Сообщения без ответов | Активные темы Текущее время: 14 авг 2020, 04:42



Ответить на тему  [ Сообщений: 6 ] 
Help!!! ASA und OpenVPN 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 94
Господа, прошу помощи!

Есть OpenVPN, работающий через tap. Стоит он за ASA5540. на асе установлен статический маршрут на OpenVPN-сервер (192.168.30.2) сети клиентов
Клиенты, подключающиеся к сети имеют ip 192.168.31.0/24
В сторону локалки OpenVPN смотрит через 192.168.30.0/24 c DG 192.168.30.1
На АСЕ прописан маршрут route TEL 192.168.31.0 255.255.255.0 192.168.30.2
192.168.30.3 - SIP-сервер

Подключаюсь к нему удаленно. Далее,
1. пинг в 192.168.31.1 - идет
2. пинг в 192.168.30.2 - идет
3. пинг в 192.168.30.1 - идет
4. трафик не идет ни в один из других клиентов сети 192.168.30.0/24 кроме 2 и 3

На асе same-security-traffic разрешен и в intra и inter...

Умом понимаю, что "косячит" АСА, так как то же самое на роутере вместо АСЫ работает! Можете подсказать, как заставить АСУ заработать правильно?


08 июл 2020, 17:17
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1425
MTU, не?


08 июл 2020, 21:03
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2041
Откуда: Волгоград
SlipKnot писал(а):
Господа, прошу помощи!
...
На асе same-security-traffic разрешен и в intra и inter...
...


http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10974


09 июл 2020, 06:49
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 94
_2e_ писал(а):
SlipKnot писал(а):
Господа, прошу помощи!
...
На асе same-security-traffic разрешен и в intra и inter...
...


http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10974


Я прочел, как и писал ранее, у меня разрешен трафик по интерфейсу и даже с одинаковым sec-level:

same-security-traffic permit intra-interface
same-security-traffic permit inter-interface


09 июл 2020, 09:47
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2041
Откуда: Волгоград
SlipKnot писал(а):
_2e_ писал(а):
SlipKnot писал(а):
Господа, прошу помощи!
...
На асе same-security-traffic разрешен и в intra и inter...
...


http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10974


Я прочел, как и писал ранее, у меня разрешен трафик по интерфейсу и даже с одинаковым sec-level:

same-security-traffic permit intra-interface
same-security-traffic permit inter-interface


Там же пишут - этого мало.


09 июл 2020, 13:18
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 94
Там напирают на NAT... ситуация не моя, там второй DHCP был. У меня роутером является сам OpenVPN сервер, кроме того, sip-сервер имеет статику... но не пингуется.
Аналогичное положение с роутером вместо асы дает следующее:

$ ping 10.70.100.246
PING 10.70.100.246 (10.70.100.246): 56 data bytes
36 bytes from 10.1.10.1: Redirect Host(New addr: 10.1.10.70)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 4a1b 0 0000 3f 01 ae48 10.1.10.9 10.70.100.246

64 bytes from 10.70.100.246: icmp_seq=0 ttl=63 time=3.659 ms

То есть аса так же должна произвести redirect. Но не нат! Ибо SIP будет следующий гемор!


09 июл 2020, 13:45
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB