Cisco ASA 5510-da qarışıq problem.

Salam Aleykum,

Bir problem var sizinlə bölüşmək istədim.Deməli əldə olan qurğular. 1 x ASA5510, L2 switch Dell 2848, vmware virtual Servers (DC,DNS,AD,DHCP,Exchange,TMG). 4 vlan var. 5-Managemet, 10-client, 11-Guest, 20-Server, 30-DMZ.

Tələb: Guest-i ASA-dan birbaşa internete buraxmaq. Server ve Client-ləri TMG-dən internete buraxmaq. 5,10,20-ci vlanlar arasında routing yaratmaq. Remote VPN qurmaq – LDAP authentication-la və vlan 5,10,20-ə vpn-dən routing verək.

Görülən işlər: switch L2 olduğu üçün routingi ASA-da eləməli oldum.Yəni hər 3 -vlanı eyni security lavel 100 elədim və “permit between same security levels” eledim. Routing normal işləyir.

Dynamic PAT – la Guesti-i internetə çıxardım. oda normal. TMG-də static NAT olunub. Remote VPN-də işləyir LDAP-la authenticationdə.

indi məndə ASA-da 1 default route var outside-da. Client və Server Nat olmadigi üçün explorer-de proxy yazanda web sehifelere girir.amma public-də olan heç nəyi dostup yoxdu(ping,telnet və s. işləmir.) Səbəbidə bilirəm – web açılir çunki TMG-i nat olunub ASA-da. ama ping işləmir çünki Client NAT olunmayib. və ya default route TMG yox OUTSİDE interfeysdə olan DG-i yazılıb. Bilirəm ki, L3 sw olsaydi məsələ çox rahat həll olunardı, ancaq təəssüf ki, əldə olan bu qurğulardı. Client və Serveri-də Dynamic PAT eləsəm problem duzələr ancaq Proxy-nin mənası qalmayacaq :) Probləmdən çıxış kimi nə məsləhət görərdiniz?

 

Hörmətlə,

Davud Hacıyev

Səs: 0. Bəyənilsin Zəifdir

Baxılıb: 1283 dəfə

Cavablar ( 12 )

  1. Salamlar

    Başa düşdüyüm qədər sizin məsələdə problem TMG sazlamalardadır. Clientlərə TMG vasitəsilə yalnız web client kimi  icazə verilib. Həmin client ip-lərdən internetə full dostup verib yoxlaya bilərsiniz. Çox güman ki səbə budur.

  2. Salamlar,

     

    Öncəliklə xoş gəldiniz. Mövzunu oxuyuram 4-5 dəfəanaliz etməyə çalışmışam amma hələ tam fikir yaranmır, ona görə istərdim ki, məsələyə tam aydınlıq gətirək.

     

    4 ədəd vlanmız var.

     

    VLAN 5-Managemet

    VLAN 10-Client

    VLAN 11-Guest

    VLAN 20-Server

    VLAN 30-DMZ

     

    2 Ədəd Routing qabiliyyəti olan avadanlığımız var

     

    TMG

    ASA

     

    Başa düşdüyüm qədəri ilə yerdə qalan problem aşağdakı vlanların TMG üzərindən çıxarılmasına ehtiyac var.

     

    VLAN 10-Client

    VLAN 20-Server

     

    Burda 2 varinat var,

    1) Server və Clientlərə TMG Clienti qurmaq. Əgər linux və s. varsa bu metod effektiv deyil.

    2) Server və Client ucun olan trafiki tam TMG tərəfə yönəltmək və bəzi digər vlanları görməsi üçün vlanlar harda routing olunubsa statik routing yazaraq həmin vlanlar gələn paketləri digər tərəfə yönləndirmək. Çünki sizdə Default yönləndirmə ASA üzərindən çıxdığı üçün sizdə mövcud olan həmin vlanlar TMG üzərindən porxy ilə çıxa bilər.

     

    Zəhmət olmasa TMG olan serverin modelini, və Vlan dəstəkləyən swichin Ethereal Channel   dəstəkləyib dəstəkləmədiyini qeyd edin.

     

    Uğurlar

  3. Yox TMG-dən deyil. web sehife acanda brouzerde proxy yazildığı üçün default route ora gönlənir. ama məsələn ping 8.8.8.8 edendə..paket gəlir dg-ə soruşurki məni 8.8.8.8-ə nəcə gedə bilərəm. ASA-dada bir default route var. route 0.0.0.0 0.0.0.0 İSP_gateway. indi paket public-ə çıxmaq üçün yol soruşur.ASA TMG olduğunu bilmir ona gore TMG-yə yönləndirmir, ancaq yoxluyur ki, NAT varsa paketi çölə buraxsın. problemdə oduki Clienti nat elesem proxy olmadan internetde olacaq, bunada icazə yoxdu. Bu ASA-da vlan routing getdiyi üçün məsələ belə qarişib.paketi istediyim kim iyonlendirə bimirəm.

  4. Siz qeyd etdiyiniz doğrudur. Digər metod olaraq siz ehityac olan default routingi ASA-dan birbaşa TMG-yə yönəldə bilərisiniz. Sizin kənara ping atmaginiz ucun ya bütün default routingler TMG tərəfdən çıxmalıdır yada ASA tərəfdən. Porxy məsələsinə gəlincə fərq etməz TMG üzərindən əgər icazə verilmədiyi təqdirdə birbaşa çıxış əldə edə bilməz. Əgər routing olamasa siz gəlcəkdə pop3 və s kimi servislərin kənardan təmin olunmasında problem yaşayacaqsınız. Sizin istənilən şəkildə trafikinizin TMG tərəfindən analiz olunması üçün ya paketlər TMG-dən fırlanmalıdır yada ASAdakı paketlər TMG-yə yönəlməlidir.

     

    Mən başa düşdüyüm qədəri ilə siz istəyirsiniz ki default bütün paketlər TMG-dən çıxsın ?

    • Cavablarınıza görə təşəkkür edirəm.

       

      switch L2 dell 2848-di.Mənim dell sw-lərlə biraz praktikam olub.problemlidilər.Spanning-tree normal işləmir və s.Belə deyekdə onu idarə olunmayan switch kimi götürsək kifayət edər.

      Server – Dell Power Edge R610.

       

      Bəli. bütün public-e gedən paketlər TMG üzərindən ötürmək istəyirik. Bİr şeydə düşünürük onu hələ test eləməmişik.Routing-i ASA-da yox TMG-də eləmək.Belə problem aradaq qalxmalıdı.Amma istərdim ki, ASA-da routing qalmaq şərtilə problemi çözüm.

  5. Dell üzərində 4 port mövcuddur. Asan varint kimi Ethereal Channel olmadan da bu işi yoluna qoymaq mümkündür.

     

    VLAN 10-Client  tərəfi birbaşa TMG ilə eyni subnetə oturtmaq və TMG üzərində digər portlardan biri vasitəsilə (VLAN 20-Server) digər vlanla əlaqə yaratmaq, bir növü DMZ kimi. Həmin serverlərin gatewayını TMG-yə tərəf yönəltmək və yaxud  ASAda routing qalmaq şərtilə static routing daxil etmək serverlərdə.  Indiki varintda istədiyiniz server üzərində bir ədəd routing yazib test edə bilərisiniz. Amma nəzərə alın ki, istənilən şəkildə Clinetlər çox oldugu üçün onların mütləq TMG subnetində və ya TMG-yə yönləndirlməsi gərəklidir. Serverlərdə statik routing yazmaqla həll etmək olar problemi.

  6. Salam.

    1. Guest İnet access

     

    həll:

    Asa-da  vlan 11 olan subneti nat edirsen və məsləhətdi ki, bütün portları yox sadəcə 80-443  və digər lazım olani buraxasan həmin subnetə  acl ilə -təhlükısizlik üçün

    2. TMG İnet solution

     

    bir az gabarıq məsələdi ama  problem deyil

     

    həll:

    Demək belə olacaq tmg iki interface var onlardan biri üan olacaq tmg üçün digər local. deyək ki vlan 30 tmg üan subneti üçündü və sənı digər bir vlıan lazıdı ki local trafikidə asadan çatdırasan clientlərə. keçək van-a. ASA-da tmg van üçün istifadə etdiyi ip adreslərə nat edib full inet ya port based inet verirsen(acl köməyi ilə)

    clientlərdə tmg klient olmalidir mütləqdi. onlarda tmg-nin local adresini göstərməlisən porxy  ip kimi və port  təyin elədiyin. Asa-da tmg üçün iki interface configurasiya etmıli olacaqsan biri van üçün digıri Local üçün. Van inetin gateveyi olacaq ASA localda gate olmayacaq route  etməlisən lazim olan ip-ləri ASA-ya

    Ümumiyyətlə səndə default gate olacaq ASA.

    Vpn hansı istəyirsən?

    anyconnectdən istifadə edə billərsən çox yaxşı vı integrasuiya meyillidir

    sual olsa buyur

    Ugurlar

    • Ağa bey,

       

      Elə siz dediyiniz kimi ASA nastroyka olnunub. ASA-nin versiyasi 8.2-di. Bircə klientlərə TMG client yazıb yoxlamamışam.İnşallah onuda yoxlayıb nəticəni deyərəm. Allah hər birinizdən razı olsun.

      • Davud bəy,

         

        Nə üçün bütün trafiki TMG üzərinə yönəltmirsiniz. Sizin sxemdə TMG üzərin yönəltsəniz bütün trafiki problem çıxmayacaq. Müəyyən hissənin asadan çıxmasınıda təmin edə bilərsiniz.

        • Salam,

          Eslinde Elguc bey duz deyir butun trafiki yoneltsen tmg ve tmg de diger servislere paylawsin

          Buda sizə 2 qat təhlükəsizlik verəcək

          Yəni Asa başda olmaqla arxasınca TMG  cox nadir modeldi

          ASA-dan TMG kontrol olacaq tmg-də isə aşağıda dayanan servislər

          Vpn üçün radius-dan istifadə edə bilırsın AD based authentikasiya

          Bir məsələnidə qeyd edim ki burada  svitç sadəcə vlan-ı yönəltməyə istifadə olunmalı gaıan işlər  ASA-da və TMG_Də olmalı

          uğürlar

  7. Salam Dostlar,

     

    Məsələ həll olundu.Yəni sizin buyurduğunuz kimi bütün trafik TMG-dən keçəcək.Nəhayət ki, SisAdmin TMG serveri normal işə sala bildi.

    Dəstək və məsləhətlərinizə görə her birinizə minnetdaram. Allah amanında…

  8. Salam,

    yaxşı olardı ne geder ki, gec deyil softu upgrade edəsiz çunki sabah configurasiya coxalanda bunu etsez 4oxlu problemler yaşanılacaq

    en azı 9.0 yükləyin

    Uğurlar

Cavab yazın