The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Маршрутизация"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Маршрутизация"  +/
Сообщение от pogreb (ok), 18-Май-23, 16:21 
Всем привет!
Возвращаюсь к своему не решенному вопросу.

Итак, крупная схема сети по ссылке
https://dropmefiles.com/PcSOp

Задача:
1. трафик к внутренним сетям ходил по красной линии
2. трафик к внешним сервисам ходил по синей линии

Все оборудование слева о CORE это DMZ зона, которая толком не используется из-за внедрения FortiGate
Единственное, что осталось рабочим так это VPN, который так же в будущем должен приземляться на FortiGate.

На CORE я пока PBR отключил для vlan437 (сеть 10.43.79.0/24), так  как в эталонной сети, где будут юзеры сидеть PBR не должен использоваться.
Для сети 10.43.79.0/24 опцию DHCP 252 отключил.
Винда Win10 Pro, в настройках прокси снял все флаги, в том числе и автоматическое определение параметров прокси сервера.

На FortiGate в VDOM PROXY я сделал правило для блокировки трафика от сети 10.43.79.0/24
На FortiGate в VDOM ROOT я с делал правило, которое разрешает ВСЕ, поднял в самый верх

Что имею после всех манипуляций. Внутренние ресурсы не доступны, ни 1С ни Портал. Интернета нет вообще.
Захватываю трафик c помощью Wireshark (не сильный в нем спец), и вижу, что мой ПК общается исключительно с 10.3.0.244 (это VDOM PROXY).

Я откровенно не понимаю каким маршрутом оперирует cisco 3850 Core, когда я со своего ПК (10.43.79.2) пытаюсь открыть ya.ru. На Core дефолтный маршрут  0.0.0.0/10.0.1.41  это ASA. На ASA нет никаких отдельных правил для адресов 10.3.0.244 и 10.3.0.130
И в моем понимании маршрут до внутренних сервисов должен обеспечиваться интервланроутингом на CORE, так как шлюзы сетей 10.43.79.0 и  10.45.5.0 живут на CORE

vtz-asa5510# sh run | i 10.3.0.
access-list outside_access_in extended permit ip 10.33.0.0 255.255.0.0 10.3.0.0 255.255.255.0
access-list outside_access_in extended permit tcp 10.0.0.0 255.255.255.240 host 10.3.0.10 eq 3389
access-list outside_access_in extended permit ip 10.33.111.0 255.255.255.0 host 10.3.0.12
access-list outside_access_in extended permit tcp host 10.0.1.46 host 10.3.0.23 range 1645 1646
access-list outside_access_in extended permit udp host 10.0.1.46 host 10.3.0.23 range radius radius-acct
access-list outside_access_in extended permit tcp host 10.0.1.46 host 10.3.0.23 range 1812 1813
access-list outside_access_in extended permit ip host 10.0.1.46 host 10.3.0.23
access-list outside_access_in extended permit ip 10.55.33.0 255.255.255.0 10.3.0.0 255.255.255.0
access-list outside_access_in extended permit ip host 10.0.1.46 host 10.3.0.54
access-list outside_access_in extended permit tcp any host 10.3.0.12 eq https
access-list outside_access_in extended permit tcp any host 10.3.0.28 eq https
access-list outside_access_in extended permit ip 192.168.40.0 255.255.255.0 10.3.0.0 255.255.255.0
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.9 eq 8818
access-list outside_access_in extended permit udp host 10.0.1.46 host 10.3.0.9 eq 8818
access-list outside_access_in extended permit tcp host 10.0.1.46 host 10.3.0.123 range 1645 1646
access-list outside_access_in extended permit udp host 10.0.1.46 host 10.3.0.123 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.77 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.123 range radius radius-acct
access-list outside_access_in extended permit ip host 10.0.1.46 host 10.3.0.123
access-list outside_access_in extended permit ip 10.33.66.0 255.255.255.0 host 10.3.0.123
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.40 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.51 host 10.3.0.40 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.16 eq 9996
access-list outside_access_in extended permit udp host 10.55.33.0 host 10.3.0.16 eq 9996
access-list outside_access_in extended permit udp host 10.0.1.50 host 10.3.0.23 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.51 host 10.3.0.23 range radius radius-acct
access-list outside_access_in extended permit udp host 10.0.1.51 host 10.3.0.34 range radius radius-acct
access-list dmz_access_in extended permit udp host 95.66.187.220 host 10.3.0.12 eq domain
static (inside,outside) 10.3.0.0 10.3.0.0 netmask 255.255.255.0
static (inside,info) 10.3.0.0 10.3.0.0 netmask 255.255.255.0
static (inside,outside) 10.3.0.12 10.3.0.12 netmask 255.255.255.255
http 10.3.0.4 255.255.255.255 inside
snmp-server host inside 10.3.0.55 community zabbix
ssh 10.3.0.0 255.255.255.0 inside
ssh 10.3.0.4 255.255.255.255 inside


Возможно, мне необходимо на CORE выключить 2 порта Gi2/0/2 и Gi2/0/12 для того, что убрать связь с DMZ, но я так понимаю мне нужно переписать маршрут 0.0.0.0

Поправьте, пожалуйста, и помогите разрешить мне мой ребус.
Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Маршрутизация"  +1 +/
Сообщение от Виктор (??), 19-Май-23, 15:31 
> Всем привет!
> Возвращаюсь к своему не решенному вопросу.

Сколько из своей месячной ЗП ты готов пожертвовать на решение своего рабочего вопроса?

Ответить | Правка | Наверх | Cообщить модератору

2. "Маршрутизация"  +/
Сообщение от pogreb (ok), 19-Май-23, 16:20 
>> Всем привет!
>> Возвращаюсь к своему не решенному вопросу.
> Сколько из своей месячной ЗП ты готов пожертвовать на решение своего рабочего
> вопроса?

Не встречал информации о том, что здесь платные услуги. Ну и если уж и платить, то Вы готовы договор со мной заключить и предоставить гарантии и прописать штрафные санкции?
На данном этапе хотелось бы конкретных советов получить. Хочется разобраться в своей сети

Ответить | Правка | Наверх | Cообщить модератору

3. "Маршрутизация"  –1 +/
Сообщение от Аноним (-), 19-Май-23, 18:06 
> Не встречал информации о том, что здесь платные услуги.

Мы такие, зайчик. Платишь деньги, снимаешь штанишки и только потом в тебя упирается хорошо отлаженный swapon. Бесплатно обслуживать не будем.

>Ну и если уж и платить, то Вы готовы договор со мной заключить и предоставить гарантии и прописать штрафные санкции?

Ты про стоп-слово забыл, дорогой.

Ответить | Правка | Наверх | Cообщить модератору

4. "Маршрутизация"  +/
Сообщение от ACCA (ok), 20-Май-23, 05:24 
Я тебе только одну деталь уточню. Ты прислал ссылку, которая хочет, чтобы я пустил к себе:

* googleapis.com
* yandex.ru
* doubleclick.net
* google-analytics.com

Ты должен денег просто за то, чтобы я разрешил это.

Ответить | Правка | Наверх | Cообщить модератору

5. "Маршрутизация"  +/
Сообщение от here i am (?), 20-Май-23, 22:40 
> Задача:
> из-за внедрения FortiGate

Ну так и задайте вопрос поддержке Fortigate или пусть бизнес выделит бюджет на ваше обучение.

Ответить | Правка | Наверх | Cообщить модератору

6. "Маршрутизация"  +/
Сообщение от pogreb (ok), 22-Май-23, 14:16 
>> Задача:
>> из-за внедрения FortiGate
> Ну так и задайте вопрос поддержке Fortigate или пусть бизнес выделит бюджет
> на ваше обучение.

Всем спасибо за уделенное личное/рабочее время за ответы в этой теме.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру