[Korvet_068]

Доброго дня.

Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами. 

В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого. 

Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать?

[fork]

для ASA это тривиальный  конфиг

crypto map NAME 1 set peer A1.A2.A3.A4 B1.B2.B3.B4

[Korvet_068]

На ASA вижу вот такую строку конфига:

 

crypto map outside_map interface outside

 

А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк.

Изменено 5 сентября, 2019 пользователем Korvet_068

[kapydan]

34 минуты назад, Korvet_068 сказал:

crypto map outside_map interface outside

это просто прикручивание крипто-мап к нужному интерфейсу. скажем так, указание асе что шифровать.

да и не стоит забывать, что на интерфейс можно повесить только одну крипто-мап. если надо больше, то в существующей крипто-мапе надо увеличивать сиквенс намбер.

 

crypto map outside_map 16 match address outside_16_cryptomap

crypto map outside_map 16 set pfs group14

crypto map outside_map 16 set peer 2.1.4.18

crypto map outside_map 16 set ikev2 ipsec-proposal ESP-AES256-SHA512

crypto map outside_map 16 set security-association lifetime seconds 3600

crypto map outside_map 16 set security-association lifetime kilobytes 4608000

crypto map outside_map 20 match address outside_20_cryptomap

crypto map outside_map 20 set pfs group14

crypto map outside_map 20 set peer 3.6.48.10

crypto map outside_map 20 set ikev2 ipsec-proposal ESP-AES256-SHA512

crypto map outside_map 20 set security-association lifetime seconds 3600

crypto map outside_map 20 set security-association lifetime kilobytes 4608000

 

[Korvet_068]

То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк?

Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть.

[fork]

если собираетесь подключаться к одному и тому же удаленному peer, зачем вам еще один крипто-мап?

используйте

crypto map outside_peer interface outside1
crypto map outside_peer interface outside2

crypto isakmp enable outside1
crypto isakmp enable outside2

[Murad82]

CISCO ASA 5512

Добрый день!
Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние сети(inside), на outside висит белый ИП, и хосты которые подключены  к внутренним сетевушкам(inside) получают инет, пашет. НО! хосты(комп) не могут пинговать тот самый белый ИП - как исправить??

 

P.S. Если я например использую другого провайдера для инета, с "чужого" инета я могу пинговать тот белый ИП

 

CISCO ASA 5512

[kapydan]

выложи сюда конфиг, посмотрим - может icmp закрыт изнутри, а может acl не тот, может роута нет.

[Murad82]

 

В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа видели/пинговали ип - 31.173.210.2
Лишние записи из конфига убрал(такие как ВПН, серты и т.д.)
 

ASA Version 9.9(2)
!
hostname thelocalasa

names
ip local pool ForVPN 192.168.80.240-192.168.80.253 mask 255.255.255.0
ip local pool PABX 192.168.82.240-192.168.82.250 mask 255.255.255.0
ip local pool avaya 192.168.82.100-192.168.82.150 mask 255.255.255.0
ip local pool ForMNG 192.168.89.235-192.168.89.238 mask 255.255.255.0
ip local pool ForADM 192.168.104.254-192.168.104.255 mask 255.255.255.0

!
interface GigabitEthernet0/0
nameif outside
security-level 100
ip address 31.173.210.2 255.255.255.240
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
description STATE Failover Interface
!
interface GigabitEthernet0/4
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4.3
vlan 3
nameif adm_lan
security-level 100
ip address 192.168.104.1 255.255.252.0
!
interface GigabitEthernet0/4.80
vlan 80
nameif MNGMTSW
security-level 100
ip address 192.168.80.1 255.255.255.0
!
interface GigabitEthernet0/4.81
vlan 81
nameif MNGMTAPS
security-level 100
ip address 192.168.81.1 255.255.255.0
!
interface GigabitEthernet0/4.82
vlan 82
nameif PHONE
security-level 100
ip address 192.168.82.1 255.255.255.0
!
interface GigabitEthernet0/4.83
vlan 83
nameif guest_ssid
security-level 100
ip address 192.168.112.1 255.255.252.0
!
interface GigabitEthernet0/4.84
vlan 84
nameif PUBLICSID
security-level 100
ip address 192.168.108.1 255.255.252.0
!
interface GigabitEthernet0/4.86
vlan 86
nameif room_lan
security-level 100
ip address 192.168.100.1 255.255.252.0
!
interface GigabitEthernet0/4.87
vlan 87
nameif AC_CCTV
security-level 100
ip address 192.168.87.1 255.255.255.0
!
interface GigabitEthernet0/4.88
vlan 88
nameif DS_TV
security-level 100
ip address 192.168.88.1 255.255.255.0
!
interface GigabitEthernet0/4.89
vlan 89
nameif LIFT_LAN
security-level 100
ip address 192.168.89.1 255.255.255.0
!
interface GigabitEthernet0/4.90
vlan 90
nameif real_ip
security-level 100
ip address 192.168.90.1 255.255.255.0
!
interface GigabitEthernet0/5
description LAN Failover Interface
!
interface Management0/0
management-only
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
!
boot system disk0:/asa992-smp-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup outside
dns domain-lookup adm_lan
dns domain-lookup MNGMTSW
dns domain-lookup MNGMTAPS
dns domain-lookup PHONE
dns domain-lookup guest_ssid
dns domain-lookup PUBLICSID
dns domain-lookup room_lan
dns domain-lookup AC_CCTV
dns domain-lookup DS_TV
dns domain-lookup LIFT_LAN
dns domain-lookup real_ip
dns domain-lookup management
dns server-group DefaultDNS
name-server 83.149.24.243 outside
name-server 83.149.24.244 outside
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network mngsw_lan
subnet 192.168.80.0 255.255.255.0
object network publicsid_lan
subnet 192.168.108.0 255.255.252.0
object network mngmtaps_lan
subnet 192.168.81.0 255.255.255.0
object network lift_lan
subnet 192.168.89.0 255.255.255.0
object network ssh_to_core
host 192.168.80.2
object network room_lan
subnet 192.168.100.0 255.255.252.0
object network web_to_core
host 192.168.80.2
object network NETWORK_OBJ_192.168.80.192_26
subnet 192.168.80.192 255.255.255.192
object network NETWORK_OBJ_192.168.80.0_24
subnet 192.168.80.0 255.255.255.0
object network ds_tv_lan
subnet 192.168.88.0 255.255.255.0
object network adm_lan
subnet 192.168.104.0 255.255.252.0
object network NETWORK_OBJ_192.168.80.0_26
subnet 192.168.80.0 255.255.255.192
object network NETWORK_OBJ_192.168.82.248_29
subnet 192.168.82.248 255.255.255.248
object network guest_ssid
subnet 192.168.112.0 255.255.252.0
object network NETWORK_OBJ_192.168.82.240_28
subnet 192.168.82.240 255.255.255.240
object network real_ip_lan
subnet 192.168.90.0 255.255.255.0
object network lift_disp_pc
host 192.168.90.2
object network public_lift_disp_pc
host 31.173.210.2
object network real_ip_for_dect
host 31.173.210.2
object network NETWORK_OBJ_192.168.82.0_24
subnet 192.168.82.0 255.255.255.0
object network PHONE_lan
subnet 192.168.82.0 255.255.255.0
object network proba
subnet 192.168.95.0 255.255.255.0
object network NETWORK_OBJ_192.168.80.240_28
subnet 192.168.80.240 255.255.255.240
object network NETWORK_OBJ_192.168.89.232_29
subnet 192.168.89.232 255.255.255.248
object network AC_CCTV
subnet 192.168.87.0 255.255.255.0
object network RDP
host 192.168.104.11
object service RDPService
service tcp destination eq 3389
object service RDPService2
service tcp source eq 3389
object network NETWORK_OBJ_192.168.104.254_31
subnet 192.168.104.254 255.255.255.254
object network Appache
host 192.168.104.10
object network Appache_80
host 192.168.104.10
access-list acl_out extended permit icmp any any time-exceeded
access-list acl_out extended permit icmp any any unreachable
access-list acl_out extended permit tcp any any eq ssh
access-list acl_out extended permit tcp any any
access-list acl_out extended permit ip any any
access-list acl_in extended permit tcp any host 192.168.80.4 eq telnet
access-list acl_in extended permit tcp any host 192.168.80.2 eq 232
access-list acl_in extended permit tcp any host 192.168.80.2 eq ssh
access-list acl_in extended permit tcp any host 192.168.80.2 eq www
access-list acl_in extended permit icmp any any echo
access-list global_access extended permit ip any any

access-list permit_PBX standard permit 192.168.80.0 255.255.255.0
access-list admlan_to_phone extended permit ip 192.168.104.0 255.255.252.0 192.168.82.0 255.255.255.0
access-list phone_to_admlan extended permit ip 192.168.82.0 255.255.255.0 192.168.104.0 255.255.252.0
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit object RDPService any object RDP
access-list outside_access_in extended permit tcp any object Appache eq www
access-list room_lan_access_in extended deny ip 192.168.100.0 255.255.252.0 192.168.104.0 255.255.252.0
access-list room_lan_access_in remark Permit_any_service
access-list room_lan_access_in extended permit ip any any
access-list AC_CCTV_access_in extended permit ip 192.168.87.0 255.255.255.0 192.168.104.0 255.255.252.0
access-list AC_CCTV_access_in remark Permit_any_service
access-list AC_CCTV_access_in extended permit ip any any
access-list PermitADM standard permit 192.168.104.0 255.255.252.0
pager lines 24
logging enable
logging timestamp
logging monitor warnings
logging buffered warnings
logging trap warnings
logging history warnings
logging asdm warnings
mtu outside 1500
mtu adm_lan 1500
mtu MNGMTSW 1500
mtu MNGMTAPS 1500
mtu PHONE 1500
mtu guest_ssid 1500
mtu PUBLICSID 1500
mtu room_lan 1500
mtu AC_CCTV 1500
mtu DS_TV 1500
mtu LIFT_LAN 1500
mtu real_ip 1500
mtu management 1500
failover
failover lan unit secondary
failover lan interface FailoverLink GigabitEthernet0/5
failover link STBFailoverLink GigabitEthernet0/3
failover interface ip FailoverLink 192.168.0.1 255.255.255.252 standby 192.168.0.2
failover interface ip STBFailoverLink 192.168.0.5 255.255.255.252 standby 192.168.0.6
no monitor-interface outside
no monitor-interface adm_lan
no monitor-interface MNGMTSW
no monitor-interface MNGMTAPS
no monitor-interface PHONE
no monitor-interface guest_ssid
no monitor-interface PUBLICSID
no monitor-interface room_lan
no monitor-interface AC_CCTV
no monitor-interface DS_TV
no monitor-interface LIFT_LAN
no monitor-interface real_ip
no monitor-interface management
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any real_ip
asdm image disk0:/asdm-792-152.bin
asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 8192
nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.0_26 NETWORK_OBJ_192.168.80.0_26 no-proxy-arp route-lookup
nat (PHONE,outside) source static any any destination static NETWORK_OBJ_192.168.82.0_24 NETWORK_OBJ_192.168.82.0_24 no-proxy-arp route-lookup
nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup
nat (LIFT_LAN,outside) source static any any destination static NETWORK_OBJ_192.168.89.232_29 NETWORK_OBJ_192.168.89.232_29 no-proxy-arp route-lookup
nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup
nat (MNGMTSW,outside) source static NETWORK_OBJ_192.168.80.0_24 NETWORK_OBJ_192.168.80.0_24 destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup
nat (adm_lan,outside) source static RDP interface service any RDPService2
nat (adm_lan,outside) source static any any destination static NETWORK_OBJ_192.168.104.254_31 NETWORK_OBJ_192.168.104.254_31 no-proxy-arp route-lookup
!
object network mngsw_lan
nat (MNGMTSW,outside) dynamic interface
object network publicsid_lan
nat (PUBLICSID,outside) dynamic interface
object network mngmtaps_lan
nat (MNGMTAPS,outside) dynamic interface
object network lift_lan
nat (LIFT_LAN,outside) dynamic interface
object network ssh_to_core
nat (MNGMTSW,outside) static interface service tcp ssh 55555
object network room_lan
nat (room_lan,outside) dynamic interface
object network web_to_core
nat (MNGMTSW,outside) static interface service tcp www 8090
object network ds_tv_lan
nat (DS_TV,outside) dynamic interface
object network adm_lan
nat (adm_lan,outside) dynamic interface
object network guest_ssid
nat (guest_ssid,outside) dynamic interface
object network PHONE_lan
nat (any,outside) dynamic interface
object network AC_CCTV
nat (any,outside) dynamic interface
object network Appache_80
nat (adm_lan,outside) static interface service tcp www www
access-group outside_access_in in interface outside
access-group room_lan_access_in in interface room_lan
access-group AC_CCTV_access_in in interface AC_CCTV
route outside 0.0.0.0 0.0.0.0 31.173.210.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa authentication login-history
http server enable
http server idle-timeout 10
http server session-timeout 10
http 192.168.1.0 255.255.255.0 management
http 192.168.80.0 255.255.255.0 MNGMTSW
http 192.168.80.0 255.255.255.0 outside
http 80.64.105.68 255.255.255.255 outside
no snmp-server location
no snmp-server contact
sla monitor 1

management-access MNGMTSW
dhcpd dns 31.173.210.1 8.8.8.8
!
dhcpd address 192.168.104.215-192.168.104.250 adm_lan
dhcpd domain TheLocal interface adm_lan
dhcpd enable adm_lan
!
dhcpd address 192.168.81.5-192.168.81.254 MNGMTAPS
!
dhcpd address 192.168.82.25-192.168.82.200 PHONE
dhcpd enable PHONE
!
dhcpd address 192.168.112.4-192.168.112.250 guest_ssid
dhcpd domain guest_ssid interface guest_ssid
dhcpd enable guest_ssid
!
dhcpd address 192.168.108.4-192.168.108.250 PUBLICSID
dhcpd lease 900 interface PUBLICSID
dhcpd domain TheLocalPublic interface PUBLICSID
dhcpd enable PUBLICSID
!
dhcpd address 192.168.100.4-192.168.100.250 room_lan
dhcpd domain TheLocal_room interface room_lan
dhcpd enable room_lan
!
dhcpd address 192.168.88.3-192.168.88.200 DS_TV
dhcpd enable DS_TV
!
dhcpd address 192.168.89.3-192.168.89.200 LIFT_LAN
dhcpd enable LIFT_LAN
!
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!

[fork]

особенность софта ASA, что icmp в ACL нужно разрешать явно,

добавьте себе

 

access-group MNGMTSW_in in interface MNGMTSW
access-group adm_lan_in in interface adm_lan

 

access-list MNGMTSW_in extended permit icmp any any echo-reply
access-list MNGMTSW_in extended permit icmp any any echo

 

access-list adm_lan_in extended permit icmp any any echo-reply
access-list adm_lan_in extended permit icmp any any echo
access-list adm_lan_in extended permit ip any any

 

да и зачем у вас вот это в конфиге?

access-list outside_access_in extended permit ip any any

Изменено 26 января, 2020 пользователем fork

[Murad82]

21 минуту назад, fork сказал:

да и зачем у вас вот это в конфиге?

access-list outside_access_in extended permit ip any any

Честно - не знаю)) Подрядчик много чего туда "повтыкал", и я будучи начинающий юзер всякого мусора там поудалял, которого было видно и даже юзеру начинающему. Могу тоже удалить данную строку!?

 

25 минут назад, fork сказал:

access-group MNGMTSW_in in interface MNGMTSW
access-group adm_lan_in in interface adm_lan

 

access-list MNGMTSW_in extended permit icmp any any echo-reply
access-list MNGMTSW_in extended permit icmp any any echo

 

access-list adm_lan_in extended permit icmp any any echo-reply
access-list adm_lan_in extended permit icmp any any echo
access-list adm_lan_in extended permit ip any any

fork, и подскажи плыз, эти строки если я буду поочередно добавлять....то ничего ж не произойдет с теми что там внизу уже существуют?  просто помниться где то вычитывал что у cisco(не помню на этой ли модели) что при прописывании правил в аксес листах, то они якобы теряют актуальность что-то в этом роде. Могу я смело прописывать эти строки?

 

[kapydan]

2 часа назад, Murad82 сказал:

fork, и подскажи плыз, эти строки если я буду поочередно добавлять....то ничего ж не произойдет с теми что там внизу уже существуют?  просто помниться где то вычитывал что у cisco(не помню на этой ли модели) что при прописывании правил в аксес листах, то они якобы теряют актуальность что-то в этом роде. Могу я смело прописывать эти строки?

По идее да. ACL проверяется от начала к концу, т.е. снизу вверх и если удалять какие-то строки из ацл все должно быть номрально.

 

да, может я и неправ, но надо попробовать добавить подобное правило для icmp

 

object network web_to_core
nat (MNGMTSW,outside) static interface service tcp www 8090 только с icmp

[fork]

не, NAT-ов судя по конфигу хватает...

а вообще, если возникает подобные затруднения, рекомендую использовать встроенную фичу/утилиту  в софт ASA - packet-tracer

покажет в каком месте и чего вам не хватает.

[Murad82]

В общем, указанные выше аксес листы добавил, результата не дало(  И попробовал пакет трейсер, вроде он говорит что роута нет, гляньте плыз, надеюсь правильно сделал трасировку)

[kapydan]

route outside 0.0.0.0 0.0.0.0 31.173.210.1 1

 

в конфиге роут только вот, походу это шлюз от провайдера. в реальности он тоже один?

 

пакет-трейсер - роут кмк неверен. надо с любого внутреннего адреса на 31.173.210.1 - это внешний, а 31.173.210.2 - шлюз провайдера.

[Murad82]

1 час назад, kapydan сказал:

в конфиге роут только вот, походу это шлюз от провайдера. в реальности он тоже один?

Да, это шлюз, и он один забит в cisco, и в реальности один шлюз, он и является, т.е. - 31.173.210.1

 

1 час назад, kapydan сказал:

пакет-трейсер - роут кмк неверен. надо с любого внутреннего адреса на 31.173.210.1 - это внешний, а 31.173.210.2 - шлюз провайдера.

31.173.210.2 - это у нас как раз ИП. 

 

А если в пакет трейсер шлюз трасирую, то он проходит, но зато пинга на него нет почему то с хоста)

 

 

 

[kapydan]

12 минут назад, Murad82 сказал:

А если в пакет трейсер шлюз трасирую, то он проходит, но зато пинга на него нет почему то с хоста)

Т.к. аса же натит верно, вот поэтому и проходит. Все таки кажется, что проблема именно в нате + роуте с внутренней сети до внешнего адреса. 

Напиши еще плз, с какого именно адреса не удается пинг.

[Murad82]

С любого VLANа не пингует, ну а мне надо чтоб мог с MNGMTSW и ad m_lan, остальные мне не важны. Соответственно ad m_lan - 192.168.104.1 и MNGMTSW - 192.168.80.1

[fork]

стало интересно самому, частично воспроизвел ваш конфиг на стенде,

дело даже не в нате, у ASA в софте похоже  отключена такая возможность (обращаться к шлюзу другого периметра безопасности)

в конфиге вообще без NATа имеем следующие ошибки в логах

 

6    Feb 01 2020    11:27:17    110002    192.168.104.10    1            Failed to locate egress interface for ICMP from outside:192.168.104.10/1 to 31.173.210.2/0

 

%ASA-6-110002: Failed to locate egress interface for protocol from src
interface:src IP/src port to dest IP/dest port
.An error occurred when the ASA tried to find the interface through which to send the packet.

 

собственно в поддержке cisco пишут тоже самое, что это невозможно:

https://community.cisco.com/t5/firewalls/asa-6-110002-failed-to-locate-egress-interface-for-icmp-from/td-p/2454572

 

 

 

Изменено 1 февраля, 2020 пользователем fork

[kapydan]

там советуют добавить same-security-traffic permit inter-interface, но она уже есть в конфиге. как и same-security-traffic permit intra-interface.

[Murad82]

В общем, на одном из форумов, тож написали что девайс этого "не умеет" ), кажется мне нужно поднимать DNS сервер. Вся это задумка была из-за того, чтоб наши пользователи, которые подключаются к нашему рабочему интернету, не могли заходить на портал(который поднят на одном из серверов, и закреплен на белом ИП), используя другой инет то они могут подключатся к порталу, а вот на работе нет доступа, ибо просто приходиться ставить костыли типа прописи в etc/hosts на каждой рабочей машине. В общем, надо думать про DNS )  Всем вам большое спасибо ребята! Далее лазить по форумам где DNS))

 

Изменено 2 февраля, 2020 пользователем Murad82

[fork]

если стояла задача выполнять подмену DNS адресов в зависимости от сети пользователей, то можно и без DNS сервера обойтись.

у ASA есть прекрасный сервис, DNS Doctoring который позволяет перезаписывать (rewrite) DNS A-записи и PTR-записи.

 

http://www.ccienetlab.com/security/21-dns-doctoring-na-asa-9x-publichnyy-dns-server.html

[Murad82]

оув...нужно почитать как будет время) Благодарю! 

[Murad82]

Извините, а не подскажете как бы проверить включено или нет "инспектирование протокола DNS", там пишется что при этом условии это только работает.

[kapydan]

Кстати да, вчера столкнулся тоже с этой проблемой - с хоста из внутренней сети нельзя пропинговать внешний адрес асы.