Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Пусть вы - администратор приведенной сети (см. картинку). Вы имеете полный административный доступ к железкам (АСА и маршрутизатору), однако вот незадача: во время вашего отпуска срочно потребовалось перенастроить маршрутизатор. И всё было бы хорошо, но у маршрутизатора нет полного доступа в интернет: прописан лишь хостовой маршрут до АСА (конец туннеля) и маршрут в частную сеть за АСой. На АСУ вы удаленно зайти и поуправлять можете, но и за ней пока в её сети компьютеров нет. Задача: сидя в интернете получить удаленный доступ к маршрутизатору. На маршрутизаторе ограничений по подключающимся (access-group, access-class) нет. ЗЫ А если не получится удаленно настроить,то считайте, что половина отпуска насмарку... Пляж, красотками полный, вечерние променады под стрекот цикад с пленительной собеседницей - все, все придётся положить на гильотину работы
Вложения:
Ro_ASA_PC_Inet.jpeg [ 11.53 КБ | Просмотров: 57245 ]
|
30 ноя 2009, 16:18 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
:)))
|
30 ноя 2009, 16:26 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
Хм.. надо бы проверить на железе, но мысль такая:
static (outside,outside) tcp interface 5555 <ip_of_7206> 22
ну и ацл поправить...
|
30 ноя 2009, 18:47 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
[quote="Ilya"]Хм.. надо бы проверить на железе, но мысль такая:
static (outside,outside) tcp interface 5555 <ip_of_7206> 22
ну и ацл поправить...[/quote]
мда. кое-что забыл nat (outside) 5 access-list test
access-list test extended permit tcp host <ip_of_pc> any eq 5555
global (outside) 5 interface
|
30 ноя 2009, 18:54 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
[quote="Ilya"][quote="Ilya"]Хм.. надо бы проверить на железе, но мысль такая:
static (outside,outside) tcp interface 5555 <ip_of_7206> 22
ну и ацл поправить...[/quote]
мда. кое-что забыл nat (outside) 5 access-list test
access-list test extended permit tcp host <ip_of_pc> any eq 5555
global (outside) 5 interface[/quote] даж проверил и работает :)
|
30 ноя 2009, 18:55 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну вот, не прошло и часа Жаль, быстро раскусал! Одну команду только забыл А теперь внимание: есть ещё один способ! Я его юзал ещё когда не знал про НАТ на одном интерфейсе.
|
30 ноя 2009, 19:17 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
[quote="Fedia"]Ну вот, не прошло и часа :) Жаль, быстро раскусал! Одну команду только забыл :)
А теперь внимание: есть ещё один способ! Я его юзал ещё когда не знал про НАТ на одном интерфейсе.[/quote] хм. вроде у меня и так работает, без каких-либо команд. или ты про ацл? я просто так еще на роутерах делал, подумал, почему б асашке так же не работать :)
|
30 ноя 2009, 19:20 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
same-security-traffic
|
30 ноя 2009, 19:23 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
вай. да. у мну включен, каюсь :)
|
30 ноя 2009, 19:23 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
может поднять на 5505 впн-сервак и выдавать адреса из подсети за асашкой?
|
30 ноя 2009, 19:26 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Предоставь решение ЗЫ Кстати, там ( в моем втором решении) НАТ не используется
|
30 ноя 2009, 19:28 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
[quote="Fedia"]Предоставь решение :)
ЗЫ Кстати, там ( в моем втором решении) НАТ не используется :)[/quote]
доберусь до УЦ - предоставлю. счас у меня продакшн сетка только под руками, страшно :)
|
30 ноя 2009, 19:38 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
[quote="Fedia"]Предоставь решение :)
ЗЫ Кстати, там ( в моем втором решении) НАТ не используется :)[/quote] Хотя я и не Илья но все же :Р [code] ASA-HQ# show running-config : Saved : ASA Version 8.0(2) ! hostname ASA-HQ enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 description ### TO R1 ISP ### nameif TO_INET security-level 0 ip address 10.0.0.6 255.255.255.252 ! interface Ethernet0/1 description ### TO HQ LAN ### nameif TO_HQLAN security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted banner login ### HQ ASA ### ftp mode passive same-security-traffic permit intra-interface object-group network HQLAN network-object 192.168.0.0 255.255.255.0 object-group network BR1LAN network-object 192.168.1.0 255.255.255.0 access-list HQ_TO_BR1 extended permit ip object-group HQLAN object-group BR1LAN access-list FROM_INET extended permit ip object-group BR1LAN object-group HQLAN access-list RAVPN_ACL extended permit ip object-group HQLAN any access-list RAVPN_ACL extended permit ip object-group BR1LAN any pager lines 24 mtu TO_INET 1500 mtu TO_HQLAN 1500 ip local pool RAVPN_POOL 192.168.0.10-192.168.0.20 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group FROM_INET in interface TO_INET route TO_INET 0.0.0.0 0.0.0.0 10.0.0.5 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP_AES_SHA esp-aes esp-sha-hmac crypto dynamic-map E00_DMAP 10 set transform-set ESP_AES_SHA crypto map E00_CMAP 10 match address HQ_TO_BR1 crypto map E00_CMAP 10 set pfs group5 crypto map E00_CMAP 10 set peer 10.0.0.2 crypto map E00_CMAP 10 set transform-set ESP_AES_SHA crypto map E00_CMAP 20 ipsec-isakmp dynamic E00_DMAP crypto map E00_CMAP interface TO_INET crypto isakmp identity address crypto isakmp enable TO_INET crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 5 lifetime 86400 crypto isakmp policy 20 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! ! group-policy ENGINEER internal group-policy ENGINEER attributes banner value ### ASA IPSEC RAVPN ### password-storage enable pfs enable split-tunnel-policy tunnelspecified split-tunnel-network-list value RAVPN_ACL address-pools value RAVPN_POOL username nikita password AdH/IwJE393IOvmQ encrypted tunnel-group DefaultL2LGroup ipsec-attributes isakmp keepalive threshold 10 retry 3 tunnel-group DefaultRAGroup ipsec-attributes isakmp keepalive threshold 10 retry 3 tunnel-group DefaultWEBVPNGroup ipsec-attributes isakmp keepalive threshold 10 retry 3 tunnel-group 10.0.0.2 type ipsec-l2l tunnel-group 10.0.0.2 ipsec-attributes pre-shared-key * isakmp keepalive threshold 10 retry 3 tunnel-group RAVPN type remote-access tunnel-group RAVPN general-attributes default-group-policy ENGINEER tunnel-group RAVPN ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:00000000000000000000000000000000 : end ASA-HQ#
[/code]
с клиента идем на внутренний интерфейс 72ой.
|
01 дек 2009, 12:53 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
чет с тагами косяк :Р
|
01 дек 2009, 12:53 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Понятно. Работать будет, верно... Усложним: мы сидим не просто в инете, а в инет-кафе, где нет ВПН-клиента ) И настраивать ничего не дадут
|
01 дек 2009, 13:14 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
webvpn/anyconnect ?
|
01 дек 2009, 13:18 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
Hando опередил :)) Серег, давай исчо, мозг требует :)
|
01 дек 2009, 13:20 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ты конфиг давай А то слов накидали ЗЫ anyconnect в инет-кафе фиг установишь.
|
01 дек 2009, 14:26 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
diff конфига ( от того, что вверху ) username nikita attributes vpn-group-policy WEBVPN
group-policy WEBVPN internal group-policy WEBVPN attributes webvpn port-forward enable TELNET
webvpn enable TO_INET port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ### tunnel-group-list enable
http server enable http redirect TO_INET 80
на компе, на котором браузер говорим telnet localhost 10000
|
01 дек 2009, 18:41 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
[quote="Hando"]diff конфига ( от того, что вверху ) username nikita attributes vpn-group-policy WEBVPN
group-policy WEBVPN internal group-policy WEBVPN attributes webvpn port-forward enable TELNET
webvpn enable TO_INET port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ### tunnel-group-list enable
http server enable http redirect TO_INET 80
на компе, на котором браузер говорим telnet localhost 10000[/quote] хотя не, тут вроде админские права для java клиента нужны. Знач смарт туннелс
|
01 дек 2009, 20:29 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
[quote="Hando"] [quote="Hando"]diff конфига ( от того, что вверху ) username nikita attributes vpn-group-policy WEBVPN
group-policy WEBVPN internal group-policy WEBVPN attributes webvpn port-forward enable TELNET
webvpn enable TO_INET port-forward TELNET 10000 10.0.0.2 telnet ### TELNET TO REMOTE 72 ### tunnel-group-list enable
http server enable http redirect TO_INET 80
на компе, на котором браузер говорим telnet localhost 10000[/quote] хотя не, тут вроде админские права для java клиента нужны. Знач смарт туннелс [/quote] Бегло глянул на смарт туннелс - что-то я сомневаюсь что через них телнет или ссх можно пустить. А все остальные способы ( anyconnect or port forwarding ) requires admin's privileges - так что инет кофешка отпадает :)
|
01 дек 2009, 20:41 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Нет, ты прав: для явы админских прав не нужно. Поэтому ява-клиент. Причём для версии 8 и выше даже порт-форвард писать не надо А объянишь, почему?
|
01 дек 2009, 21:49 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
[quote="Fedia"]Нет, ты прав: для явы админских прав не нужно. Поэтому ява-клиент. Причём для версии 8 и выше даже порт-форвард писать не надо :) А объянишь, почему?[/quote] http://www.cisco.com/en/US/docs/securit ... #wp1291474строка перед caution. я не исключаю что тут у них косяк может быть ( то же описание ezvpn в этом гайде наверно не обновлялось с 7.2 - в нем куча деприкатед команд упомянуто ) я к сожалению с webvpn пока что мало работал-играл ( будем исправлять :Р ). И боюсь не помню случая, чтоб я его пробовал не из под админа запускать.
|
01 дек 2009, 22:01 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
"Причём для версии 8 и выше даже порт-форвард писать не надо :) А объянишь, почему?"
эту часть я тоже не понял :/ там раньше надо было что то еще писать в конфиге ?
|
01 дек 2009, 22:08 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
нашел " Plugin applets
Version 8.0(2) adds a framework for supporting TCP-based applications without requiring a pre-installed client application. Java applets let users access these applications from the browser-enabled SSL VPN portal. Initial support is for TELNET, SSH, RDP, and VNC"
завтра буду тестить :Р
|
01 дек 2009, 22:13 |
|
|