Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 10:55



Ответить на тему  [ Сообщений: 18 ] 
ASAv 2ip на одном интерфейсе с разными маками 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Есть такая проблема. Асав стоит на дедике хетзнера, нужно задействовать два внешних IP. на каждый ip хетзнер дает свой мак, одинаковый мак сделать нельзя. На асе нельзя добавить еще один интерфейс с ip из одной подсети. Что можно придумать?


22 ноя 2017, 15:42
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Вам нужно вешать второй адрес именно на интерфейс? Если нет - попробуйте просто сделать статическую arp запись, на асе proxyarp по умолчанию включен, должно отвечать. Если не будет отвечать - попробуйте повесить адрес на более другой интерфейс, правда аса скорее всего такой трафик никуда пускать не будет. Ну а если по уму - у них был пакет flex что-то, в рамках него можно было заказать маршрутизируемую сеть.


22 ноя 2017, 16:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Второй адрес нужен для проброса https наружу, для отдельного домена.
С proxy arp обжект нат пробрасывать тоже через outside ?
ip адрес в тойже подсети, на другой интерфейс не повесить


22 ноя 2017, 17:10
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Если для NAT то адрес на асу вообще не нужно прибивать. Насколько я помню со стороны Хетцнера ARP вообще отключен и все делается статическими привязками, поэтому все должно и так с пол пинка работать, нужно только чтобы адрес был в подсети outside интерфейса.


22 ноя 2017, 17:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
без пинка не работает(
асав стоит на esxi. пока я не присвоил отдельный мак(который я запросил у хетзнера для конкретного ip) адаптеру в настройках гостевой машины - вообще не заводилось.
сейчас я вообще не вижу обращений к новому ip из инета


22 ноя 2017, 17:21
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Второй адрес в одной подсети с рабочим? Сделайте стстическую arp запись к тому маку с которым ассоциировали новый адрес, настройте NAT и все должно взлететь. Включите дебаг arp и увидите что Hetzner у асы ARP вообще не спрашивает. Включите дебаг пакетов на этот адрес чтобы увидеть приходит ли что-то на этот адрес от Хетцнера.


22 ноя 2017, 17:35
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
В общем не получается со статической арп записью.
Опишу подробнее, может косяк на уровне esxi.
Дедик в хетзнере, мне дается 2 реальных ip (ikvm и на втором стоит esxi)
Я докупил еще ip для asav (чтоб не использовать нат на вмваре) Аса не видит сеть, пока я не делаю этому ip адресу виртуальный мак и не про писываю его на интерфейсе в настройках гостевой машины. в самой асав я не прописываю новый мак.
Сейчас докупил еще один ip и никак не могу застравить его работать


28 ноя 2017, 17:23
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Так а в дебагах то чо видно?


28 ноя 2017, 19:39
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Сделал проброс порта на это ip, пакет трейсер говорит что все ок. при обращении из вне - тишина. В логах пусто, дебаг арп пусто. какой еще дебаг сделать?


29 ноя 2017, 11:11
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
В смысле проброс порта? На самой асе включите debug arp 255 и debug ip packet 255 (или как оно на асе называется) и попингуйте этот адрес снаружи. Я думаю что ARP не увидите, но увидите как минимум входящие ICMP.


29 ноя 2017, 11:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Через обжект нат на этот ip проброшен порт
в асе есть debug arp и debug icmp trace. основной адрес ххх.240 прингуется. доп адрес ххх.226 нет. и в логах\дебаг тишина.
Код:
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address ххх.240 255.255.255.128

arp outside ххх.226 0050.5600.228d alias
arp timeout 14400
arp permit-nonconnected



29 ноя 2017, 13:01
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Ну фиг его знает, я у себя ASAv извел, проверить не на чем. Хетцнер со своей стороны делает статические ARP привязки адресов к предоставленному клиентом маку и соответственно никогда ARP не спрашивает, других особенностей у него нет, по крайней мере так было когда у меня там что-то стояло. Если не лениво соорудите стенд и проверьте.


29 ноя 2017, 13:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Demm писал(а):
В общем не получается со статической арп записью.
Опишу подробнее, может косяк на уровне esxi.
Дедик в хетзнере, мне дается 2 реальных ip (ikvm и на втором стоит esxi)
Я докупил еще ip для asav (чтоб не использовать нат на вмваре) Аса не видит сеть, пока я не делаю этому ip адресу виртуальный мак и не про писываю его на интерфейсе в настройках гостевой машины. в самой асав я не прописываю новый мак.
Сейчас докупил еще один ip и никак не могу застравить его работать

Шо то я Вас совсем не понял.
Какая версия ESXi ?
ИМХО, из опыта:
Вплоть до версии 6.0 нормально на одном managament интерфейсе развести доступ к ESXi и другим машинам было тяжко.
Есть костыли, но они не всегда хороши (если высоко на груженые сетевые интерфейсы)
Нормально работающим решением было разведение на vlan (самое правильное) при использовании одного сетевого интерфейса.
Но самым верным, это разведение на разные физические сетевые интерфейсы (на случай краха оставляем один физ порт который смотрит сразу в ESXi)
ИМХО


29 ноя 2017, 17:59
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Версия 6.5.0
Физический интерфейс только один. С выделеным мак адресом на ip для асы все разводится нормально. а вот второй ip на асу повесить не получается.
Можно чуть подробнее про идею разведения на влан (разговор по виртуальный свитч или про асу)?


29 ноя 2017, 18:08
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Хетцнер не даст отдельный vlan под отдельный адрес. У них все автоматизировано и ни на что нестандартное они не пойдут. Если не разберетесь с ASAv то останется только покупать flexnet и в рамках него уже заказывать маршрутизированную сеть.


29 ноя 2017, 18:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Demm писал(а):
Версия 6.5.0
Физический интерфейс только один. С выделеным мак адресом на ip для асы все разводится нормально. а вот второй ip на асу повесить не получается.
Можно чуть подробнее про идею разведения на влан (разговор по виртуальный свитч или про асу)?


1. Скажите, Вам не страшно выставлять WEB морду от ESXi на прямую в инет?
2. Вы путаете понятия, у Вас первым работает ESXi а потом уже ASAv
3. Пустите на реальный МАС, ASAv. Для управления ESXi сделайте отдельный vlan на базе ESXi. Пробросьте второй реальный IP на созданный vlan. не забудьте к созданному vlan прикрепить физ интрефейс с сервака. Нужен для управления ESXi в случае краха ASAv.
Как то так.
ИМХО.


29 ноя 2017, 18:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
1) ограничени по ip в настройках esxi. И у хетзнера есть еще свой фаервол, доступ к которому через личный кабинет(там тоже блокировка по ip для вебморды esxi и ikvm).
2)это я понимаю
3) пока не очень понятно, завтра попытаюсь


29 ноя 2017, 19:39
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
В общем не смог я победить. Насколько я понял у хетзнера идеи жесткая привязка по маку к маку самого сервера.
Можно было попробовать склонировать мак сервера на асу, а на сервере поменять на выделеный.
Я пошел путем костылей. поставил psSense, сделал на нем нат 1:1 на интерфейс асы.
Еще возможный вариант - купить еще одну подсеть у хетзнера за 8 евро. Но жалко стало)


06 дек 2017, 14:05
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 18 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 86


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB