Cisco ASA 5510-da qarışıq problem.
Salam Aleykum,
Bir problem var sizinlə bölüşmək istədim.Deməli əldə olan qurğular. 1 x ASA5510, L2 switch Dell 2848, vmware virtual Servers (DC,DNS,AD,DHCP,Exchange,TMG). 4 vlan var. 5-Managemet, 10-client, 11-Guest, 20-Server, 30-DMZ.
Tələb: Guest-i ASA-dan birbaşa internete buraxmaq. Server ve Client-ləri TMG-dən internete buraxmaq. 5,10,20-ci vlanlar arasında routing yaratmaq. Remote VPN qurmaq – LDAP authentication-la və vlan 5,10,20-ə vpn-dən routing verək.
Görülən işlər: switch L2 olduğu üçün routingi ASA-da eləməli oldum.Yəni hər 3 -vlanı eyni security lavel 100 elədim və “permit between same security levels” eledim. Routing normal işləyir.
Dynamic PAT – la Guesti-i internetə çıxardım. oda normal. TMG-də static NAT olunub. Remote VPN-də işləyir LDAP-la authenticationdə.
indi məndə ASA-da 1 default route var outside-da. Client və Server Nat olmadigi üçün explorer-de proxy yazanda web sehifelere girir.amma public-də olan heç nəyi dostup yoxdu(ping,telnet və s. işləmir.) Səbəbidə bilirəm – web açılir çunki TMG-i nat olunub ASA-da. ama ping işləmir çünki Client NAT olunmayib. və ya default route TMG yox OUTSİDE interfeysdə olan DG-i yazılıb. Bilirəm ki, L3 sw olsaydi məsələ çox rahat həll olunardı, ancaq təəssüf ki, əldə olan bu qurğulardı. Client və Serveri-də Dynamic PAT eləsəm problem duzələr ancaq Proxy-nin mənası qalmayacaq 
Probləmdən çıxış kimi nə məsləhət görərdiniz?
Hörmətlə,
Davud Hacıyev
Baxılıb: 1615 dəfə
Cavablar ( 12 )
Salamlar
Başa düşdüyüm qədər sizin məsələdə problem TMG sazlamalardadır. Clientlərə TMG vasitəsilə yalnız web client kimi icazə verilib. Həmin client ip-lərdən internetə full dostup verib yoxlaya bilərsiniz. Çox güman ki səbə budur.
Salamlar,
Öncəliklə xoş gəldiniz. Mövzunu oxuyuram 4-5 dəfəanaliz etməyə çalışmışam amma hələ tam fikir yaranmır, ona görə istərdim ki, məsələyə tam aydınlıq gətirək.
4 ədəd vlanmız var.
VLAN 5-Managemet
VLAN 10-Client
VLAN 11-Guest
VLAN 20-Server
VLAN 30-DMZ
2 Ədəd Routing qabiliyyəti olan avadanlığımız var
TMG
ASA
Başa düşdüyüm qədəri ilə yerdə qalan problem aşağdakı vlanların TMG üzərindən çıxarılmasına ehtiyac var.
VLAN 10-Client
VLAN 20-Server
Burda 2 varinat var,
1) Server və Clientlərə TMG Clienti qurmaq. Əgər linux və s. varsa bu metod effektiv deyil.
2) Server və Client ucun olan trafiki tam TMG tərəfə yönəltmək və bəzi digər vlanları görməsi üçün vlanlar harda routing olunubsa statik routing yazaraq həmin vlanlar gələn paketləri digər tərəfə yönləndirmək. Çünki sizdə Default yönləndirmə ASA üzərindən çıxdığı üçün sizdə mövcud olan həmin vlanlar TMG üzərindən porxy ilə çıxa bilər.
Zəhmət olmasa TMG olan serverin modelini, və Vlan dəstəkləyən swichin Ethereal Channel dəstəkləyib dəstəkləmədiyini qeyd edin.
Uğurlar
Yox TMG-dən deyil. web sehife acanda brouzerde proxy yazildığı üçün default route ora gönlənir. ama məsələn ping 8.8.8.8 edendə..paket gəlir dg-ə soruşurki məni 8.8.8.8-ə nəcə gedə bilərəm. ASA-dada bir default route var. route 0.0.0.0 0.0.0.0 İSP_gateway. indi paket public-ə çıxmaq üçün yol soruşur.ASA TMG olduğunu bilmir ona gore TMG-yə yönləndirmir, ancaq yoxluyur ki, NAT varsa paketi çölə buraxsın. problemdə oduki Clienti nat elesem proxy olmadan internetde olacaq, bunada icazə yoxdu. Bu ASA-da vlan routing getdiyi üçün məsələ belə qarişib.paketi istediyim kim iyonlendirə bimirəm.
Siz qeyd etdiyiniz doğrudur. Digər metod olaraq siz ehityac olan default routingi ASA-dan birbaşa TMG-yə yönəldə bilərisiniz. Sizin kənara ping atmaginiz ucun ya bütün default routingler TMG tərəfdən çıxmalıdır yada ASA tərəfdən. Porxy məsələsinə gəlincə fərq etməz TMG üzərindən əgər icazə verilmədiyi təqdirdə birbaşa çıxış əldə edə bilməz. Əgər routing olamasa siz gəlcəkdə pop3 və s kimi servislərin kənardan təmin olunmasında problem yaşayacaqsınız. Sizin istənilən şəkildə trafikinizin TMG tərəfindən analiz olunması üçün ya paketlər TMG-dən fırlanmalıdır yada ASAdakı paketlər TMG-yə yönəlməlidir.
