forum.opennet.ru

Составление сообщения

Исходное сообщение

"S-terra(S-Terra Gate (cp) 4.1.14905)+ASA5506"
Отправлено oaksenov, 28-Сен-17 16:25

Добрый день!
В одном из ДО реализована схема S-terra+Asa, все работает так как задумано.
Но столкнулся с такой проблемой:
- не удается добавить пару устройств в ЦА(Центральная админка)(которая находится в ГО). С сервера,где крутится ЦА и телнет по порту и пинги до устройств ходят и в обратку с устройств до сервера и пинги и телнет по определенному порту тоже. Снимаю tcpdump на стерре вижу что оба устройства обемениваются пакетами, но устройства не цепляются к ЦА. В чем может быть проблема?
Настройки на ЦА:
URL отделения http://ip_address_do:25005
URL сервера ЦА http://ip_address_go:8080/web/resources
На устройстве в ДО:
netstat -an | find "25005"
TCP   0.0.0.0:25005     0.0.0.0:0 LISTENING
при попытке с ЦА подключить устройство, появляется дополнительная запись ESTABLISHED и при каждой попытке подключить дополняется ровно такой же записью, но уже с другим портом:
TCP   ip_address_do:25005     ip_address_go:42950 ESTABLISHED
TCP   ip_address_do:25005     ip_address_go:42954 ESTABLISHED
TCP   ip_address_do:25005     ip_address_go:42956 ESTABLISHED
и так далее...
На стерре ДО tcpdump выдает:
tcpdump -i eth1 | grep "ip_address_do"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:52:31.410843 IP ip_address_go.43224 > ip_address_do.25005: Flags [S], seq 2623115489, win 29200, options [mss 1380,sackOK,TS val 555572589 ecr 0,nop,wscale 7], length 0
16:52:31.411438 IP ip_address_do.25005 > ip_address_go.43224: Flags [S.], seq 3746080899, ack 2623115490, win 8192, options [mss 1380,nop,wscale 8,sackOK,TS val 4041551 ecr 555572589], length 0
16:52:31.413582 IP ip_address_go.43224 > ip_address_do.25005: Flags [.], ack 1, win 229, options [nop,nop,TS val 555572593 ecr 4041551], length 0
16:52:31.415697 IP ip_address_go.43224 > ip_address_do.25005: Flags [P.], seq 1369:2414, ack 1, win 229, options [nop,nop,TS val 555572594 ecr 4041551], length 1045
16:52:31.416477 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4041552 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0
16:53:31.484866 IP ip_address_go.43224 > ip_address_do.25005: Flags [F.], seq 2414, ack 1, win 229, options [nop,nop,TS val 555632654 ecr 4041552], length 0
16:53:31.485265 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4047558 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0
В реал тайм логах на АСА:
6    Sep 28 2017    06:19:53    106100    ip_address_go    43226    ip_address_do    25005    access-list global_access permitted tcp sTerra-INT/ip_address_go(43226) -> inside-users/ip_address_do(25005) hit-cnt 1 first hit [0xfca65447, 0x399f4c49]
6    Sep 28 2017    06:19:53    302013    ip_address_go    43226    ip_address_do    25005    Built inbound TCP connection 17001417 for sTerra-INT:ip_address_go/43226 (ip_address_go/43226) to inside-users:ip_address_do/25005 (ip_address_do/25005)
В чем может быть проблема?
Может inspect MAps на АСА чего не пропускает... Буду рад любой помощи. Заранее благодарю!
P.S. впервые пишу на форумах подобные вопросы, так что извиняйте если чего не так:)

