myst Posted May 27, 2014 (edited) Господа, кто сталкивался с сим богомерзким поделием? Там вообще похоже все плохо с роутингом. Начиная с того что OSPF в ptp режиме не работает, заканчивая тем что на ней нуллроут сделать невозможно. Подскажите как реализовать следующую схему. Есть Сisco ASA-5512x За АСА находится пачка динамически подключаемых VPN клиентов. С другой стороны у асы большой ospf домен в который должны ходить эти самые клиенты. АСА подключена к c3750 по EIGRP на которой сделана редистрибуция из eigrp в ospf. Необходимо инжектировать в eigrp суммарный маршрут до пула VPN адресов. Как это сделать - ума не приложу. Если бы на месте АСЫ была циска все просто, раутнул суммарную сеть в нуль, и сделал дистрибут статик в протокол динамической маршрутизации. Все красиво, все работает, лишних сетей в таблице маршрутизации не плодим... А тут как? Спасибо. Edited May 28, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted May 28, 2014 А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 (edited) А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ? Можно и статическим на 3750, но уж больно костыльно (там придется ещё и фильтры городить, т.к. не обовсей статики с 3750 надо знать в IGP). Думал может просмотрел какой метод. Был неприятно удивлен кривизной роутинга в АСА. Edited May 28, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 28, 2014 (edited) есть у меня ASA, но проверять лень :) мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :) Edited May 28, 2014 by zi_rus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 (edited) есть у меня ASA, но проверять лень :) мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :) Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1 Предлагают вот так делать http://djlongplay.com/blog/2011/01/06/null0-interface-on-a-cisco-asa/ Но адски уродливый вариант. PS: решил вопрос проще: route management 10.0.0.0 255.255.255.0 10.0.0.1 200 router eigrp 100 no auto-summary eigrp router-id 172.20.1.202 network 172.20.1.208 255.255.255.252 redistribute static ! c3750_01_s1#sh ip eigrp topology 10.0.0.0/24 EIGRP-IPv4:(100) (AS 100): Topology Default-IP-Routing-Table(0) entry for 10.0.0.0/24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 3072 Descriptor Blocks: 172.20.1.210 (Vlan901), from 172.20.1.210, Send flag is 0x0 Composite metric is (3072/2816), Route is External В теории должно работать, но пока не проверял. Edited May 28, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 28, 2014 Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1 Предлагают вот так делать http://djlongplay.co...on-a-cisco-asa/ Но адски уродливый вариант. ааа, это жесть, а я думал что есть, еще думал, какой бы ip выделить чтобы пользоваться про вариант по ссылке подумал сразу же как увидел что лупбек она действительно не умеет :) а еще аса не умеет gre. и циска говорит что люди просто железку не по назначению используют :), но типа в блокнотик себе записали, когда-нибудь в отдаленном светлом будущем запилить и gre, слишком много реквестов от покупателей на эту тему после таких приколов я для себя понял что асу по нормальному только в transparent режиме можно использовать, а роутить роутерами Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted May 28, 2014 Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк Ну таки да, роутеры у меня занимаются совсем другими вещами, аса это ВПН+CX функционал (Чота типа Web Gateway). Но тут была ПРОСТЕЙШАЯ задача с которой даже мыльница умеющая ospf справится. В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить. В итоге подняли eigrp, и тут засада, простейший функционал как нуллроуты и лупбеки недоступен. Будем писать фичереквесты и много ругаться. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted May 28, 2014 myst вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted May 28, 2014 Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted May 28, 2014 Продайте ASA и купите SRX, куда более универсальная железка) И дешевле вроде бы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 28, 2014 Cisco просто не видит смысла в обширном роутинге на firewall. видимо только циска и не видит, а народ шлет фича-реквесты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 (edited) myst вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами? Так что в данном случае это проблема циски. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги. Так что мимо .) Продайте ASA и купите SRX, куда более универсальная железка) И дешевле вроде бы. SRX не умеет и 10й доли того что мне нужно это этой асы. В часности функционал CX (Cisco Prime). Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера. Да мне особо роутинга и не надо там. Но наличие лупбека и нулл интерфейса имхо должно присутствовать на любом сетевом девайсе через который проходить IP трафик. Кстати коллеги, а подскажите, умеет ли оно такую фичу: Per user traffic policing. Тоесть подключается VPN клиент по l2tp скажем, оно хренакс на интерфейс полиси на 10 мегабит... Я что то по гайду пробежался - не нашел как это может называться. И так каждому новому юзеру. Может кто подскажет? Edited May 28, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 28, 2014 Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. ну вот неочевидные вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stepashka Posted May 28, 2014 (edited) myst, а какая такая у вас ASA? Я вот посмотрел: ASA(config)# route ? configure mode commands/options: Current available interface(s): <skip> Null0 Null interface <skip> ASA# sh ver Cisco Adaptive Security Appliance Software Version 9.2(1) Оно даже роутить умеет (по крайней мере обещает): ASA(config)# router ? configure mode commands/options: bgp Border Gateway Protocol (BGP) eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) ASA(config)# router bgp ? configure mode commands/options: <1-4294967295> Autonomous system number <1.0-XX.YY> Autonomous system number Edited May 28, 2014 by stepashka Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 28, 2014 Cisco Adaptive Security Appliance Software Version 9.2(1) ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted May 28, 2014 Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами? Это общепринятые фичи маршрутизатора, а не фаервола. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? вы прям как абонент с информатиностью проблемы "не работает" К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги. вот это правильный подход. взяли на тест, не нравится - берите другое. Cisco в отличии от всякого китайского шлака, который лепит как попало, быстро ничего не доработает, особенно если вы не планируете купить вагон асашек но судя по всему, вам ничего не подходит. И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить Cisco Prime я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. Почему-то мне кажется, что вы пытаетесь нас наобмануть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 (edited) Это общепринятые фичи маршрутизатора, а не фаервола. Да лааааадно. Нулл в который можно завернуть нелегетимый трафик дабы разгрузийть фаервол и лупбек с которого можно поднимать VPN соединения это не фичи ваервола? Сказок не надо рассказывать. Для любого сетевого девайса оперирующего IP трафиком наличие таких вещей является нормальным. Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? Вот именно на стандартном широковещательном интерфейсе и не поднялось. Когда установили со стороны 3750 ptp а со стороны АСА ptp non-broadcast, аса увидела маршуты от 37й но свои отдавать отказалась. Дальнейшие изыскания показали что необходимо ПОЛНОСТЬЮ удалить network type с обоих сторон (!!!) и только тогда с АСА будут получаться маршруты, но к сожалению не все (была установлена опция дистрибут статик) из 3х статиков дистрибутилось только 1. Это самый натуральный баг. вы прям как абонент с информатиностью проблемы "не работает" А покажите где я в моем посте просил "помогите мне ospf настроить"? Опыта с оспф у меня более чем, я просто констатировал факт его глючности в асе. По этому без лишних подробностей. но судя по всему, вам ничего не подходит. Судя по всему кое-что может и подходит, но что именно подходит покажет только тест, никакая документация, темболее на редкие дорогие железки не отвечает на вопрос будет ли железо работать в моем сценарии так как надо. И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить Каким, вот каким боком вы придумали сюда l3 свич? Какие функции он должен по вашем исполнять в моем случае? И да, 3750 это как раз таки стэк из l3 свичей cisco, правда я не понимаю каким образом они относятся к разговору. я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi Изыскания, показали что продуктов которые мне подходят по пальцам руки пересчитать. ASA CX - один из них. Почему-то мне кажется, что вы пытаетесь нас наобмануть В церкви то давно были? А то все кажется да кажется. Прочитайте выше про оспф, сделайте выводы. myst, а какая такая у вас ASA? Я вот посмотрел: ASA(config)# route ? configure mode commands/options: Current available interface(s): <skip> Null0 Null interface <skip> ASA# sh ver Cisco Adaptive Security Appliance Software Version 9.2(1) Оно даже роутить умеет (по крайней мере обещает): ASA(config)# router ? configure mode commands/options: bgp Border Gateway Protocol (BGP) eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) ASA(config)# router bgp ? configure mode commands/options: <1-4294967295> Autonomous system number <1.0-XX.YY> Autonomous system number # sh ver Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.2(1) Compiled on Wed 28-Nov-12 11:15 PST by builders System image file is "disk0:/asa911-smp-k8.bin" Вот такая вот. Edited May 28, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted May 28, 2014 Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. ну вот неочевидные вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки Ну вот тот же лупбек я лично категорически не считаю фичей. Это стандарт дефакто. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stepashka Posted May 29, 2014 (edited) ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Но лупбэков там все равно нет. Брал, кажется, тута: asa921-smp-k8.bin Но видел ещё и вот тут: Edited May 29, 2014 by stepashka Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted May 29, 2014 ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Но лупбэков там все равно нет. Брал, кажется, тута: asa921-smp-k8.bin Но видел ещё и вот тут: все, я понял. 9,2 выпустили для 5500-Х, а у меня старая, поэтому этого нет, и есть мнение что те кто юзает старые асы никогда нулл роуты и bgp не увидят Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted May 29, 2014 myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF. Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted May 29, 2014 (edited) На асе по идее должны появляться /32 маршруты до пользователей в таблице маршурутизации. Если по дефолту так не выходит - то это можно настроить. КАжется называется reverse route injection - гуглите. Далее эти маршруты можно редистрибутить стандартным методом. Edited May 29, 2014 by -Pave1- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted May 29, 2014 (edited) А OSPF между асой и прочими устройствами - работает без каких либо проблем. Тут уже Вы очевидно делаете что то не так. То что АСА как роутер УГ - это понятно. Но если не пытаться ей решать не возложенные на нее задачи - жить с ней можно. Edited May 29, 2014 by -Pave1- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted May 29, 2014 (edited) myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF. Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX? content filtering - это скорее аналог NBAR + regex в ISR. CX - это вроде как NGF. Там правила настраиваются гибко по приложениям и юзерам. Можно например кому то разрешить входить в один раздел фэйсбука и запретить другой, запретить skype, teamviewr и т.д. Соответственно у них оч сложная база сигнатур приложений. Она расшифровать ssl по принципу man in the middle и т.д. Как понимаю - у джуна аналогов нет. Edited May 29, 2014 by -Pave1- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...