Yacudzer

Ладно, фик с ним, с натом... Скоро настроенная циска уедет в продакшн, немного осталось, потерпим... Суппорт, посмотрите хотя бы вопросы 1) и 3) из первого сообщения... Пожалуйста...

т.е. как я вижу все это: занатили все что можно и теперь пытаемся добавить какие-то бестолковые исключения, вместо того что бы просто занатить то что нужно и ничего более... ... и именно по этому мне теперь вручную на хостах статические маршруты прописывать ... хорошо хоть это все временно...

Так неужели не проще различить по какому адресу идет обращение - если по внешнему IP, то NATить... Все просто же, зачем такие извращения с NAT_LOOPBACK

ну надо же как то адаптировать это дело... т.е. если я попытаюсь создать в веб-морде правило, то слетят все остальные настройки?? это называется нормальным поведением? я понимаю, что может такое быть на стадии разработки, в как-нить бета-версии и т.п.... а тут вроде как релиз вышел... а на кой пес он мне нужен??? и зачем тогда ввели ip static для интерфейсов???

Обновился до версии 2.09.C.0.0-1 и обнаружил следующие глюки: 1) при изменении пароля пользователя пропадает привязка к домашнему каталогу сервера FTP 2) после ввода no ip nat Home ip static Home ISP ip static Home L2TP0 случилось следующее: а) во вкладке NAT все пропало б) при добавлении любого правила - исчезают все статические записи, в т.ч. указанные выше, остается только одно, свежедобавленное с) траффик завернутый из Home в Home все равно натится 3) Не исправлен глюк с правами доступа к папкам: если я указываю пользователю домашний каталог для FTP, который не корень моего диска, я должен все равно открыть этому пользователю доступ ко всему диску

Умно блин... Как я сам не догадался??? А вообще для этого там предусмотрены match protocol в class-map: class-map type inspect match-any IPSEC-class match protocol isakmp match protocol ipsec-msft Поэтому я и написал "что бы не городить дополнительных acl"...

Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...

Так и делаем... А кинетик это умеет разве? Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится... Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла... прошивка release: v2.08(AAUW.0)C2

Использую следующую схему: Естественно, на кинетике поднят NAT и настроен статический маршрут: ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске: Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to DROP action found in policy-map with ip ident 2303 Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети... Смотрим дампы... Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????

В качестве временного решения для своих собственных нужд собрал дома следующую схему: и был неприятно удивлен... На Зухеле, естесвенно, работает NAT. Циска шлет ISAKMP-пакеты для 1й фазы, а зухель их натит и преобразует исходящий порт (500) в рандомный порт в соответствии с его (зухеля) религией... Соответственно, на удаленной циске (1921) zone based firewall не распознает этот траффик как ISAKMP и отбраковывает... Пришлось прикручивать дополнительные ACL из-за капризов зухеля... Разве это правильно??? Тоже самое и с портом 4500, который при такой схеме обязательно включается в работу... P.S. если натить через циску, то она не изменяет исходящий порт ISAKMP-соединения...

Есть кинетик giga 3 с подключенным жестким диском. Создал пользователя, дал ему права на FTP, самому пользователю по умолчанию доступ к жесткому запрещен. Создал ему домашний каталог, разрашил доступ к этому каталогу, указал в настройках FTP домашний каталог. Итог - клиент не может присоединиться. Разрешил в управлении доступом к папкам права на весь жесткий (соответственно, ко всему что есть на жд) - заработало. Пользователь коннектится. Т.е. для указания домашней вложенной (может даже несколько раз) папки необходимо разрешать доступ ко всей цепочке. Как я думаю, доступ должен осуществляться независимо от того разрешен ли доступ к каталогам выше или нет...

с циской кто-то поднимал ipsec-туннель? мне интересно, если в циске настроено tunnel mode ipsec ipv4 - это по сути gre туннель, только без gre-заголовка, что настраивать на кинетике в этом случае? И есть ли возможность провести авторизацию на основе сертификатов?

Это просто, из интерфейса который в сторону инета сделать с 443 порта проброс на внутренний IP. А 80й не пробрасывать. Или пробросить тоже на 443 (интересно как браузер себя поведет) ??

Все это замечательно. Но надо что бы торрент доступен был... Он так и продолжает работать по незащищенному соединению...