Исходное сообщение
"S-terra(S-Terra Gate (cp) 4.1.14905)+ASA5506" Отправлено oaksenov, 28-Сен-17 16:25
Добрый день! В одном из ДО реализована схема S-terra+Asa, все работает так как задумано. Но столкнулся с такой проблемой: - не удается добавить пару устройств в ЦА(Центральная админка)(которая находится в ГО). С сервера,где крутится ЦА и телнет по порту и пинги до устройств ходят и в обратку с устройств до сервера и пинги и телнет по определенному порту тоже. Снимаю tcpdump на стерре вижу что оба устройства обемениваются пакетами, но устройства не цепляются к ЦА. В чем может быть проблема? Настройки на ЦА: URL отделения http://ip_address_do:25005 URL сервера ЦА http://ip_address_go:8080/web/resources На устройстве в ДО: netstat -an \| find "25005" TCP 0.0.0.0:25005 0.0.0.0:0 LISTENING при попытке с ЦА подключить устройство, появляется дополнительная запись ESTABLISHED и при каждой попытке подключить дополняется ровно такой же записью, но уже с другим портом: TCP ip_address_do:25005 ip_address_go:42950 ESTABLISHED TCP ip_address_do:25005 ip_address_go:42954 ESTABLISHED TCP ip_address_do:25005 ip_address_go:42956 ESTABLISHED и так далее... На стерре ДО tcpdump выдает: tcpdump -i eth1 \| grep "ip_address_do" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 16:52:31.410843 IP ip_address_go.43224 > ip_address_do.25005: Flags [S], seq 2623115489, win 29200, options [mss 1380,sackOK,TS val 555572589 ecr 0,nop,wscale 7], length 0 16:52:31.411438 IP ip_address_do.25005 > ip_address_go.43224: Flags [S.], seq 3746080899, ack 2623115490, win 8192, options [mss 1380,nop,wscale 8,sackOK,TS val 4041551 ecr 555572589], length 0 16:52:31.413582 IP ip_address_go.43224 > ip_address_do.25005: Flags [.], ack 1, win 229, options [nop,nop,TS val 555572593 ecr 4041551], length 0 16:52:31.415697 IP ip_address_go.43224 > ip_address_do.25005: Flags [P.], seq 1369:2414, ack 1, win 229, options [nop,nop,TS val 555572594 ecr 4041551], length 1045 16:52:31.416477 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4041552 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0 16:53:31.484866 IP ip_address_go.43224 > ip_address_do.25005: Flags [F.], seq 2414, ack 1, win 229, options [nop,nop,TS val 555632654 ecr 4041552], length 0 16:53:31.485265 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4047558 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0 В реал тайм логах на АСА: 6 Sep 28 2017 06:19:53 106100 ip_address_go 43226 ip_address_do 25005 access-list global_access permitted tcp sTerra-INT/ip_address_go(43226) -> inside-users/ip_address_do(25005) hit-cnt 1 first hit [0xfca65447, 0x399f4c49] 6 Sep 28 2017 06:19:53 302013 ip_address_go 43226 ip_address_do 25005 Built inbound TCP connection 17001417 for sTerra-INT:ip_address_go/43226 (ip_address_go/43226) to inside-users:ip_address_do/25005 (ip_address_do/25005) В чем может быть проблема? Может inspect MAps на АСА чего не пропускает... Буду рад любой помощи. Заранее благодарю! P.S. впервые пишу на форумах подобные вопросы, так что извиняйте если чего не так:)

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Добрый день! > В одном из ДО реализована схема S-terra+Asa, все работает так как задумано. > Но столкнулся с такой проблемой: > - не удается добавить пару устройств в ЦА(Центральная админка)(которая находится в ГО). > С сервера,где крутится ЦА и телнет по порту и пинги до > устройств ходят и в обратку с устройств до сервера и пинги > и телнет по определенному порту тоже. Снимаю tcpdump на стерре вижу > что оба устройства обемениваются пакетами, но устройства не цепляются к ЦА. > В чем может быть проблема? > Настройки на ЦА: > URL отделения http://ip_address_do:25005 > URL сервера ЦА http://ip_address_go:8080/web/resources > На устройстве в ДО: > netstat -an \| find "25005" > TCP 0.0.0.0:25005 0.0.0.0:0 LISTENING > при попытке с ЦА подключить устройство, появляется дополнительная запись ESTABLISHED и > при каждой попытке подключить дополняется ровно такой же записью, но уже > с другим портом: > TCP ip_address_do:25005 ip_address_go:42950 ESTABLISHED > TCP ip_address_do:25005 ip_address_go:42954 ESTABLISHED > TCP ip_address_do:25005 ip_address_go:42956 ESTABLISHED > и так далее... > На стерре ДО tcpdump выдает: > tcpdump -i eth1 \| grep "ip_address_do" > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes > 16:52:31.410843 IP ip_address_go.43224 > ip_address_do.25005: Flags [S], seq 2623115489, > win 29200, options [mss 1380,sackOK,TS val 555572589 ecr 0,nop,wscale 7], length > 0 > 16:52:31.411438 IP ip_address_do.25005 > ip_address_go.43224: Flags [S.], seq 3746080899, > ack 2623115490, win 8192, options [mss 1380,nop,wscale 8,sackOK,TS val 4041551 ecr > 555572589], length 0 > 16:52:31.413582 IP ip_address_go.43224 > ip_address_do.25005: Flags [.], ack 1, win 229, > options [nop,nop,TS val 555572593 ecr 4041551], length 0 > 16:52:31.415697 IP ip_address_go.43224 > ip_address_do.25005: Flags [P.], seq 1369:2414, > ack 1, win 229, options [nop,nop,TS val 555572594 ecr 4041551], length > 1045 > 16:52:31.416477 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, > options [nop,nop,TS val 4041552 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0 > 16:53:31.484866 IP ip_address_go.43224 > ip_address_do.25005: Flags [F.], seq 2414, ack > 1, win 229, options [nop,nop,TS val 555632654 ecr 4041552], length 0 > 16:53:31.485265 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, > options [nop,nop,TS val 4047558 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0 > В реал тайм логах на АСА: > 6 Sep 28 2017 06:19:53 106100 ip_address_go 43226 ip_address_do 25005 access-list global_access > permitted tcp sTerra-INT/ip_address_go(43226) -> inside-users/ip_address_do(25005) > hit-cnt 1 first hit [0xfca65447, 0x399f4c49] > 6 Sep 28 2017 06:19:53 302013 ip_address_go 43226 ip_address_do 25005 Built inbound > TCP connection 17001417 for sTerra-INT:ip_address_go/43226 (ip_address_go/43226) to > inside-users:ip_address_do/25005 (ip_address_do/25005) > В чем может быть проблема? > Может inspect MAps на АСА чего не пропускает... Буду рад любой помощи. > Заранее благодарю! > P.S. впервые пишу на форумах подобные вопросы, так что извиняйте если чего > не так:)
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру