Недоступен inside интерфейс Cisco ASA внутри IPSEC

При интеграции нового шлюза в офисе в виде Cisco asa 5505 столкнулся с проблемой — сервер мониторинга и сбора конфигов, расположенный в ЦОДе, не смог подключиться к шлюзу по inside адресу. Связь офиса с ЦОДом осуществляется при помощи классического L2L IPSEC.
За подробностями — под кат

Для примера, изображу такую топологию, чтобы передать суть

(кликабельно)

Как описывал, не могу ни пропинговать, ни открыть ssh с 10.10.10.10 до 192.168.0.1

При этом до 192.168.0.10 достучаться могу…

Маршруты на роутерах по дефолту в интернет, в сторону ЦОДа и обратно nonat.

Настройки crypto-map (разумеется зеркальны на 2х роутерах, проблема не в них)

access-list IPSEC extended permit ip 10.10.10.0 255.255.255.0 192.168.0.0 255.255.255.0

Настройки доступа из удаленной сети прописаны:

ssh 10.10.10.0 255.255.255.0 INSIDE

Пинг на inside разрешен:

icmp permit any INSIDE

Два дня я безуспешно пытался справиться своими силами, гугление не дало результата, в итоге обратился за помощью к старшему товарищу RayC

Изучив мои конфиги, он предположил, что это, вероятнее всего, баг, т.к. он слышал именно о таких багах, и обход варьируется от версии IOS к версии.

Так и оказалось.

Оказалось, что в ASA Version 9.2(4) этот баг обходится следующим образом — надо попросить ASA посмотреть в таблицу маршрутизации перед тем, как она сделает NAT, т.е. прописать в нате route-lookup:

nat (OUTSIDE,INSIDE) source static net-10.10.10.0 net-10.10.10.0 destination static net-192.168.0.0 net-192.168.0.0 route-lookup

Да, без данного указания ASA не знала куда отправлять пакет адресованный для её же внутреннего интерфейса.

Удачи и терпения.

P.S. Данный способ был проверен на 9.2(4), в других версиях софта либо нет такого бага, либо обход иной.

0

Добавить комментарий

Ваш e-mail не будет опубликован.