Автор |
Сообщение |
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Есть такая проблема. Асав стоит на дедике хетзнера, нужно задействовать два внешних IP. на каждый ip хетзнер дает свой мак, одинаковый мак сделать нельзя. На асе нельзя добавить еще один интерфейс с ip из одной подсети. Что можно придумать?
|
22 ноя 2017, 15:42 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Вам нужно вешать второй адрес именно на интерфейс? Если нет - попробуйте просто сделать статическую arp запись, на асе proxyarp по умолчанию включен, должно отвечать. Если не будет отвечать - попробуйте повесить адрес на более другой интерфейс, правда аса скорее всего такой трафик никуда пускать не будет. Ну а если по уму - у них был пакет flex что-то, в рамках него можно было заказать маршрутизируемую сеть.
|
22 ноя 2017, 16:20 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Второй адрес нужен для проброса https наружу, для отдельного домена. С proxy arp обжект нат пробрасывать тоже через outside ? ip адрес в тойже подсети, на другой интерфейс не повесить
|
22 ноя 2017, 17:10 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Если для NAT то адрес на асу вообще не нужно прибивать. Насколько я помню со стороны Хетцнера ARP вообще отключен и все делается статическими привязками, поэтому все должно и так с пол пинка работать, нужно только чтобы адрес был в подсети outside интерфейса.
|
22 ноя 2017, 17:12 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
без пинка не работает( асав стоит на esxi. пока я не присвоил отдельный мак(который я запросил у хетзнера для конкретного ip) адаптеру в настройках гостевой машины - вообще не заводилось. сейчас я вообще не вижу обращений к новому ip из инета
|
22 ноя 2017, 17:21 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Второй адрес в одной подсети с рабочим? Сделайте стстическую arp запись к тому маку с которым ассоциировали новый адрес, настройте NAT и все должно взлететь. Включите дебаг arp и увидите что Hetzner у асы ARP вообще не спрашивает. Включите дебаг пакетов на этот адрес чтобы увидеть приходит ли что-то на этот адрес от Хетцнера.
|
22 ноя 2017, 17:35 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
В общем не получается со статической арп записью. Опишу подробнее, может косяк на уровне esxi. Дедик в хетзнере, мне дается 2 реальных ip (ikvm и на втором стоит esxi) Я докупил еще ip для asav (чтоб не использовать нат на вмваре) Аса не видит сеть, пока я не делаю этому ip адресу виртуальный мак и не про писываю его на интерфейсе в настройках гостевой машины. в самой асав я не прописываю новый мак. Сейчас докупил еще один ip и никак не могу застравить его работать
|
28 ноя 2017, 17:23 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Так а в дебагах то чо видно?
|
28 ноя 2017, 19:39 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Сделал проброс порта на это ip, пакет трейсер говорит что все ок. при обращении из вне - тишина. В логах пусто, дебаг арп пусто. какой еще дебаг сделать?
|
29 ноя 2017, 11:11 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
В смысле проброс порта? На самой асе включите debug arp 255 и debug ip packet 255 (или как оно на асе называется) и попингуйте этот адрес снаружи. Я думаю что ARP не увидите, но увидите как минимум входящие ICMP.
|
29 ноя 2017, 11:40 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Через обжект нат на этот ip проброшен порт в асе есть debug arp и debug icmp trace. основной адрес ххх.240 прингуется. доп адрес ххх.226 нет. и в логах\дебаг тишина. Код: interface GigabitEthernet0/0 nameif outside security-level 0 ip address ххх.240 255.255.255.128
arp outside ххх.226 0050.5600.228d alias arp timeout 14400 arp permit-nonconnected
|
29 ноя 2017, 13:01 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Ну фиг его знает, я у себя ASAv извел, проверить не на чем. Хетцнер со своей стороны делает статические ARP привязки адресов к предоставленному клиентом маку и соответственно никогда ARP не спрашивает, других особенностей у него нет, по крайней мере так было когда у меня там что-то стояло. Если не лениво соорудите стенд и проверьте.
|
29 ноя 2017, 13:13 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Demm писал(а): В общем не получается со статической арп записью. Опишу подробнее, может косяк на уровне esxi. Дедик в хетзнере, мне дается 2 реальных ip (ikvm и на втором стоит esxi) Я докупил еще ip для asav (чтоб не использовать нат на вмваре) Аса не видит сеть, пока я не делаю этому ip адресу виртуальный мак и не про писываю его на интерфейсе в настройках гостевой машины. в самой асав я не прописываю новый мак. Сейчас докупил еще один ip и никак не могу застравить его работать Шо то я Вас совсем не понял. Какая версия ESXi ? ИМХО, из опыта: Вплоть до версии 6.0 нормально на одном managament интерфейсе развести доступ к ESXi и другим машинам было тяжко. Есть костыли, но они не всегда хороши (если высоко на груженые сетевые интерфейсы) Нормально работающим решением было разведение на vlan (самое правильное) при использовании одного сетевого интерфейса. Но самым верным, это разведение на разные физические сетевые интерфейсы (на случай краха оставляем один физ порт который смотрит сразу в ESXi) ИМХО
|
29 ноя 2017, 17:59 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Версия 6.5.0 Физический интерфейс только один. С выделеным мак адресом на ip для асы все разводится нормально. а вот второй ip на асу повесить не получается. Можно чуть подробнее про идею разведения на влан (разговор по виртуальный свитч или про асу)?
|
29 ноя 2017, 18:08 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Хетцнер не даст отдельный vlan под отдельный адрес. У них все автоматизировано и ни на что нестандартное они не пойдут. Если не разберетесь с ASAv то останется только покупать flexnet и в рамках него уже заказывать маршрутизированную сеть.
|
29 ноя 2017, 18:17 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Demm писал(а): Версия 6.5.0 Физический интерфейс только один. С выделеным мак адресом на ip для асы все разводится нормально. а вот второй ip на асу повесить не получается. Можно чуть подробнее про идею разведения на влан (разговор по виртуальный свитч или про асу)? 1. Скажите, Вам не страшно выставлять WEB морду от ESXi на прямую в инет? 2. Вы путаете понятия, у Вас первым работает ESXi а потом уже ASAv 3. Пустите на реальный МАС, ASAv. Для управления ESXi сделайте отдельный vlan на базе ESXi. Пробросьте второй реальный IP на созданный vlan. не забудьте к созданному vlan прикрепить физ интрефейс с сервака. Нужен для управления ESXi в случае краха ASAv. Как то так. ИМХО.
|
29 ноя 2017, 18:49 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
1) ограничени по ip в настройках esxi. И у хетзнера есть еще свой фаервол, доступ к которому через личный кабинет(там тоже блокировка по ip для вебморды esxi и ikvm). 2)это я понимаю 3) пока не очень понятно, завтра попытаюсь
|
29 ноя 2017, 19:39 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
В общем не смог я победить. Насколько я понял у хетзнера идеи жесткая привязка по маку к маку самого сервера. Можно было попробовать склонировать мак сервера на асу, а на сервере поменять на выделеный. Я пошел путем костылей. поставил psSense, сделал на нем нат 1:1 на интерфейс асы. Еще возможный вариант - купить еще одну подсеть у хетзнера за 8 евро. Но жалко стало)
|
06 дек 2017, 14:05 |
|
|