fizik051

Я подумываю о линке между МК и ASA, без свичей. В случае падения инета на ASA, инет будет браться с МК, но трафик ЛВС по прежнему будет идти через ASA. А вот если ASA вообще вырубить, тогда трафик ЛВС должен пойти через МК. Вот тут я и не знаю как лучше сделать... Думаю на счет VRRP, чтобы у клиентов изначально в качестве шлюза был виртальный ip

Добрый день, коллеги! Во вложении упрощенная схема сети. Есть L2 свич, куда подключаются пользователи, есть ASA, обеспечивающая выход в инет (ISP1). Для отказоустойчивости завели еще одного провайдера (ISP2). Хочется еще реализовать отказоустойчивость на уровне железа, но покупать еще одну ASA - дорого. Думаю про микротик. Но есть вопрос, как организовать между ними подобие failover-а? Сначала смотрел в сторону VRRP, есть даже примеры такой настройки. Но этот подошло бы, если бы мы использовали одного провайдера, а с двумя не выходит (т.к. vrrp будет мониторить только один линк во внутренюю сеть). Свич L2, так что там особо не понастраиваешь маршрутизацию. Может есть у кого-то идеи как это сростить? P.S. Знаю, что решение костыльное, но пока рассматриваю экономичные варианты.

Может и портит, но дропается он на ASA. Может можно как-то ее поднастроить, чтобы этого не происходило? Просто смущает тот факт, что пакет дропается из-за инспектирования трафика, но инспектирование выключено!

как это проверить? я просто не слышал о такой инспекции.

Да нет такого access-list-а ) это же дефолтный, под него весь трафик попадает. Включение/выключение инспекции - первое что попробовал, ситуация не меняется. В инете удалось найти только одну статью по поводу ошибки proxy inspector drop reset, там советуют отключить инспектирование http.

Здесь 217.66.156.* IP клиента МТС. Он стучится на внешний адрес (на ASA выделен IP), срабатывает Static NAT и переадресует на сервак в DMZ - 172.16.0.62 https://drive.google.com/file/d/0B-5kZl7ixcSKQl8zNVowaWFlUnc/view?usp=sharing - Дамп

Абоненты сети MTS не могут достучаться до WEB сервака. class-map Class-SIP match precedence 1 class-map global-class match default-inspection-traffic class-map icmp-class match default-inspection-traffic class-map dmz-class match precedence 1 class-map Class-VOICE match access-list VoIP-Traffic-OUT class-map class_bypass match precedence 1 class-map Voice-IN match access-list VoIP-Traffic-IN ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global-policy class global-class inspect icmp inspect ftp inspect h323 h225 inspect dns inspect rtsp policy-map icmp_policy class icmp-class inspect icmp policy-map type inspect http Default parameters protocol-violation action drop-connection policy-map policy_bypass description SIP class class_bypass set connection advanced-options tcp-state-bypass inspect h323 h225 class Class-SIP inspect sip policy-map dmz-policy class dmz-class inspect sip priority policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum client auto message-length maximum 512 policy-map VoicePolicy class Class-VOICE priority class Voice-IN priority ! service-policy global-policy global service-policy policy_bypass interface Inside service-policy policy_bypass interface Outside

Здравствуйте, коллеги! Есть межсетевой экран Cisco ASA. Стоит на границе сети. На нем организована DMZ в которой находится WEB-сервер. Доступ к серверу из Интернета организуется с помощью Static NAT. Все прекрасно работало. Потом почему-то из сети МТС стали дропаться пакеты. Причем только из сети МТС! Пользователи других операторов не испытывают проблем с доступом. В логах ошибки следующего характера: 4 Aug 22 2016 15:27:35 217.X.X.0 24352 172.16.X.X 80 tcp flow from Outside2:217.X.X.X/24352 to dmz:172.16.X.X/80 terminated by inspection engine, reason - proxy inspector drop reset. При этом инспекция http трафика выключена. В чем может быть проблема и куда копать? Заранее спасибо! P.S. Задавал вопрос на форуме Cisco, но там за целую неделю так никто и не ответил.

Разобрался. Еще раз всем спасибо. Первый раз столкнулся с реальными атаками, до этого мне всегда казалось это абстрактной темой, где-то далеко.

Все равно немного не понимаю механизм этой атаки. У меня же в полку бьется исходящий трафик, а не входящий. А в данном случае получается мы закрыли входящий DNS трафик. При этом роутер перестал генерировать бесполезный трафик. Я так понимаю он учавствовал в DDos атаке. Буду признателен если поясните как это работает.

Всем спасибо. Помогли.

Покажи каким правилом закрыл ? Скрины говорят порт открыт !Проверять так, вместо восмерок впиши свой айпи который получает микротик от провайдера. nslookup mail.ru 8.8.8.8 Правило блокировки выглядит так ? add action=drop chain=input comment=DNS dst-port=53 in-interface=ether1 protocol=udp Закрыл, трафик сразу пропал. Из-за чего такая проблема получается?

Закрыл DNS, ничего не изменилось

Более подробный скрин

В следующий раз вместо снифера нажмите кнопку Torch у сетевого интерфейса, на котором наблюдается подозрительная активность, там более информативно. Там же можно и порты посмотреть, и по скорости сортировать. Скрин во вложении Закрыть входящий? Просто у меня именно исходящий трафик кладет канал.