и 41001.
Для работы я сделал следующее:
1. Разрешил весь входящий трафик с IP 1.2.3.4 на outside интерфейс.
access-list ACL_INT_O extended permit ip host 1.2.3.4 interface outside
access-list ACL_INT_O extended permit ip host 1.2.3.4 any
(access-list - ы на интерфейсы подключаются только как IN).
2. Разрешил весь входящий трафик с IP 192.168.21.10 на интерфейс dmz20.
access-list ACL_INT_D20 extended permit ip any any
3. Прописал static:
static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255
static (dmz20,outside) udp interface 41000 192.168.21.10 41000 netmask 255.255.255.255
static (dmz20,outside) udp interface 41001 192.168.21.10 41001 netmask 255.255.255.255
устройства не видят друг-друга....
гляжу пакеты проходящие через интерфейс dmz20:
sh capture
capture dmz type raw-data packet-length 9216 trace interface dmz20
sh capture dmz
1: 14:45:41.127328 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
2: 14:45:41.128762 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250
3: 14:45:42.129311 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
4: 14:45:42.130486 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250
5: 14:45:43.130989 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252
пакеты по sip ходят туда обратно, на outside интерфейсе тоже вижу эти пакеты....
инспектирование sip отключено.
packet-tracer выдает странное.
Исходящее соединение пропускает:
1. packet-tracer input dmz20 udp 192.168.21.10 sip 1.2.3.4 sip
Result: ALLOW
А в обратную сторону - нет.
2. packet-tracer input outside udp 1.2.3.4 sip 192.168.21.10 sip
Result: DROP
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255
  match udp dmz20 host 192.168.21.10 eq 5060 outside any
    static translation to 1.2.3.4/5060
    translate_hits = 0, untranslate_hits = 3
В связи со всем вышеперечисленным, два вопроса:
1. Что я недонастроил?
2. Почему packet-tracer себя так ведет? (ведь я же в capture вижу что пакет реально проходит...).

Исходное сообщение
"Cisco ASA 5510 static nat" Отправлено des, 15-Мрт-10 12:16
Добрый день! ПОмогите разобраться, пожалуйста. Ситуация в следующем, есть два устройства Sprinter TX-10 (это мультиплексор для передачи потока E1 по IP сети...), которые нужно связать. Устройство Sprinter1 имеет реальный IP адрес (например 1.2.3.4), а устройство Sprinter2 находится за Cisco ASA 5510, в dmz в IP 192.168.21.10/29. Устройства связываются по sip и передают данные по портам 41000 и 41001. Для работы я сделал следующее: 1. Разрешил весь входящий трафик с IP 1.2.3.4 на outside интерфейс. access-list ACL_INT_O extended permit ip host 1.2.3.4 interface outside access-list ACL_INT_O extended permit ip host 1.2.3.4 any (access-list - ы на интерфейсы подключаются только как IN). 2. Разрешил весь входящий трафик с IP 192.168.21.10 на интерфейс dmz20. access-list ACL_INT_D20 extended permit ip any any 3. Прописал static: static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255 static (dmz20,outside) udp interface 41000 192.168.21.10 41000 netmask 255.255.255.255 static (dmz20,outside) udp interface 41001 192.168.21.10 41001 netmask 255.255.255.255 устройства не видят друг-друга.... гляжу пакеты проходящие через интерфейс dmz20: sh capture capture dmz type raw-data packet-length 9216 trace interface dmz20 sh capture dmz 1: 14:45:41.127328 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060: udp 252 2: 14:45:41.128762 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060: udp 250 3: 14:45:42.129311 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060: udp 252 4: 14:45:42.130486 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060: udp 250 5: 14:45:43.130989 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060: udp 252 пакеты по sip ходят туда обратно, на outside интерфейсе тоже вижу эти пакеты.... инспектирование sip отключено. packet-tracer выдает странное. Исходящее соединение пропускает: 1. packet-tracer input dmz20 udp 192.168.21.10 sip 1.2.3.4 sip Result: ALLOW А в обратную сторону - нет. 2. packet-tracer input outside udp 1.2.3.4 sip 192.168.21.10 sip Result: DROP Phase: 7 Type: NAT Subtype: rpf-check Result: DROP Config: static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255 match udp dmz20 host 192.168.21.10 eq 5060 outside any static translation to 1.2.3.4/5060 translate_hits = 0, untranslate_hits = 3 В связи со всем вышеперечисленным, два вопроса: 1. Что я недонастроил? 2. Почему packet-tracer себя так ведет? (ведь я же в capture вижу что пакет реально проходит...).

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добрый день!
> ПОмогите разобраться, пожалуйста.
> Ситуация в следующем, есть два устройства Sprinter TX-10 (это мультиплексор для передачи 
> потока E1 по IP сети...), которые нужно связать.
> Устройство Sprinter1 имеет реальный IP адрес (например 1.2.3.4), а устройство Sprinter2 
> находится за Cisco ASA 5510, в dmz в IP 192.168.21.10/29.
> Устройства связываются по sip и передают данные по портам 41000 и 41001. 
 
> Для работы я сделал следующее: 
> 1. Разрешил весь входящий трафик с IP 1.2.3.4 на outside интерфейс.
> access-list ACL_INT_O extended permit ip host 1.2.3.4 interface outside 
> access-list ACL_INT_O extended permit ip host 1.2.3.4 any 
> (access-list - ы на интерфейсы подключаются только как IN).
> 2. Разрешил весь входящий трафик с IP 192.168.21.10 на интерфейс dmz20.
> access-list ACL_INT_D20 extended permit ip any any 
> 3. Прописал static: 
> static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255 
> static (dmz20,outside) udp interface 41000 192.168.21.10 41000 netmask 255.255.255.255 
 
> static (dmz20,outside) udp interface 41001 192.168.21.10 41001 netmask 255.255.255.255

> устройства не видят друг-друга....
> гляжу пакеты проходящие через интерфейс dmz20: 
> sh capture 
> capture dmz type raw-data packet-length 9216 trace interface dmz20

> sh capture dmz 
> 1: 14:45:41.127328 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252 
> 2: 14:45:41.128762 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250 
> 3: 14:45:42.129311 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252 
> 4: 14:45:42.130486 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250 
> 5: 14:45:43.130989 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252

> пакеты по sip ходят туда обратно, на outside интерфейсе тоже вижу эти 
> пакеты....
> инспектирование sip отключено.

> packet-tracer выдает странное.
> Исходящее соединение пропускает: 
> 1. packet-tracer input dmz20 udp 192.168.21.10 sip 1.2.3.4 sip 
> Result: ALLOW

> А в обратную сторону - нет.
> 2. packet-tracer input outside udp 1.2.3.4 sip 192.168.21.10 sip 
> Result: DROP 
> Phase: 7 
> Type: NAT 
> Subtype: rpf-check 
> Result: DROP 
> Config: 
> static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255 
>   match udp dmz20 host 192.168.21.10 eq 5060 outside any 
>     static translation to 1.2.3.4/5060 
>     translate_hits = 0, untranslate_hits = 3

> В связи со всем вышеперечисленным, два вопроса: 
> 1. Что я недонастроил?
> 2. Почему packet-tracer себя так ведет? (ведь я же в capture вижу 
> что пакет реально проходит...).

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру