Страница 1 из 1
увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 12 мар 2019, 17:36
qbk
Доброго дня, коллеги.
Настроен l2tp ipsec между cisco asa и микротиком rb750gr3.
В роли сервера соответственно asa (белый стат ip), клиенты за микротами. (сервый ip у ммикрота на wan от провайдера)
И вот возник вопрос, кто из сети за cisco asa не видит пк которые находятся за микротами.
Вот хотел уточнить, понятно что необходимо показывать конфиги и т.д., но в теории реально ли сделать что бы пк с обоих сторон видели друг друга ?
Пока чтор те кто за микротом видят подсети что за cisco asa, но не в обратную сторону.
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 12 мар 2019, 17:44
algerka
qbk писал(а): ↑12 мар 2019, 17:36
реально ли сделать что бы пк с обоих сторон видели друг друга ?
Конечно можно.
На всякий случай проверьте что не забыли на асе:
1. добавить разрешение из inside для локалки на локалку за микротиком ?
2. маршрут для сети которая за микротиком через шлюз провайдера что на асе ?
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 12 мар 2019, 18:11
qbk
Благодарю Вас за быстрый ответ.
Но что-то никак не могу понять
Код: Выделить всё
sh vpn-sessiondb ra-ikev1-ipsec
Session Type: IKEv1 IPsec
Username : IRKUTSK Index : 2825
Assigned IP : 10.254.202.95 Public IP : х.х.х.х
Protocol : IKEv1 IPsec L2TPOverIPsec
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsec: (1)AES256 L2TPOverIPsec: (1)none
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1 L2TPOverIPsec: (1)none
Bytes Tx : 317744445 Bytes Rx : 99327169
Group Policy : L2TP_IPSEC Tunnel Group : DefaultRAGroup
Login Time : 19:32:36 MSK/MSD Mon Mar 11 2019
Duration : 22h:31m:44s
Username : VLADIVOSTOK Index : 2830
Assigned IP : 10.254.202.94 Public IP : y.y.y.y
Protocol : IKEv1 IPsecOverNatT L2TPOverIPsecOverNatT
License : Other VPN
Encryption : IKEv1: (1)AES256 IPsecOverNatT: (1)AES256 L2TPOverIPsecOverNatT: (1)none
Hashing : IKEv1: (1)SHA1 IPsecOverNatT: (1)SHA1 L2TPOverIPsecOverNatT: (1)none
Bytes Tx : 45282264 Bytes Rx : 18160535
Group Policy : L2TP_IPSEC Tunnel Group : DefaultRAGroup
Login Time : 19:32:33 MSK/MSD Mon Mar 11 2019
Duration : 22h:31m:47s
У одного ip за микротиком 10.1.0.0/24 у другого региона 10.1.1.0/24 при этом сами понимаете Assigned IP : 10.254.202.95 каждый раз при разрыве и переподключении будет другим.
Так же Public IP : y.y.y.y, не значит что микрот имеет на wan ip y.y.y.y , ip на wan так же серый.
Acl на asa разрешено, но никакого маршрута соответственно нет в те подсети, потому что route 10.1.0.0 255.255.255.0 и тут вопрос какой хоп то писать ? Ответ какой бы я не написал он ничего не знает о сетях 10.1.0.0.
Отсюда просьба подсказать может я что не понимаю по маршрутизации, что необходимо ?
Если
Код: Выделить всё
маршрут для сети которая за микротиком через шлюз провайдера что на асе
Вот ушёл пакет с назначением 10.1.0.90 к примеру на шлюз что на асе к примеру 7.7.7.7, дальше шлюз то где будет искать если он знает только куча Assigned IP и public ip которые в свою очередь ничего не знаю про 10.1.0.0.
Я думал что все работает из за микротика до asa как бы оверлоадом и никак более. Возможно не правильно, то прошу подсказать, учиться никогда не поздно.
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 13 мар 2019, 18:16
qbk
algerka
Cоглашусь с Вашей подсказкой. Был не прав.
Если напрямую вкл usb в ноутбук, то с asa пинг идет до Assigned IP.
Если в микротик, то пакеты вижу что прилетают, но он не отвечает. Похоже копать буду в сторону доступа из вне.
А так извините Ваш вариант как заставлю пинговать с asa ip микрота, останется маршрут и все тип топ должно быть.
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 14 мар 2019, 12:44
qbk
Коллеги доброго дня.
Что-то я уже пол дня копаюсь и никак не могу понять как необходимо правильно сделать.
Микротик через usb модем подключается к asa.
ПК за микротом видят сеть за asa, в обратную сторону нет. (c asa не видно даже ip микрота полученного из l2tp пула)
Подключал usb напрямую к ноутбуку все ок, с asa виден ip который получил нотубук из l2tp пула.
Код: Выделить всё
/interface bridge
add name=LAN
/interface lte
set [ find ] mac-address=58:2C:80:13:92:63 name=lte1
/interface l2tp-client
add allow=chap,mschap2 connect-to=177.77.77.77 disabled=no ipsec-secret=***** name=l2tp-out1 password=***** use-ipsec=yes user=TEST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
/ip pool
add name=pool-LAN ranges=10.10.131.12-10.10.131.99
/ip dhcp-server
add address-pool=pool-LAN disabled=no interface=LAN name=lan-dhcp
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
/ip address
add address=10.10.131.250/24 interface=LAN network=10.10.131.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=lte1
/ip dhcp-server network
add address=10.10.131.0/24 dns-server=10.10.131.250 gateway=10.10.131.250
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=icmp-ok protocol=icmp
add action=accept chain=output comment=icmp-ok2 protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24
/ip route
add distance=1 dst-address=10.1.0.0/24 gateway=l2tp-out1
на микроте с свойствах l2tp
local address 10.254.202.128 (ip из пула l2tp сервера)
remote address 177.77.77.77 (внешний ip asa)
Может будет время подсказать. Маршрут прописать но никак не пойму как правильно.
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 14 мар 2019, 13:13
algerka
В первом сообщении, я не внимательно прочел, подумав что у вас ipsec, а у вас l2tp. Тут все по другому.
qbk писал(а): ↑14 мар 2019, 12:44
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24
Вы понимаете назначение этого правила ?
Раз вы говорите что с хостов за микротиком хосты за аса пингуются, значит туннель поднимается
Видимо стоит проверить маршрутизацию и списки доступа на asa.
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 14 мар 2019, 13:28
qbk
Вопрос основной пока у меня вот в чем
Код: Выделить всё
Подключал usb напрямую к ноутбуку все ок, с asa виден ip который получил нотубук из l2tp пула.
Отсюда вывод что на asa все ок.
Но с Вами то же соглашусь, с пк за микротиками видно пк за asa.
Но я подумал как
1) добиться что бы asa видела ip который получает микротик из пула l2tp
2) (Ваше предположение) на asa сделать маршрут к примеру 10.10.131.0 255.255.255.0 и хоп ip микрота который получен из пула l2tp. А далее микрот уже сам должен искать есть такой пк в его LAN иль нет.
Не верные мысли ?
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 14 мар 2019, 13:58
algerka
Вы не ответили на мой вопрос, а это ключевой момент. Если за asa сеть 10.1.0.0/24, то на микротике маршрут на неё настроен.
Считаете, что у вас все ок на asa - значит все работает. Удачи !
Re: увидеть ПК по обе стороны cisco asa - микротик 750
Добавлено: 14 мар 2019, 15:11
qbk
значение правила
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT src-address=10.10.131.0/24
Это сеть которая находится за микротиком. Для нее настроен NAT.
За asa да все верно 10.1.0.0
Считаете, что у вас все ок на asa - значит все работает. Удачи !
Не совсем Вас понял. Я только сказал что при включениии usb в ноутбук напрямую, с asa виден ip который получает ноутбук от пула l2tp.
А когда в микротик то с asa ip уже не отвечает.
Пока занялся проверкой маршрутов на asa и acl