Автор |
Сообщение |
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Добрый день уверен, что такой вопрос поднимался и решение должно лежать на поверхности но что то туплю Может кто ткнет в ссылку или просто подскажет Ситуация следующая Имеем такую конфигурацию сетки В облаке есть сервер zabbix и все железки которые находятся в офисной сети нормально сливают свой мониторинг, кроме АСЫ по средством которой и поднят l2l туннель до облака Как мне получить из облака доступ до самой ASA?
|
21 мар 2016, 11:55 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Достучать до самого МЭ через ipsec/ssl несложно: используйте команду management-accessТ.е. чтобы слить сислог через туннель, надо сделать примерно так: Код: logging host inside x.x.x.x <= Where x.x.x.x is your syslog server IP across VPN management-access inside
|
21 мар 2016, 12:03 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
f@ntasist0 писал(а): Достучать до самого МЭ через ipsec/ssl несложно: используйте команду management-accessТ.е. чтобы слить сислог через туннель, надо сделать примерно так: Код: logging host inside x.x.x.x <= Where x.x.x.x is your syslog server IP across VPN management-access inside Всё точно вот про это я все время забываю Только все одно не работает Код: ASA#sh run | i snmp snmp-server host inside 172.16.200.84 community ***** version 2c
ASA# sh run | i man management-access inside
ASA# sh run | b interface Vlan1 interface Vlan1 nameif inside security-level 100 ip address 192.168.1.251 255.255.255.0 !
С сервера делаю Код: zabbix:~# ifconfig -a .... eth1 Link encap:Ethernet HWaddr 02:00:0c:1c:00:0a inet addr:172.16.200.84 Bcast:172.16.200.255 Mask:255.255.255.0 inet6 addr: fe80::cff:fe1c:a/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:341791 errors:0 dropped:0 overruns:0 frame:0 TX packets:320829 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:96749294 (96.7 MB) TX bytes:28674564 (28.6 MB) zabbix:~# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default r-771-VM.progno 0.0.0.0 UG 0 0 0 eth0 172.16.200.0 * 255.255.255.0 U 0 0 0 eth1 172.16.201.0 * 255.255.255.0 U 0 0 0 eth0 192.168.1.0 172.16.200.1 255.255.255.0 UG 0 0 0 eth1
zabbix:~# snmpwalk -v2c -c public 192.168.1.251 Timeout: No Response from 192.168.1.251
Как то так
|
21 мар 2016, 12:11 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Покажи ACL, который матчит трафик для туннеля
|
21 мар 2016, 12:43 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Код: access-list IPSEC-2-THECLOUD; 1 elements; name hash: 0xf8a089ae access-list IPSEC-2-THECLOUD line 1 extended permit ip 192.168.1.0 255.255.255.0 172.16.200.0 255.255.255.0 (hitcnt=622) 0x0a585ac6 Любая железка за асой отвечает нормально Код: zabbix:~# snmpwalk -v 2c -c public 192.168.1.254 SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2013 by Cisco Systems, Inc. Compiled Fri 25-Oct-13 13:18 by prod_rel_team SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.797 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (193606959) 22 days, 9:47:49.59
|
21 мар 2016, 12:46 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
[quote="CrAlex"][/quote] ix:~# snmpwalk -v2c -c public 192.168.1.251 Community точно такой на ASA? Так-то конфиг рабочий..
|
21 мар 2016, 12:51 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Вообще должно хватать. А по ASDM через туннель сможешь провалиться? (не забудь только разрешить доступ, естессно). Что меня смущает: Код: ASA#sh run | i snmp snmp-server host inside 172.16.200.84 community ***** version 2c Ты точно звездочками замазал comunity "public"? Цитата: zabbix:~# snmpwalk -v2c -c public 192.168.1.251
Последний раз редактировалось real1st 21 мар 2016, 12:55, всего редактировалось 1 раз.
|
21 мар 2016, 12:53 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
amir писал(а): ix:~# snmpwalk -v2c -c public 192.168.1.251 Community точно такой на ASA? Так-то конфиг рабочий.. Точно такой я уже попроверял
|
21 мар 2016, 12:55 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
CrAlex писал(а): Точно такой я уже попроверял на стороне Cloud в ACL протокол так же IP, не TCP случайно?
|
21 мар 2016, 12:58 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Если бы не было совпадения я думаю девайсы за асой не отвечали бы
|
21 мар 2016, 13:02 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
f@ntasist0 писал(а): Вообще должно хватать. А по ASDM через туннель сможешь провалиться? (не забудь только разрешить доступ, естессно). Что меня смущает: Код: ASA#sh run | i snmp snmp-server host inside 172.16.200.84 community ***** version 2c Ты точно звездочками замазал comunity "public"? Цитата: zabbix:~# snmpwalk -v2c -c public 192.168.1.251 Звездочками это не я это аса замазывает там точно публик я уже несколько раз перепроверил по асдм.... могу попробовать только телнетом на 443 порт потому как у меня там только кли..
|
21 мар 2016, 13:04 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
Был случай: на одной стороне написали IP, на другой - TCP. IPSEC поднялся, UDP не бегал.
И еще: в правиле unnat все чисто?
community легко проверить:
more system:running config | i snmp
|
21 мар 2016, 13:07 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
хосты из ipsec-тунелей нужно указывать по направлениям куда строится ipsec. Т.е. у вас в данном случае outside а не inside.
|
21 мар 2016, 13:08 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Я про snmp-server host outside
|
21 мар 2016, 13:09 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
tonve писал(а): хосты из ipsec-тунелей нужно указывать по направлениям куда строится ipsec. Т.е. у вас в данном случае outside а не inside. Не-а. Отвечать будет на запросы от хоста 172.16.200.84 только на интерфейсе inside, что и требуется.
|
21 мар 2016, 13:12 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
tonve писал(а): Я про snmp-server host outside И так тоже пробовал результат был анологичный
|
21 мар 2016, 13:16 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Дело не в том на каком интерфейсе будет отвечать, а на какой интерфейс приходят запросы от указанного айпишника.
|
21 мар 2016, 13:17 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
В данном случае - на inside
|
21 мар 2016, 13:29 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Да, Акела промахнулся RTFM http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/monitor_snmp.htmlSpecifies the recipient of an SNMP notification. Indicates the interface from which traps are sent. Identifies the name and IP address of the NMS or SNMP manager that can connect to the ASA. The trap keyword limits the NMS to receiving traps only. The poll keyword limits the NMS to sending requests (polling) only. By default, SNMP traps are enabled.Т.е. snmp-server host outside 172.16.200.84 poll community public version 2c
Последний раз редактировалось tonve 21 мар 2016, 13:40, всего редактировалось 1 раз.
|
21 мар 2016, 13:39 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
На ASA на outside interface терминируйте SNMP. http://www.cisco.com/c/en/us/support/do ... html#anc15Если, конечно, у Вас сеть так построена, как я думаю...
|
21 мар 2016, 13:39 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Сеть нарисована в первом посте Если честно я не много не понял по этой ссылке Для чего рисуется такой лист access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 161 access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 161 access-list 101 permit tcp host 10.20.20.1 host 172.22.1.5 eq 162 access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 162 access-list 101 permit udp host 10.20.20.1 host 172.22.1.5 eq 514 если 101 ацл это для ипсека....
|
21 мар 2016, 14:00 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
|
21 мар 2016, 14:41 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
snmp через outside делать не надо, пакеты на outside интерфейс не попадают. CrAlexпо ssh можешь провалиться через туннель? Надо понять где проблема. Ибо конфиг в целом рабочий https://supportforums.cisco.com/documen ... ite-tunnel
|
21 мар 2016, 14:41 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Я сделал Код: ssh 172.16.200.0 255.255.255.0 inside management-access inside С сервера пробую Код: zabbix:~# ssh 192.168.1.251 ssh: connect to host 192.168.1.251 port 22: Connection timed out
|
21 мар 2016, 15:30 |
|
|
CrAlex
Зарегистрирован: 27 мар 2012, 21:37 Сообщения: 353
|
Короче делаю все по образу и подобию https://supportforums.cisco.com/documen ... ite-tunnelИ не получаю доступа, хотя по всем докам должен бы
|
21 мар 2016, 16:28 |
|
|