Mən başa düşdüyüm qədəri ilə siz istəyirsiniz ki default bütün paketlər TMG-dən çıxsın ?
Cavablarınıza görə təşəkkür edirəm.
switch L2 dell 2848-di.Mənim dell sw-lərlə biraz praktikam olub.problemlidilər.Spanning-tree normal işləmir və s.Belə deyekdə onu idarə olunmayan switch kimi götürsək kifayət edər.
Server – Dell Power Edge R610.
Bəli. bütün public-e gedən paketlər TMG üzərindən ötürmək istəyirik. Bİr şeydə düşünürük onu hələ test eləməmişik.Routing-i ASA-da yox TMG-də eləmək.Belə problem aradaq qalxmalıdı.Amma istərdim ki, ASA-da routing qalmaq şərtilə problemi çözüm.
Dell üzərində 4 port mövcuddur. Asan varint kimi Ethereal Channel olmadan da bu işi yoluna qoymaq mümkündür.
VLAN 10-Client tərəfi birbaşa TMG ilə eyni subnetə oturtmaq və TMG üzərində digər portlardan biri vasitəsilə (VLAN 20-Server) digər vlanla əlaqə yaratmaq, bir növü DMZ kimi. Həmin serverlərin gatewayını TMG-yə tərəf yönəltmək və yaxud ASAda routing qalmaq şərtilə static routing daxil etmək serverlərdə. Indiki varintda istədiyiniz server üzərində bir ədəd routing yazib test edə bilərisiniz. Amma nəzərə alın ki, istənilən şəkildə Clinetlər çox oldugu üçün onların mütləq TMG subnetində və ya TMG-yə yönləndirlməsi gərəklidir. Serverlərdə statik routing yazmaqla həll etmək olar problemi.
Salam.
1. Guest İnet access
həll:
Asa-da vlan 11 olan subneti nat edirsen və məsləhətdi ki, bütün portları yox sadəcə 80-443 və digər lazım olani buraxasan həmin subnetə acl ilə -təhlükısizlik üçün
2. TMG İnet solution
bir az gabarıq məsələdi ama problem deyil
həll:
Demək belə olacaq tmg iki interface var onlardan biri üan olacaq tmg üçün digər local. deyək ki vlan 30 tmg üan subneti üçündü və sənı digər bir vlıan lazıdı ki local trafikidə asadan çatdırasan clientlərə. keçək van-a. ASA-da tmg van üçün istifadə etdiyi ip adreslərə nat edib full inet ya port based inet verirsen(acl köməyi ilə)
clientlərdə tmg klient olmalidir mütləqdi. onlarda tmg-nin local adresini göstərməlisən porxy ip kimi və port təyin elədiyin. Asa-da tmg üçün iki interface configurasiya etmıli olacaqsan biri van üçün digıri Local üçün. Van inetin gateveyi olacaq ASA localda gate olmayacaq route etməlisən lazim olan ip-ləri ASA-ya
Ümumiyyətlə səndə default gate olacaq ASA.
Vpn hansı istəyirsən?
anyconnectdən istifadə edə billərsən çox yaxşı vı integrasuiya meyillidir
sual olsa buyur
Ugurlar
Ağa bey,
Elə siz dediyiniz kimi ASA nastroyka olnunub. ASA-nin versiyasi 8.2-di. Bircə klientlərə TMG client yazıb yoxlamamışam.İnşallah onuda yoxlayıb nəticəni deyərəm. Allah hər birinizdən razı olsun.
Davud bəy,
Nə üçün bütün trafiki TMG üzərinə yönəltmirsiniz. Sizin sxemdə TMG üzərin yönəltsəniz bütün trafiki problem çıxmayacaq. Müəyyən hissənin asadan çıxmasınıda təmin edə bilərsiniz.
Salam,
Eslinde Elguc bey duz deyir butun trafiki yoneltsen tmg ve tmg de diger servislere paylawsin
Buda sizə 2 qat təhlükəsizlik verəcək
Yəni Asa başda olmaqla arxasınca TMG cox nadir modeldi
ASA-dan TMG kontrol olacaq tmg-də isə aşağıda dayanan servislər
Vpn üçün radius-dan istifadə edə bilırsın AD based authentikasiya
Bir məsələnidə qeyd edim ki burada svitç sadəcə vlan-ı yönəltməyə istifadə olunmalı gaıan işlər ASA-da və TMG_Də olmalı
uğürlar
Salam Dostlar,
Məsələ həll olundu.Yəni sizin buyurduğunuz kimi bütün trafik TMG-dən keçəcək.Nəhayət ki, SisAdmin TMG serveri normal işə sala bildi.
Dəstək və məsləhətlərinizə görə her birinizə minnetdaram. Allah amanında…
Salam,
yaxşı olardı ne geder ki, gec deyil softu upgrade edəsiz çunki sabah configurasiya coxalanda bunu etsez 4oxlu problemler yaşanılacaq
en azı 9.0 yükləyin
Uğurlar