The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"S-terra(S-Terra Gate (cp) 4.1.14905)+ASA5506"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Изначальное сообщение [ Отслеживать ]

"S-terra(S-Terra Gate (cp) 4.1.14905)+ASA5506"  +/
Сообщение от oaksenov email(ok) on 28-Сен-17, 16:25 
Добрый день!
В одном из ДО реализована схема S-terra+Asa, все работает так как задумано.
Но столкнулся с такой проблемой:
- не удается добавить пару устройств в ЦА(Центральная админка)(которая находится в ГО). С сервера,где крутится ЦА и телнет по порту и пинги до устройств ходят и в обратку с устройств до сервера и пинги и телнет по определенному порту тоже. Снимаю tcpdump на стерре вижу что оба устройства обемениваются пакетами, но устройства не цепляются к ЦА. В чем может быть проблема?

Настройки на ЦА:
URL отделения http://ip_address_do:25005
URL сервера ЦА http://ip_address_go:8080/web/resources

На устройстве в ДО:
netstat -an | find "25005"
TCP   0.0.0.0:25005     0.0.0.0:0 LISTENING
при попытке с ЦА подключить устройство, появляется дополнительная запись ESTABLISHED и при каждой попытке подключить дополняется ровно такой же записью, но уже с другим портом:
TCP   ip_address_do:25005     ip_address_go:42950 ESTABLISHED
TCP   ip_address_do:25005     ip_address_go:42954 ESTABLISHED
TCP   ip_address_do:25005     ip_address_go:42956 ESTABLISHED
и так далее...

На стерре ДО tcpdump выдает:

tcpdump -i eth1 | grep "ip_address_do"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:52:31.410843 IP ip_address_go.43224 > ip_address_do.25005: Flags [S], seq 2623115489, win 29200, options [mss 1380,sackOK,TS val 555572589 ecr 0,nop,wscale 7], length 0
16:52:31.411438 IP ip_address_do.25005 > ip_address_go.43224: Flags [S.], seq 3746080899, ack 2623115490, win 8192, options [mss 1380,nop,wscale 8,sackOK,TS val 4041551 ecr 555572589], length 0
16:52:31.413582 IP ip_address_go.43224 > ip_address_do.25005: Flags [.], ack 1, win 229, options [nop,nop,TS val 555572593 ecr 4041551], length 0
16:52:31.415697 IP ip_address_go.43224 > ip_address_do.25005: Flags [P.], seq 1369:2414, ack 1, win 229, options [nop,nop,TS val 555572594 ecr 4041551], length 1045
16:52:31.416477 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4041552 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0
16:53:31.484866 IP ip_address_go.43224 > ip_address_do.25005: Flags [F.], seq 2414, ack 1, win 229, options [nop,nop,TS val 555632654 ecr 4041552], length 0
16:53:31.485265 IP ip_address_do.25005 > ip_address_go.43224: Flags [.], ack 1, win 256, options [nop,nop,TS val 4047558 ecr 555572593,nop,nop,sack 1 {1369:2414}], length 0

В реал тайм логах на АСА:

6    Sep 28 2017    06:19:53    106100    ip_address_go    43226    ip_address_do    25005    access-list global_access permitted tcp sTerra-INT/ip_address_go(43226) -> inside-users/ip_address_do(25005) hit-cnt 1 first hit [0xfca65447, 0x399f4c49]

6    Sep 28 2017    06:19:53    302013    ip_address_go    43226    ip_address_do    25005    Built inbound TCP connection 17001417 for sTerra-INT:ip_address_go/43226 (ip_address_go/43226) to inside-users:ip_address_do/25005 (ip_address_do/25005)

В чем может быть проблема?
Может inspect MAps на АСА чего не пропускает... Буду рад любой помощи. Заранее благодарю!

P.S. впервые пишу на форумах подобные вопросы, так что извиняйте если чего не так:)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "S-terra(S-Terra Gate (cp) 4.1.14905)+ASA5506"  +/
Сообщение от zanswer CCNA RS and S on 28-Сен-17, 17:35 
>[оверквотинг удален]
> permitted tcp sTerra-INT/ip_address_go(43226) -> inside-users/ip_address_do(25005)
> hit-cnt 1 first hit [0xfca65447, 0x399f4c49]
> 6 Sep 28 2017 06:19:53 302013 ip_address_go 43226 ip_address_do 25005 Built inbound
> TCP connection 17001417 for sTerra-INT:ip_address_go/43226 (ip_address_go/43226) to
> inside-users:ip_address_do/25005 (ip_address_do/25005)
> В чем может быть проблема?
> Может inspect MAps на АСА чего не пропускает... Буду рад любой помощи.
> Заранее благодарю!
> P.S. впервые пишу на форумах подобные вопросы, так что извиняйте если чего
> не так:)

Добрый день. А возможно ли увидеть дамп ваших пакетов в pcap формате, чтобы можно было детально проанализировать заголовки пакетов.

У ASA есть прекрасный инструмент для выявления возможных проблем с фильтрацией, называется packet-tracer, можно воспользоваться им.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру