Anticisco
https://anticisco.ru/forum/

ASA 5505 + NTP через IPSec
https://anticisco.ru/forum/viewtopic.php?f=8&t=2653
Страница 1 из 1

Автор:  Urfin [ 06 дек 2011, 17:43 ]
Заголовок сообщения:  ASA 5505 + NTP через IPSec

Добрый день!
Ситуация такая:
На asa 5505 поднят l2l IPSec туннель.
Пытаюсь настроить NTP клиента так, чтобы получать NTP пакеты через туннель. Но.
- Если ставлю ntp source Inside, пакеты идут в локалку
- Если ставлю ntp source Outside, у пакетов адрес источника - Outside, они в туннель не попадают.
Как бы так сделать, чтобы пакеты выходили с интерфейса Outside с адресом Inside и попадали в туннель?

Автор:  Black-Dragon [ 06 дек 2011, 18:00 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

На рутерах филиалов я сделал:
ntp server 192.168.0.1
ntp source Vlan1

На Асе нельзя конкретный интерфейс задать?

Автор:  imperorr [ 06 дек 2011, 18:14 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Так на ASA нет туннельных интерфейсов.

Автор:  Black-Dragon [ 06 дек 2011, 18:19 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

А причем тут тоннельный интерфейс? Я писал про "локальный" интерфейс.

Автор:  imperorr [ 06 дек 2011, 18:43 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Как я понимаю, source, в данном случае, играет роль источника, т.е. с этого IP идет запрос к NTP серверу.
Необходимо завернуть в IPSec туннель, трафик идущий с inside интерфейса к NTP серверу.

Ты это имел ввиду Black-Dragon?

Автор:  Lomax [ 06 дек 2011, 19:50 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Думаю так:

ntp source Inside
management-access Inside

http://www.cisco.com/en/US/docs/security/asa/asa72/command/reference/m_72.html#wp1794331

Автор:  Black-Dragon [ 07 дек 2011, 09:40 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

imperorr писал(а):
Ты это имел ввиду Black-Dragon?

Ага. У меня рутеры филиалов лезут к рутеру ЦО за временем. Чтобы трафик нормально шел в тоннель, я и сделал "ntp source Vlan1" (где Vlan1 - интерфейс, смотрящий в локальную сеть филиала).
ASA никогда не щупал, не знаю, как там надо делать.

Автор:  Urfin [ 07 дек 2011, 11:13 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Lomax писал(а):
Думаю так:

ntp source Inside
management-access Inside

http://www.cisco.com/en/US/docs/security/asa/asa72/command/reference/m_72.html#wp1794331


Именно так и было, но вчера ничего не работало: ни пинг внутреннего интерфейса asa, ни ntp c нее.
А сегодня волшебным образом все пошло...

Цитата из ссылки: management-access Inside

This command allows you to connect to an interface other than the one you entered the security appliance from when using IPSec VPN only for the following:

•SNMP polls

•HTTPS requests

•ASDM access

•Telnet access

•SSH access

•Ping

•Syslog polls

•NTP requests

Всем огромное спасибо!

Автор:  imperorr [ 07 дек 2011, 13:08 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Так пошло волшебным образом или благодаря команде: management-access Inside?

Автор:  Urfin [ 07 дек 2011, 13:24 ]
Заголовок сообщения:  Re: ASA 5505 + NTP через IPSec

Пошло волшебным образом.
management-access Inside у меня прописан давно - я настраивал SSH через IPSec - это работало.
Но ни пинг ни ntp почему-то не работали. А сегодня все завелось.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/