Всем привет!
Возникла проблема следующего плана.
У нас холдинг, в нем 4 конторы. У всех свои ИТ отделы, а когда то все было одно
Ну так вот.
Сотрудник моей компании едет в учебный класс другой компании и там подключается к гостевому wifi у которго доступ в локалку закрыт, а открыт только инет. У них 3 оператора связи, которые предоставляют им выход в инет, один из которых соединяет наши площадки оптикой.
И так. Юзер подключившись к wifi пытается получить доступ к нашему порталу, которому сделан доступ из внешней сети интернет.
В ответ он получает
Вобщем доступа к порталу НЕТ.
В процессе мониторинга понял, что запрос встает на ASA площадки 2.
Трасировка с этого ноута
C:\Users\>tracert portal.domen.ruТрассировка маршрута к portal.domen.ru [99.99.187.217]
с максимальным числом прыжков 30:
1 1 ms 1 ms 1 ms 10.128.129.1
2 4 ms 6 ms 3 ms 10.0.1.89
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * ^C
C:\Users\>tracert mail.ru
Трассировка маршрута к mail.ru [94.100.180.201]
с максимальным числом прыжков 30:
1 1 ms 2 ms 3 ms 10.128.129.1
2 38 ms 2 ms 3 ms 10.0.1.89
3 4 ms 1 ms 1 ms 10.0.1.22
4 8 ms 13 ms 4 ms 99.99.158.41
5 8 ms 7 ms 6 ms 62.141.78.61
6 7 ms 7 ms 7 ms cat15.Moscow.gldn.net [194.186.156.74]
7 7 ms 7 ms 7 ms cat15.Moscow.gldn.net [194.186.156.74]
8 9 ms 6 ms 8 ms ^C
На циске 3750 площадки 1 есть маршрут S 99.99.187.208/28 via 172.16.3.2 это маршрут который соединяет наши площадки оптикой.
На циске 3750 площадки 2 есть маршрут E2 99.99.187.208/28 via 10.0.0.41 это маршрут на мою ASA. Вот что в ней надо добавить, чтобы белый ip портала занатился и прыгнул на сервак. Если из дома я подключаюсь, доступ к порталу получаю без проблем. Т.е. прыгаю на ASA, на ней есть правила
access-list outside_access_in line 54 extended permit tcp any host 99.99.187.217 eq www (hitcnt=11466) 0xe3fc7755
access-list outside_access_in line 55 extended permit tcp any host 99.99.187.217 eq https (hitcnt=19884) 0x96d24eed
потом внешний ип натируется и прыгает на внутренний адрес самого сервера.
Вот может из за того, что аса не перенаправляет на сервер где происходит nat затык и происходит?
Схему подключения нарисовал, чтобы наглядней выглядело. http://s48.radikal.ru/i119/1410/8d/2f67ecb7f7a3.jpg
В dmz стоит сервер на линуксе, на нем происходит NAT
Так вот, на нем включил tcpdump и пакеты icmp до NAT сервера не доходили.
На ASA добавил правило static (inside,dmz) 10.128.129.0 10.128.129.0 netmask 255.255.255.0
Теперь icmp приходят на NAT сервер, но icmp пакеты не возвращаются на устройство с которого пингуют.
На ASA надо еще что то добавить чтобы мой портал нормально пинговался и появилсядоступ к моему порталу?
Буду рад помощи.
Заранее спасибо!
Вариант для распечатки
on 21-Окт-14, 01:47 
