Új hozzászólás Aktív témák

• #8817 crok Topikgazda zsolti.22 #8815

  Új Válasz 2015-06-24 21:46:23 #8817

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  crok

  Topikgazda

  válasz zsolti.22 #8815 üzenetére

  Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.

  De pl. ehhez nem látok policy-map-et:
  zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
  service-policy type inspect VOIP_TO_OUTSIDE << ilyen policy-map-et nem látok

  A jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.

  Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec - az IOS sajnos minden PR fogása ellenére se tud inspect-elni ilyen forgalmat és a pass csak egy irányt enged, nincs meg az inspect által adott visszatérő forgalmat engedő ACE:

  policy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
  class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
  pass log
  class class-default
  drop log
  
  policy-map type inspect OUTSIDE_TO_SELF
  class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
  pass
  class class-default
  drop log

  Drop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.

  Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.

  Ezek után csinálnék Wireshark-ot (mindkét oldalon) ha nem megy - hogy mi merre megy, mi érkezik meg és mi nem.

Új hozzászólás Aktív témák