Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 11:25



Ответить на тему  [ Сообщений: 10 ] 
ASA 5505 + NTP через IPSec 
Автор Сообщение

Зарегистрирован: 10 сен 2009, 11:54
Сообщения: 18
Добрый день!
Ситуация такая:
На asa 5505 поднят l2l IPSec туннель.
Пытаюсь настроить NTP клиента так, чтобы получать NTP пакеты через туннель. Но.
- Если ставлю ntp source Inside, пакеты идут в локалку
- Если ставлю ntp source Outside, у пакетов адрес источника - Outside, они в туннель не попадают.
Как бы так сделать, чтобы пакеты выходили с интерфейса Outside с адресом Inside и попадали в туннель?


06 дек 2011, 17:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
На рутерах филиалов я сделал:
ntp server 192.168.0.1
ntp source Vlan1

На Асе нельзя конкретный интерфейс задать?


06 дек 2011, 18:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Так на ASA нет туннельных интерфейсов.


06 дек 2011, 18:14
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
А причем тут тоннельный интерфейс? Я писал про "локальный" интерфейс.


06 дек 2011, 18:19
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Как я понимаю, source, в данном случае, играет роль источника, т.е. с этого IP идет запрос к NTP серверу.
Необходимо завернуть в IPSec туннель, трафик идущий с inside интерфейса к NTP серверу.

Ты это имел ввиду Black-Dragon?


06 дек 2011, 18:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Думаю так:

ntp source Inside
management-access Inside

http://www.cisco.com/en/US/docs/security/asa/asa72/command/reference/m_72.html#wp1794331


06 дек 2011, 19:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
imperorr писал(а):
Ты это имел ввиду Black-Dragon?

Ага. У меня рутеры филиалов лезут к рутеру ЦО за временем. Чтобы трафик нормально шел в тоннель, я и сделал "ntp source Vlan1" (где Vlan1 - интерфейс, смотрящий в локальную сеть филиала).
ASA никогда не щупал, не знаю, как там надо делать.


07 дек 2011, 09:40
Профиль

Зарегистрирован: 10 сен 2009, 11:54
Сообщения: 18
Lomax писал(а):
Думаю так:

ntp source Inside
management-access Inside

http://www.cisco.com/en/US/docs/security/asa/asa72/command/reference/m_72.html#wp1794331


Именно так и было, но вчера ничего не работало: ни пинг внутреннего интерфейса asa, ни ntp c нее.
А сегодня волшебным образом все пошло...

Цитата из ссылки: management-access Inside

This command allows you to connect to an interface other than the one you entered the security appliance from when using IPSec VPN only for the following:

•SNMP polls

•HTTPS requests

•ASDM access

•Telnet access

•SSH access

•Ping

•Syslog polls

•NTP requests

Всем огромное спасибо!


07 дек 2011, 11:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Так пошло волшебным образом или благодаря команде: management-access Inside?


07 дек 2011, 13:08
Профиль

Зарегистрирован: 10 сен 2009, 11:54
Сообщения: 18
Пошло волшебным образом.
management-access Inside у меня прописан давно - я настраивал SSH через IPSec - это работало.
Но ни пинг ни ntp почему-то не работали. А сегодня все завелось.


07 дек 2011, 13:24
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB