Firewall e 3 router SHDSL

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

kobaiachi ha scritto:la route-map per ora è applicata al processo di routing con il comando distribute-list route-map Bilanciamento_Back_End in
Ok
kobaiachi ha scritto:adesso provo a togliere la metrica e vedo cosa succede
Giusto per togliere una variabile e capire meglio dove possa essere l'inghippo.
kobaiachi ha scritto:anche se potrei provare con il comando ip policy ad applicare la route map sulla interfaccia F0/0
Si, per quello che te l'ho chiesto, io avrei fatto così, magari non è formalmente corretto ma almeno lo gestisco nell'endpoint.
kobaiachi ha scritto:altra strada è modificare il costo della interfaccia ethernet sugli aggiornamenti di routing in uscita da quella interfaccia (per la rete data)
Non sò se si possono usare le off-set list in ospf. In eigrp io avevo provato e mi sembrava molto funzionale come procedimento. Il mio problema era che non avevo i next-hop direttamente connessi al router perciò non potevo forzare le rotte in uscita direttamente sulle intefacce. Non so ospf come funziona per questo.

Rizio
Si vis pacem para bellum
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

alla fine mi sono reso conto che terminare la rete ospf sui router e lavorare sulle route-map e distribute list non ha senso perche introdurrei dei routing loop ..... :oops: :oops: :oops:

se porto OSPF anche sulla interfaccia esterna dell ASA le tre route esterne sono gestite da ospf e tutto funziona, solo che cosi non posso bilanciare per pacchetto sulle 3 linee ma per flusso .

non ho trovato infatti il comando ip load balancing per packet o un analogo su asa
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

allora ho messo su l'infrastruttura nell ambiente di test ora il fatto è che i router esposti in internet hanno tutte le porte aperte, Vorrei metterle in sicurezza applicando delle regole di firewalling (ip inspect o reflexive access list ) cosi che a parte il tunnel ESP tutto il traffico internet non generato dall interno risulti bloccato .

ora la domanda che mi pongo è se il bilanciatore che manda i pacchetti al router bilancia per pacchetto e non per flusso
quando il traffico tcp di ritorno di una connessione instaziata dall interno arriva fuori sequenza come si comporta il firewall ios
droppa il pacchetto oppure lo lascia passare ?.
Top
blublublu
Cisco power user
Messaggi: 82
Iscritto il: mer 11 mag , 2011 6:14 pm

non so come funziona internamente, ma pacchetti fuori sequenza non possono essere un problema per il router/firewall
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

intanto sto provando a mettere una access-list "standard" sulla interfaccia outside dei router coinvolti nella infrastruttura
sul concentratore ho messo una accesslist dove permettevo in entrata solo esp ma questo ha fatto cadere tutti i tunnel .

che access list devo mettere per permettere in entrata solo il traffico VPN (ipsec-Gre) ?
Top
blublublu
Cisco power user
Messaggi: 82
Iscritto il: mer 11 mag , 2011 6:14 pm

oltre al protocollo ESP anche UDP 500, è la porta di ISAKMP
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

ora che ho aggiunto la regola per isakmp i tunnel stanno su e tutto funziona .
sul concentratore vpn quindi abilitero solo questo tipo di traffico in entrata
Sui router delle sedi remote (che oltre alla vpn grantiscono l'uscita su internet) userò questa regola piu qualcosa come una reflexive access-list o un inspect per filtrare il traffico .

cmq sto pensando a fine progetto di postare lo schema di rete le configurazioni ed il laborotorio gns3 su cui ho provato inizialmente l'infrastruttura .
Top
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

allora è da un po che ho finito la realizzazione della infrastruttura di bilanciamento .

alla fin fine l'infrastruttura adottata è stata quella delle 3 vpn ipsec gre ed ospf
i tunnel gre terminano sui router remoti mentre il dominio ospf si estende anche all'asa della sede esterna.

le rotte verso l'head quarter sono gestite dalle route ospf dell ASA remoto mentre la connettivita verso internet è outtenuta impostando 3 default route (sempre sull sull ASA remoto) verso i router SHDSL (cisco 1921) .
Dalle prove effettuate risultava infatti che facendo a gestire ad ospf anche l'instradamento di default verso internet si generavano problemi con i protocolli di posta.


sto portando le configurazioni finali delle macchine su GNS3 cosi da poter postare un case of study .

appena concludo il laboratorio lo posto .
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

kobaiachi ha scritto:...
Dalle prove effettuate risultava infatti che facendo a gestire ad ospf anche l'instradamento di default verso internet si generavano problemi con i protocolli di posta.
Ciao,
sembra una cosa strana che lo faccia solo con la posta. Facendo un debug dei pacchetti cosa noti?
Non cade foglia che l'inconscio non voglia (S.B.)
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

quoto...
imho non c'entra OSPF..

Secondo me, il traffico mail passando per l'ASA, veniva filtrato dall'inspection. L'inspection di cisco fa a pugni con SMTP/ESMTP, soprattutto se c'e' di mezzo TLS/SSL.

buona serata
Top
Rispondi

Torna a “Configurazioni”