Kwasti
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору имеется ASA 5505 хочу решить на ней несколько задач, основная их часть решена без проблем,(они решались и PIX515E, но потребовались еще интерфейсы и приобрел ASA 5505) итак перечислю все задачи. 1. обеспечить выход пользователей в интернет 2. создать и настроить зону DMZ для почтовика 3. создать бэкап соединение с интернетом 4. соединиться со вторым офисом. задачи 1 и 2 решились легко. а вот с остальными задачами проблемы... итак используется для решения задач 5 интерфейсов. 1 интерфейс основной провайдер1 используется для выхода пользователей в интернет 2 интерфейс хочу использовать как для бэкап так и для работы почтовика 3 интерфейс - ДМЗ 4 интерфейс inside сеть офиса 1 5 интерфейс inside сеть офиса 2 в офисе 2 своя инфраструктура сети, свой выход в инет и т.д. (наш холдинг состоит из нескольких компаний, котоорые объединяются вот в 1 сеть) поэтому той сетью я не рулю и только могу сотрудничать с админами той сети. провайдер нам выделил VLAN поэтому для соединения достаточно просто назначить нужные нам ИП адреса. что я сделал: (пока работай с основным провайдером) дмз пока не использую.. назначил соотв. ип на интерфейсы с соотв. секьюрити: 1,2 - секьюрити 0. 3-секьюрити 50 и 4-5 секьюрити 100 создал НАТ трансляцию адесов с офиса 1 в оутсайд основного провайдера прописал аццесс листы на интерфейс оутсайд и интерфейс офиса 1 прописал роут 0.0.0.0 на оутсайд интерфейсе на гейт провайдера. на этом основное конфигурирование закончено...выход в инет есть... далее соединяемся с офисом 2.. на интерфесе в офис 2 прописываем нужную ИП теперь осталось добавить роут говоримм АСА что сети 10.0.0.0 находятся за маршрутизатором офиса 2. в свою очередь на маршрутезаторе в офисе 2 прописывают мою сеть...вроде как все в порядке..но это в теории... на практике получилось следующее: (забыл упомянуть пинги все разрешены как на интерфейсах так и в аццесс листах) пинг с АСА шлюза офиса 2 проходит.. пинг с АСА любой раб. станции сети офиса 2 проходит... а вот пинг с любой тачки(маршрутизатора) офиса 2 на любую тачку офиса 1 - тишина.. пинг с любой тачки офиса 1 любой ип офиса 2 (комп или маршрутизатор) не проходит.. пробовал ставить на интерфейс котрый смотрит в офис 2 обычный комп и пытался его пропинговать т.е это фактически как пинговать ИП ДМЗ зоны...не получилось. маршрутизации м/у inside зонами нет. как настроить не понимаю... когда ставил тачку во 2-й интерфейс, то пробовал даж из одной зоны inside в другую и обратно создавать статический нат (м/у 192.168.1.0/24 и 10.0.1.0/24) тоже не помогло.. еще раз скажу провайдер нам выделил отдельный VLAN для связи м/у офисами ----------------------------------- пробовали вариант в котором на шлюзе офиса2 прописывали ИП из области офиса1 192,168,1,254 и на АСА прописать маршрут ято сеть 10,0,0,0 нах-ся за шлюзом 192,168,1,254 в этом случаю тоже с циски пинг идет отлично, а вот с рабочих компов пинг шел только если на них указать любо шлюзом по умолчанию роутер офиса 2, что мне совсем не нравится. т.к я им рулить не могу и любые другие маршруты свои мне придется рулить ч/з других, или выполнить на компе команду route add и т.д... но это вариант тоже не нравится т.к. раб. станций много..и если что то поменяется , то нужно менятьна всех компах. что не очень удобно. про этот вариант я позже прочитал что на пиксах (не знаю как на аса) для такой работы нужно использовать именно роутер в качестве шлюза по умолчанию...чт мне не подходит.. подскажите что я сделал не так или чего не сделал так? ------------------------------------------- и второй вопрос как организовать чтобы второго провайдера можно было использовать для работы почтовика, но в то же время чтобы он был еще и резервным для пользователей офиса1 я пробовал так: создал еще 1 роут 0.0.0.0 на гейт второго провайдера с метрикой 2 и при помощи НАТ отправлял почтовик на второго провайдера.. НО: пакет попадая в циску видел что для выхода в инет надо идти на гейт основного провайдера..он имеет метрику 1...а по правилам НАТ туда ему дорги не было...получился тупик. |