Problema de roteamento intra-interface do Cisco ASA 5505

1

Eu tenho a topologia da rede no link a seguir, por favor, consulte: link

  1. Um site para site VPN IPSec está sendo executado entre os dois roteadores Cisco.
  2. O firewall ASA possui duas interfaces e0 / 0 (externo) e e0 / 1 (interno) e está atualmente configurado para atuar como o gateway padrão para o PCs na LAN.
  3. Também adicionei uma rota no ASA que encaminha 192.168.51.0/24 via Interface 192.168.139.253 (dentro).
  4. O PC com o endereço IP 192.168.139.21 não pode estabelecer conexão RDP para 192.168.51.21. Mas quando eu definir uma rota estática no PC e rota 192.168.51.0/24 via 192.168.139.253 então a sessão RDP funciona.
  5. Também ativei o seguinte comando:

    permissão de tráfego de mesma segurança intra-interface

Mas ainda sem sorte. Preciso fazer "no nat-control" ou fazer algumas traduções estáticas?

    
por Prax 31.03.2012 / 19:58

1 resposta

2

O ASA está vendo apenas metade do fluxo de tráfego.

Um pacote SYN do PC em 192.168.139.21 será enviado para o ASA, que irá rastreá-lo e então encaminhá-lo para a rota em 192.168.139.253. Este roteador enviará o SYN para o roteador em 192.168.51.1, e para a máquina em 192.168.51.21.

Um pacote SYN + ACK será enviado de volta ao roteador em 192.168.51.1, através do túnel IPSec para o roteador em 192.168.139.253, e para o PC sem passar pelo ASA. Quando o pacote ACK é enviado do cliente, o ASA deixa cair o pacote porque não viu o SYN + ACK atrás da máquina em 192.168.51.21.

Para corrigir isso, o ASA precisa ver o tráfego nas duas direções. Existem muitas soluções - uma delas poderia ser mover a Fa0 do roteador 192.168.139.253 para a interface externa do ASA.

    
por 01.04.2012 / 13:30