|
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
Автор |
Сообщение |
SlipKnot
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 99
|
Господа, прошу помощи!
Есть OpenVPN, работающий через tap. Стоит он за ASA5540. на асе установлен статический маршрут на OpenVPN-сервер (192.168.30.2) сети клиентов Клиенты, подключающиеся к сети имеют ip 192.168.31.0/24 В сторону локалки OpenVPN смотрит через 192.168.30.0/24 c DG 192.168.30.1 На АСЕ прописан маршрут route TEL 192.168.31.0 255.255.255.0 192.168.30.2 192.168.30.3 - SIP-сервер
Подключаюсь к нему удаленно. Далее, 1. пинг в 192.168.31.1 - идет 2. пинг в 192.168.30.2 - идет 3. пинг в 192.168.30.1 - идет 4. трафик не идет ни в один из других клиентов сети 192.168.30.0/24 кроме 2 и 3
На асе same-security-traffic разрешен и в intra и inter...
Умом понимаю, что "косячит" АСА, так как то же самое на роутере вместо АСЫ работает! Можете подсказать, как заставить АСУ заработать правильно?
|
08 июл 2020, 17:17 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
MTU, не?
|
08 июл 2020, 21:03 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
SlipKnot писал(а): Господа, прошу помощи! ... На асе same-security-traffic разрешен и в intra и inter... ...
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10974
|
09 июл 2020, 06:49 |
|
|
SlipKnot
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 99
|
Я прочел, как и писал ранее, у меня разрешен трафик по интерфейсу и даже с одинаковым sec-level: same-security-traffic permit intra-interface same-security-traffic permit inter-interface
|
09 июл 2020, 09:47 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
SlipKnot писал(а): Я прочел, как и писал ранее, у меня разрешен трафик по интерфейсу и даже с одинаковым sec-level: same-security-traffic permit intra-interface same-security-traffic permit inter-interface Там же пишут - этого мало.
|
09 июл 2020, 13:18 |
|
|
SlipKnot
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 99
|
Там напирают на NAT... ситуация не моя, там второй DHCP был. У меня роутером является сам OpenVPN сервер, кроме того, sip-сервер имеет статику... но не пингуется. Аналогичное положение с роутером вместо асы дает следующее:
$ ping 10.70.100.246 PING 10.70.100.246 (10.70.100.246): 56 data bytes 36 bytes from 10.1.10.1: Redirect Host(New addr: 10.1.10.70) Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 4a1b 0 0000 3f 01 ae48 10.1.10.9 10.70.100.246
64 bytes from 10.70.100.246: icmp_seq=0 ttl=63 time=3.659 ms
То есть аса так же должна произвести redirect. Но не нат! Ибо SIP будет следующий гемор!
|
09 июл 2020, 13:45 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 6 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|