1 votes

Rod avatar

Cisco ASA 5505 Problème de routage intra-interface

Demandé el 31 de Mars, 2012
Quand la question a-t-elle été
1010 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai la topologie du réseau dans le lien suivant, merci de vous y référer : http://www.gigapac.com/wp-content/uploads/2012/03/topology.png

  1. Un VPN IPSec de site à site est en cours d'exécution entre les deux routeurs Cisco.
  2. Le pare-feu ASA possède deux interfaces e0/0 (extérieur) et e0/1 (intérieur) et est actuellement configuré pour agir en tant que passerelle par défaut pour le PC du réseau local.
  3. J'ai également ajouté une route dans l'ASA qui achemine 192.168.51.0/24 via 192.168.139.253 (inside) interface.
  4. Le PC ayant l'adresse IP 192.168.139.21 ne peut pas établir de connexion RDP à 192.168.51.21. Mais lorsque je configure une route statique dans le PC et la route 192.168.51.0/24 via 192.168.139.253, la session RDP fonctionne.

  5. J'ai également activé la commande suivante :

    same-security-traffic permit intra-interface

Mais rien n'y fait. Dois-je faire "no nat-control" ou faire des traductions statiques ?

Demandé el 31 de Mars, 2012 par Rod

Réponse

Trop de publicités?

2voto

Kersti Oleksiuk avatar
Kersti Oleksiuk Points 1

L'ASA ne voit que la moitié du flux de trafic.

Un paquet SYN provenant du PC situé sur 192.168.139.21 sera envoyé à l'ASA, qui le suivra et le transmettra à la route située sur 192.168.139.253. Ce routeur enverra le SYN au routeur de 192.168.51.1, puis à la machine de 192.168.51.21.

Un paquet SYN+ACK sera renvoyé au routeur sur 192.168.51.1, à travers le tunnel IPSec vers le routeur sur 192.168.139.253, et vers le PC sans passer par l'ASA. Lorsque le paquet ACK est envoyé par le client, l'ASA laisse tomber le paquet car il n'a pas vu le SYN+ACK en retour de la machine sur 192.168.51.21.

Pour résoudre ce problème, l'ASA doit voir le trafic dans les deux sens. Il existe de nombreuses solutions - l'une d'entre elles pourrait consister à déplacer Fa0 du routeur 192.168.139.253 vers l'extérieur.

Répondu el 1 de Avril, 2012 par Kersti Oleksiuk (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X