форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA 5510 static nat"		+/–
Сообщение от des (??) on 15-Мрт-10, 12:16
Добрый день! ПОмогите разобраться, пожалуйста. Ситуация в следующем, есть два устройства Sprinter TX-10 (это мультиплексор для передачи потока E1 по IP сети...), которые нужно связать. Устройство Sprinter1 имеет реальный IP адрес (например 1.2.3.4), а устройство Sprinter2 находится за Cisco ASA 5510, в dmz в IP 192.168.21.10/29. Устройства связываются по sip и передают данные по портам 41000 и 41001. Для работы я сделал следующее: 1. Разрешил весь входящий трафик с IP 1.2.3.4 на outside интерфейс. access-list ACL_INT_O extended permit ip host 1.2.3.4 interface outside access-list ACL_INT_O extended permit ip host 1.2.3.4 any (access-list - ы на интерфейсы подключаются только как IN). 2. Разрешил весь входящий трафик с IP 192.168.21.10 на интерфейс dmz20. access-list ACL_INT_D20 extended permit ip any any 3. Прописал static: static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255 static (dmz20,outside) udp interface 41000 192.168.21.10 41000 netmask 255.255.255.255 static (dmz20,outside) udp interface 41001 192.168.21.10 41001 netmask 255.255.255.255 устройства не видят друг-друга.... гляжу пакеты проходящие через интерфейс dmz20: sh capture capture dmz type raw-data packet-length 9216 trace interface dmz20 sh capture dmz 1: 14:45:41.127328 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252 2: 14:45:41.128762 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250 3: 14:45:42.129311 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252 4: 14:45:42.130486 802.1Q vlan#20 P0 1.2.3.4.5060 > 192.168.21.10.5060:  udp 250 5: 14:45:43.130989 802.1Q vlan#20 P6 192.168.21.10.5060 > 1.2.3.4.5060:  udp 252 пакеты по sip ходят туда обратно, на outside интерфейсе тоже вижу эти пакеты.... инспектирование sip отключено. packet-tracer выдает странное. Исходящее соединение пропускает: 1. packet-tracer input dmz20 udp 192.168.21.10 sip 1.2.3.4 sip Result: ALLOW А в обратную сторону - нет. 2. packet-tracer input outside udp 1.2.3.4 sip 192.168.21.10 sip Result: DROP Phase: 7 Type: NAT Subtype: rpf-check Result: DROP Config: static (dmz20,outside) udp interface sip 192.168.21.10 sip netmask 255.255.255.255   match udp dmz20 host 192.168.21.10 eq 5060 outside any     static translation to 1.2.3.4/5060     translate_hits = 0, untranslate_hits = 3 В связи со всем вышеперечисленным, два вопроса: 1. Что я недонастроил? 2. Почему packet-tracer себя так ведет? (ведь я же в capture вижу что пакет реально проходит...).
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ASA 5510 static nat"		+/–
Сообщение от des (??) on 18-Мрт-10, 11:36
На второй вопрос возможно нашел ответ: http://www.networking-forum.com/viewtopic.php?t=11846 Oh yeah, haha, packet-tracer is notoriously bad at accurately reflecting security policy especially when dealing with NAT. While it's a great tool sometimes, other times it can completely throw you off. I had an ASA once where I was planning to migrate a live site too, I wanted to check the security policy before the go-live so I used packet-tracer and was running into this weird "problem" where it was claiming to not follow the configuration properly. I ended up cutting a ticket with Cisco and they said something to the effect of "Yeah, packet-tracer sometimes doesn't work. Your configuration is right though, so just test it with live traffic." Sure enough, it did work. Moral of the story = Don't trust packet-tracer
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Cisco ASA 5510 static nat"		+/–
	Сообщение от des (??) on 18-Мрт-10, 13:27
	Засунул захваченный на выходе outside интерфейса трафик в wireshark, вижу следующее: NAT отработал как надо, а вот на уровне SIP, точнее SDP вижу, что в полях: 1. owner/creator - owner address: 192.168.21.10 2. connection information - connection address: 192.168.21.10 может ли "cisco asa" на уровне SIP поменять этот адрес на реальный?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Cisco ASA 5510 static nat"		+/–
	Сообщение от Ramon (ok) on 22-Апр-10, 11:09
	>Засунул захваченный на выходе outside интерфейса трафик в wireshark, вижу следующее: >NAT отработал как надо, а вот на уровне SIP, точнее SDP вижу, >что в полях: >1. owner/creator - owner address: 192.168.21.10 >2. connection information - connection address: 192.168.21.10 > >может ли "cisco asa" на уровне SIP поменять этот адрес на реальный? > Есть два варианта решения. 1. Если устройство Sprinter2 умеет работать за NAT в нем нужно указать публичный адрес NAT в специальном поле. 2. Нужно SBC это такой специальный NAT который не только "переворачивает" адрес в заголовке SIP пакета, но и "переворачивает" адрес в самой сигнализации SIP (внутри пакета). Фирменные решения стоят "как дым от паравоза". Бесплатно см OpenSBC.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Cisco ASA 5510 static nat"		+/–
	Сообщение от des (??) on 23-Апр-10, 13:13
	> >Есть два варианта решения. > >1. Если устройство Sprinter2 умеет работать за NAT в нем нужно указать >публичный адрес NAT в специальном поле. > >2. Нужно SBC это такой специальный NAT который не только "переворачивает" адрес >в заголовке SIP пакета, но и "переворачивает" адрес в самой сигнализации >SIP (внутри пакета). >Фирменные решения стоят "как дым от паравоза". Бесплатно см OpenSBC. спасибо за ответ :) не нашел такого поля... пришлось выделить реальный адрес.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема