Predelavani BSD do Cisco ASA.
Zdravim predelavam konfiguraci ze sw firewallu do Cisco ASA a jelikož jsem samouk a BSD jsem predtim ani nevidel z vlaku a google nepomaha mam na Vas dotaz.
Mam tyto interface:
Kód:
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
tunnel inet aaa.aaaa.aaa.aaa --> bbb.bbb.bbb.bbb
inet ccc.ccc.ccc.ccc --> ddd.ddd.ddd.ddd netmask 0xffffff00
options=1<ACCEPT_REV_ETHIP_VER>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet x.x.x.x --> y.y.y.y netmask 0xffffffff
Opened by PID 14987
Ja nasel jen na Googlu ze gif je ip tunnel, ale o tun interface jsem nenasel nic? Jak byste to implementovali do Cisca?
Posledni vec, v NAT zapisu nerozumim temto radkum:
Kód:
map xl3 from aaa.aaa.aaa.aaa/24 ! to bbb.bbb.bbb.bbb/13 -> ccc.ccc.ccc.ccc/32
map xl3 from ddd.ddd.ddd.ddd/24 to any -> eee.eee.eee.eee/32 portmap tcp/udp 20001:30000
Jakou logiku mam to prvni from ! to a jakou to druhe bez !.
Diky.
Re: Predelavani BSD do Cisco ASA.
Ahoj,
už je to delší doba a odpovědi asi už znáš... Ale kdyby přece:
a) gif je IPIP tunel (0x04) - v některých ohledech je podobný protokolu GRE (http://packetlife.net/blog/2012/feb/...pip-tunneling/), ASA (narozdíl od klasického ISR) bohužel umí tunelovat jen přes IPsec (přestože některé další funkce jiné tunely využívají - např. WCCP - jen prostě nejsou uživateli přístupné)
b) tun může využívat více produktů, ale předpokládal bych, že je to OpenVPN (lze ověřit ve výpisu procesů podle PID)
c) ! je negace, takže pravděpodobně brání natování mezi nějakými 2 interními sítěmi - z A do netu (C) natuj, z A do B nenatuj
ASA by měla mít v síti roli dodatkového bezpečnostního zařízení - není určena, aby zastupovala router, ale aby ho doplňovala (a také se i trohu jinak chová - např. NAT má přednost před routovací tabulkou).
Otázkou je, jaká je motivace nahradit současý firewall za ASA a za jaký model. Jestli by lépe nesposloužila jiná krabička třeba:
- Juniper SRX - je také založený na BSD a má blíže k routeru než ASA, umí IPIP (openVPN samozřejmě ne)
- Mikrotik - nemá zase tolik funkcí, ale umí IPIP, OpenVPN, firewall jde docela dost nastavit
Re: Predelavani BSD do Cisco ASA.
Ahoj,
ty jo ty ses machr, normalne mi nikde na zahranicnich forech tohle nikdo nedokazal odpovedet (Cisco fora, nedivim se :-D) a hlavne to neslo nikde najit v dokumentacich, navodech. Odpovedi jsem si tak nejak musel odvodit ve vysledku. Proc Cisco? Protoze na to mame slevu :-D Pro priste mam ale presnejsi informace, diky.
Re: Predelavani BSD do Cisco ASA.
Cisco u mě má zelenou, jen zrovna s ASA se musí zacházet tak trošku jinak, nefunguje všechno tak, jak je člověk zvyklý...
Jen pro zajímavost, jaký tam máte model? U levných ASA 5505 je třeba si dát také pozor na licencované počty uživatelů. Pro nenáročné sitě se dá ASA použít i samostatná, pokud je komplikovanější zapojení a je třeba řešit nějaký routing, tak se vyplatí mít opravdový router + asa na doplňkovou bezpečnost a VPNky. Pro menší standardní sítě je také vcelku dobrá ISA500. Jako jednokrabičkové řešení je dobrý i ten Juniper, který je za podobné peníze (mimo malé ASA 5505).
Re: Predelavani BSD do Cisco ASA.
5515 myslim s plus nebo nejaky pridavkem.
