Hirdetés

Keresés

Új hozzászólás Aktív témák

  • crok

    Topikgazda

    válasz zsolti.22 #8815 üzenetére

    Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.

    De pl. ehhez nem látok policy-map-et:
    zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
    service-policy type inspect VOIP_TO_OUTSIDE
    << ilyen policy-map-et nem látok

    A jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.

    Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec - az IOS sajnos minden PR fogása ellenére se tud inspect-elni ilyen forgalmat és a pass csak egy irányt enged, nincs meg az inspect által adott visszatérő forgalmat engedő ACE:

    policy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
    class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
    pass log
    class class-default
    drop log

    policy-map type inspect OUTSIDE_TO_SELF
    class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
    pass
    class class-default
    drop log

    Drop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.

    Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.

    Ezek után csinálnék Wireshark-ot (mindkét oldalon) ha nem megy - hogy mi merre megy, mi érkezik meg és mi nem.

Új hozzászólás Aktív témák