Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:40



Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.
Как зайти на маршрутизатор? 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Пусть вы - администратор приведенной сети (см. картинку). Вы имеете полный административный доступ к железкам (АСА и маршрутизатору), однако вот незадача: во время вашего отпуска срочно потребовалось перенастроить маршрутизатор. И всё было бы хорошо, но у маршрутизатора нет полного доступа в интернет: прописан лишь хостовой маршрут до АСА (конец туннеля) и маршрут в частную сеть за АСой. На АСУ вы удаленно зайти и поуправлять можете, но и за ней пока в её сети компьютеров нет.

Задача: сидя в интернете получить удаленный доступ к маршрутизатору. На маршрутизаторе ограничений по подключающимся (access-group, access-class) нет.

ЗЫ А если не получится удаленно настроить,то считайте, что половина отпуска насмарку... Пляж, красотками полный, вечерние променады под стрекот цикад с пленительной собеседницей - все, все придётся положить на гильотину работы :)


Вложения:
Ro_ASA_PC_Inet.jpeg
Ro_ASA_PC_Inet.jpeg [ 11.53 КБ | Просмотров: 57153 ]
30 ноя 2009, 16:18
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
:)))


30 ноя 2009, 16:26
Профиль WWW

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Хм.. надо бы проверить на железе, но мысль такая:

static (outside,outside) tcp interface 5555 <ip_of_7206> 22

ну и ацл поправить...


30 ноя 2009, 18:47
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
[quote="Ilya"]Хм.. надо бы проверить на железе, но мысль такая:

static (outside,outside) tcp interface 5555 <ip_of_7206> 22

ну и ацл поправить...[/quote]

мда. кое-что забыл
nat (outside) 5 access-list test

access-list test extended permit tcp host <ip_of_pc> any eq 5555

global (outside) 5 interface


30 ноя 2009, 18:54
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
[quote="Ilya"][quote="Ilya"]Хм.. надо бы проверить на железе, но мысль такая:

static (outside,outside) tcp interface 5555 <ip_of_7206> 22

ну и ацл поправить...[/quote]

мда. кое-что забыл
nat (outside) 5 access-list test

access-list test extended permit tcp host <ip_of_pc> any eq 5555

global (outside) 5 interface[/quote]
даж проверил и работает :)


30 ноя 2009, 18:55
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну вот, не прошло и часа :) Жаль, быстро раскусал! Одну команду только забыл :)

А теперь внимание: есть ещё один способ! Я его юзал ещё когда не знал про НАТ на одном интерфейсе.


30 ноя 2009, 19:17
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
[quote="Fedia"]Ну вот, не прошло и часа :) Жаль, быстро раскусал! Одну команду только забыл :)

А теперь внимание: есть ещё один способ! Я его юзал ещё когда не знал про НАТ на одном интерфейсе.[/quote]
хм. вроде у меня и так работает, без каких-либо команд. или ты про ацл? я просто так еще на роутерах делал, подумал, почему б асашке так же не работать :)


30 ноя 2009, 19:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
same-security-traffic


30 ноя 2009, 19:23
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
вай. да. у мну включен, каюсь :)


30 ноя 2009, 19:23
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
может поднять на 5505 впн-сервак и выдавать адреса из подсети за асашкой?


30 ноя 2009, 19:26
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Предоставь решение :)

ЗЫ Кстати, там ( в моем втором решении) НАТ не используется :)


30 ноя 2009, 19:28
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
[quote="Fedia"]Предоставь решение :)

ЗЫ Кстати, там ( в моем втором решении) НАТ не используется :)[/quote]

доберусь до УЦ - предоставлю. счас у меня продакшн сетка только под руками, страшно :)


30 ноя 2009, 19:38
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
[quote="Fedia"]Предоставь решение :)

ЗЫ Кстати, там ( в моем втором решении) НАТ не используется :)[/quote]
Хотя я и не Илья но все же :Р
[code]
ASA-HQ# show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ASA-HQ
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
description ### TO R1 ISP ###
nameif TO_INET
security-level 0
ip address 10.0.0.6 255.255.255.252
!
interface Ethernet0/1
description ### TO HQ LAN ###
nameif TO_HQLAN
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
banner login ### HQ ASA ###
ftp mode passive
same-security-traffic permit intra-interface
object-group network HQLAN
network-object 192.168.0.0 255.255.255.0
object-group network BR1LAN
network-object 192.168.1.0 255.255.255.0
access-list HQ_TO_BR1 extended permit ip object-group HQLAN object-group BR1LAN
access-list FROM_INET extended permit ip object-group BR1LAN object-group HQLAN
access-list RAVPN_ACL extended permit ip object-group HQLAN any
access-list RAVPN_ACL extended permit ip object-group BR1LAN any
pager lines 24
mtu TO_INET 1500
mtu TO_HQLAN 1500
ip local pool RAVPN_POOL 192.168.0.10-192.168.0.20 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group FROM_INET in interface TO_INET
route TO_INET 0.0.0.0 0.0.0.0 10.0.0.5 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP_AES_SHA esp-aes esp-sha-hmac
crypto dynamic-map E00_DMAP 10 set transform-set ESP_AES_SHA
crypto map E00_CMAP 10 match address HQ_TO_BR1
crypto map E00_CMAP 10 set pfs group5
crypto map E00_CMAP 10 set peer 10.0.0.2
crypto map E00_CMAP 10 set transform-set ESP_AES_SHA
crypto map E00_CMAP 20 ipsec-isakmp dynamic E00_DMAP
crypto map E00_CMAP interface TO_INET
crypto isakmp identity address
crypto isakmp enable TO_INET
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
group-policy ENGINEER internal
group-policy ENGINEER attributes
banner value ### ASA IPSEC RAVPN ###
password-storage enable
pfs enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value RAVPN_ACL
address-pools value RAVPN_POOL
username nikita password AdH/IwJE393IOvmQ encrypted
tunnel-group DefaultL2LGroup ipsec-attributes
isakmp keepalive threshold 10 retry 3
tunnel-group DefaultRAGroup ipsec-attributes
isakmp keepalive threshold 10 retry 3
tunnel-group DefaultWEBVPNGroup ipsec-attributes
isakmp keepalive threshold 10 retry 3
tunnel-group 10.0.0.2 type ipsec-l2l
tunnel-group 10.0.0.2 ipsec-attributes
pre-shared-key *
isakmp keepalive threshold 10 retry 3
tunnel-group RAVPN type remote-access
tunnel-group RAVPN general-attributes
default-group-policy ENGINEER
tunnel-group RAVPN ipsec-attributes
pre-shared-key *
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
ASA-HQ#

[/code]

с клиента идем на внутренний интерфейс 72ой.


01 дек 2009, 12:53
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
чет с тагами косяк :Р


01 дек 2009, 12:53
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Понятно. Работать будет, верно...

Усложним: мы сидим не просто в инете, а в инет-кафе, где нет ВПН-клиента :)) И настраивать ничего не дадут :)


01 дек 2009, 13:14
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
webvpn/anyconnect ?


01 дек 2009, 13:18
Профиль WWW

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
Hando опередил :)) Серег, давай исчо, мозг требует :)


01 дек 2009, 13:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ты конфиг давай :) А то слов накидали :)

ЗЫ anyconnect в инет-кафе фиг установишь.


01 дек 2009, 14:26
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
diff конфига ( от того, что вверху )
username nikita attributes
vpn-group-policy WEBVPN

group-policy WEBVPN internal
group-policy WEBVPN attributes
webvpn
port-forward enable TELNET

webvpn
enable TO_INET
port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ###
tunnel-group-list enable

http server enable
http redirect TO_INET 80


на компе, на котором браузер говорим
telnet localhost 10000


01 дек 2009, 18:41
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
[quote="Hando"]diff конфига ( от того, что вверху )
username nikita attributes
vpn-group-policy WEBVPN

group-policy WEBVPN internal
group-policy WEBVPN attributes
webvpn
port-forward enable TELNET

webvpn
enable TO_INET
port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ###
tunnel-group-list enable

http server enable
http redirect TO_INET 80


на компе, на котором браузер говорим
telnet localhost 10000[/quote]
хотя не, тут вроде админские права для java клиента нужны. Знач смарт туннелс


01 дек 2009, 20:29
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
[quote="Hando"]
[quote="Hando"]diff конфига ( от того, что вверху )
username nikita attributes
vpn-group-policy WEBVPN

group-policy WEBVPN internal
group-policy WEBVPN attributes
webvpn
port-forward enable TELNET

webvpn
enable TO_INET
port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ###
tunnel-group-list enable

http server enable
http redirect TO_INET 80


на компе, на котором браузер говорим
telnet localhost 10000[/quote]
хотя не, тут вроде админские права для java клиента нужны. Знач смарт туннелс
[/quote]
Бегло глянул на смарт туннелс - что-то я сомневаюсь что через них телнет или ссх можно пустить. А все остальные способы ( anyconnect or port forwarding ) requires admin's privileges - так что инет кофешка отпадает :)


01 дек 2009, 20:41
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Нет, ты прав: для явы админских прав не нужно.

Поэтому ява-клиент. Причём для версии 8 и выше даже порт-форвард писать не надо :)
А объянишь, почему?


01 дек 2009, 21:49
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
[quote="Fedia"]Нет, ты прав: для явы админских прав не нужно.

Поэтому ява-клиент. Причём для версии 8 и выше даже порт-форвард писать не надо :)
А объянишь, почему?[/quote]

http://www.cisco.com/en/US/docs/securit ... #wp1291474
строка перед caution.
я не исключаю что тут у них косяк может быть ( то же описание ezvpn в этом гайде наверно не обновлялось с 7.2 - в нем куча деприкатед команд упомянуто )

я к сожалению с webvpn пока что мало работал-играл ( будем исправлять :Р ). И боюсь не помню случая, чтоб я его пробовал не из под админа запускать.


01 дек 2009, 22:01
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
"Причём для версии 8 и выше даже порт-форвард писать не надо :)
А объянишь, почему?"

эту часть я тоже не понял :/ там раньше надо было что то еще писать в конфиге ?


01 дек 2009, 22:08
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
нашел
"
Plugin applets


Version 8.0(2) adds a framework for supporting TCP-based applications without requiring a pre-installed client application. Java applets let users access these applications from the browser-enabled SSL VPN portal. Initial support is for TELNET, SSH, RDP, and VNC"

завтра буду тестить :Р


01 дек 2009, 22:13
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 29 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB