ASA 5505 |
цель приобретения самая тривиальная: для домашних экспериментов. Установлена без хлопот, настроена и всё бы хорошо, но хотелось более боевых условий, а для этого нужен или Site-to-Site или для начала просто высунуть её в Интернет.
сказано - сделано. первое препятствии стандартный модем Stream не имел Ethernet порта. блядь. сэкономили даже на порту. Препятствии было преодолено не сразу. С начало были исследование на тему "Router или Bridge" всё таки наиболее серьёзным решением является Bridge подставляя ASA всем Интернет ветрам, с другой стороны Router более секурно, так как при пробивании Router модема за ним была "всего лишь" Router ASA. почему я решил именно в пользу Bridge я напишу чуть ниже. и так дело за малым: какой модем? читая различные форумы список был сокращён до
Первые три это была сексуальная фантазии типа "Циска всегда подружится с другой Циской и проблем не будет" но этот ход прервали форумы и продавцы своим "Много Брака" "Херовые отзывы покупателей, поэтому не возим" - ебать. Ну нет так нет. потом на день рождении кента заметил модем ZyXEL на вопрос "как он?" получил ожидаемый ответ "Пиздат" так появился в списке единственный модем ZyXEL. Асус,Асус,Асус,Асус,Асус как то это слово навязло на зубах и немного поднадоело. Да отзывы о железячках все сплошь положительные (куплены?), да мощный бренд (делает почти любую хуйню и делает её не плохо) Но как обычно душа просит чего то свежего нового и желательно девственного. хехе. И так на финишной прямой оказались два достойных борца: Нетгир VS Зюхель. Перво на перво была скачана документация к обоим железячкам и дотошно сравнена - и оба цэ - У Нетгира о режиме Бриджа очень слабые упоминания, типа:
LinkSys AM200
LinkSys AM300
LinkSys AG241
ZyXEL P-660RU2
ASUS WL-AM604
Netgear DM111P
Supports the full range of Asynchronous Digital Subscriber Line (ADSL) standards
а так же
Bridging protocol (PPPoA, PPPoE, or RFC2684)
плюс
TCP/IP, DHCP, PPP over Ethernet (PPPoE) or PPP over ATMи всё. что как настраивать ни гу гу. мне хватило бы и абзаца, а так этот "фичур пак" выглядит как "для галочки" ну и собственно поэтому я остановился на Зюхеле. Солидный абзац по RFC Brodge впечатлил и окончательно меня убедил что выбор я делаю верный. понятное дело что это тупой перевод со страниц RFC, но тем не менее - приятно.
(PPPoA), RFC 1483 Bridged or Routed Ethernet, and RFC 1577
Classical IP over ATM
Модем
Автоконфигуратор в модеме верно определил что у меня PPPOE и VCL для пущего убеждения в конце предложил вбить логин/пароль от ISP, для того что бы всё действительно зажило, и не подкачал - зажило очень бодро. на этом мои эксперименты с модемом в Router режиме подошли к концу: работает и работает больше ничего не нужно.
Один и самый серьёзный минус который я наблюдал в данном режиме: железка не кисло греется. не могу сказать что "нельзя поднести руку" - нет. На поверхности модема стабильно около 40 градусов. не знаю как вам а мне кажется что это до пизды, притом что нагрузку на ЦП Модема показывает около 21 процента. В режиме Bridge температура модема разительно ниже. Понятно что не нужно делать NAT/PAT и прочие непристойные вещи с многострадальными пакетиками, следовательно нагрузка на CPU ниже следовательно температура ниже - энергия расходуется меньше - мир становится зеленее. шутка.
и так Bridge. первое что меня обеспокоило при настройке vpdn сервиса на Циске это то что нету даже упоминания про реконнект. Те я думал так "если ADSL сессия разрывается, вдруг ISB вздумал передёрнуть DSLAM (да быдло провайдер), что бы сессия была установлена заново нужны какие либо настройки для реконнекта" - нихуя. этого ничего не нужно. Циска сама мониторит состояние линии и в случае необходимости сама её перезапускает. круто!
по мере изменения буду дополнять этот раздел.
финальная конфигурация ASA от 2011/08/07
: Saved
:
ASA Version 8.2(1)
!
hostname fw-home
domain-name default.domain.invalid
enable password *************** encrypted
passwd ************** encrypted
names
name 188.126.64.2 tracker.openbittorrent.com
name 85.17.80.248 tracker.publicbt.com
name 95.211.101.132 tracker.thepiratebay.org
name 74.119.236.148 pcbsd_update_server
name 64.4.9.254 MSLive description MSLive
name 213.203.227.196 GIGASET_SIP
name 212.53.40.40 SIPNET_SIP
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no pim
igmp query-timeout 60
igmp query-interval 2
no mfib forwarding
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group mtu
ip address pppoe setroute
no pim
igmp forward interface inside
igmp query-timeout 60
igmp query-interval 2
igmp static-group 224.0.0.0
igmp static-group 239.0.0.0
igmp access-group outside_multicast_1
!
interface Vlan3
nameif wifi
security-level 100
ip address 172.21.21.1 255.255.255.0
no pim
igmp query-timeout 60
igmp query-interval 2
no mfib forwarding
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
switchport access vlan 3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa821-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service POP3-TLS tcp-udp
description POP3-TLS
port-object eq 995
object-group service SMTP-TLS tcp-udp
description SMTP-TLS
port-object eq 465
object-group service shared_services
service-object tcp eq domain
service-object udp eq domain
service-object tcp eq pptp
service-object tcp eq https
service-object tcp eq pop3
service-object tcp eq imap4
service-object tcp eq smtp
service-object tcp eq ssh
service-object udp eq ntp
object-group service Steam
description Steam
service-object tcp range 27030 27039
service-object tcp eq 27017
service-object udp eq 3478
service-object udp eq 4379
object-group service nnm-club tcp-udp
description nnm-club tracker
port-object eq 2710
object-group service nnm-club.ru tcp
description nnm-club.ru tracker
port-object eq 2710
object-group service trackers-1 tcp-udp
description trackers-1
port-object eq 6969
object-group network trackers-udp80
description trackers-udp80
network-object host tracker.openbittorrent.com
network-object host tracker.publicbt.com
network-object host tracker.thepiratebay.org
object-group service DM_INLINE_TCP_1 tcp
port-object eq 2233
port-object eq ssh
object-group service DM_INLINE_TCPUDP_1 tcp-udp
port-object eq 2710
port-object eq 6969
port-object eq 1337
object-group network MSLiveIM
network-object host MSLive
network-object host 65.54.172.124
network-object host 207.46.124.149
network-object 207.46.124.0 255.255.255.0
network-object 64.4.61.0 255.255.255.0
network-object 64.54.189.0 255.255.255.0
object-group service DM_INLINE_SERVICE_1
service-object tcp eq 54437
service-object udp eq 54437
access-list outside_multicast_1 standard permit 224.0.0.0 240.0.0.0
access-list INBOUND remark SKYPE
access-list INBOUND extended permit object-group DM_INLINE_SERVICE_1 any interface outside
access-list INBOUND extended permit tcp any interface outside eq 6881
access-list INBOUND extended permit tcp any interface outside eq 26946
access-list INBOUND extended permit ip any 224.0.0.0 240.0.0.0
access-list inside_home_services extended permit object-group shared_services 192.168.1.0 255.255.255.0 any
access-list inside_home_services extended permit object-group TCPUDP 192.168.1.0 255.255.255.0 any object-group POP3-TLS
access-list inside_home_services extended permit object-group TCPUDP 192.168.1.0 255.255.255.0 any object-group SMTP-TLS
access-list inside_home_services remark SSH and 2233/SSH for mx2.nirovision.ru
access-list inside_home_services extended permit tcp 192.168.1.0 255.255.255.0 any object-group DM_INLINE_TCP_1
access-list inside_home_services remark tracker pears
access-list inside_home_services extended permit udp 192.168.1.0 255.255.255.0 any range 10000 65000
access-list inside_home_services remark 1337 - 1337 tracker
access-list inside_home_services remark 2710 - nnm-club tracker
access-list inside_home_services remark 6969 - fore trackers
access-list inside_home_services remark 2710 - nnm-club tracker
access-list inside_home_services extended permit object-group TCPUDP 192.168.1.0 255.255.255.0 any object-group DM_INLINE_TCPUDP_1
access-list inside_home_services remark tracker pears
access-list inside_home_services extended permit udp 192.168.1.0 255.255.255.0 object-group trackers-udp80 eq www
access-list inside_home_services remark STREAM IPTV
access-list inside_home_services extended permit udp 192.168.1.0 255.255.255.0 any eq 5500 inactive
access-list inside_home_services extended permit tcp host 192.168.1.2 any eq www
access-list inside_home_services extended permit tcp host 192.168.1.2 any eq ftp
access-list inside_home_services remark Steam PORTS
access-list inside_home_services extended permit object-group Steam host 192.168.1.2 any
access-list inside_home_services remark MS Live IM
access-list inside_home_services extended permit tcp host 192.168.1.2 object-group MSLiveIM eq 1863
access-list inside_home_services remark MS Live IM
access-list inside_home_services extended permit tcp host 192.168.1.2 object-group MSLiveIM eq 1379
access-list inside_home_services remark GIGASET-SIP
access-list inside_home_services extended permit udp host 192.168.1.3 host GIGASET_SIP eq sip
access-list inside_home_services remark SIPNET-SIP
access-list inside_home_services extended permit udp host 192.168.1.3 host SIPNET_SIP eq sip
access-list inside_home_services remark GIGASET-STUN
access-list inside_home_services extended permit udp host 192.168.1.3 any eq 3478
access-list inside_home_services remark GIGASET-HTTP
access-list inside_home_services extended permit tcp host 192.168.1.3 any eq www
access-list inside_home_services remark Dune HTTP
access-list inside_home_services extended permit tcp host 192.168.1.4 any eq www
access-list inside_home_services remark Dune Torrent
access-list inside_home_services extended permit tcp host 192.168.1.4 any range 1025 65000
access-list inside_home_services remark 410 HTTP
access-list inside_home_services extended permit tcp host 192.168.1.5 any eq www
access-list inside_home_services remark PS3 any access
access-list inside_home_services extended permit ip host 192.168.1.10 any
access-list inside_home_services remark FBSD-VM
access-list inside_home_services extended permit ip host 192.168.1.200 any
access-list inside_home_services extended permit icmp 192.168.1.0 255.255.255.0 172.21.21.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu wifi 1500
ip local pool RApool 192.168.1.200-192.168.1.245 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp deny any outside
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
nat (wifi) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp interface 54437 192.168.1.2 54437 netmask 255.255.255.255
static (inside,outside) tcp interface 54437 192.168.1.2 54437 netmask 255.255.255.255
static (inside,outside) tcp interface 26946 192.168.1.2 26946 netmask 255.255.255.255
static (inside,outside) tcp interface 6881 192.168.1.4 6881 netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.1.200 www netmask 255.255.255.255
access-group inside_home_services in interface inside
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 83.237.28.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable 8080
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 217.* 255.255.255.255 outside
ssh 217.* 255.255.255.255 outside
ssh timeout 45
console timeout 0
!
vpdn group mtu request dialout pppoe
vpdn group mtu localname p********8@mtu
vpdn group mtu ppp authentication chap
vpdn username ppp******48@mtu password *********
!
dhcpd dns 212.188.4.10 195.34.32.116
dhcpd domain home.local
dhcpd auto_config outside
!
dhcpd address 192.168.1.6-192.168.1.129 inside
dhcpd enable inside
!
priority-queue outside
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 195.34.32.123 source outside
webvpn
enable outside
anyconnect-essentials
group-policy asa internal
group-policy asa attributes
vpn-tunnel-protocol IPSec
default-domain value home.local
group-policy for_webvpn internal
group-policy for_webvpn attributes
vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
webvpn
url-list value main
username tazz password .**********sXx encrypted
tunnel-group DefaultWEBVPNGroup general-attributes
default-group-policy for_webvpn
tunnel-group DefaultWEBVPNGroup webvpn-attributes
nbns-server 192.168.1.2 timeout 2 retry 2
tunnel-group asa type remote-access
tunnel-group asa general-attributes
address-pool RApool
default-group-policy asa
tunnel-group asa ipsec-attributes
pre-shared-key *
!
class-map http_priority
description http_over_llq
match port tcp eq www
class-map https_priority
description https_via_llq
match port tcp eq https
class-map inspection_default
match default-inspection-traffic
class-map dns_priority
description dns_via_llq
match port udp eq domain
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect pptp
policy-map pm_http_priority
class http_priority
priority
class dns_priority
priority
class https_priority
priority
!
service-policy global_policy global
service-policy pm_http_priority interface outside
prompt hostname context
Cryptochecksum:6****b6274a50**5a8a
: end
(очень!)старая конфигурация моей ASA5505 и комментарии к конфигурации под катом
: Saved
: Written by enable_15 at 09:21:08.141 UTC Wed Apr 22 2009
!
ASA Version 7.2(3)
!
hostname fw-home
domain-name default.domain.invalid
enable password ************* encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.*.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group mtu
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd ****************** encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list INBOUND extended permit tcp any interface outside eq 26946
access-list INBOUND extended permit tcp host 194.85.133.86 interface outside eq ssh inactive
access-list INBOUND extended permit ip host 217.74.*.* interface outside inactive
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp deny any outside
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface 26946 192.168.1.2 26946 netmask 255.255.255.255
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 *.77.228.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa authentication ssh console LOCAL
http server enable
http 192.168.*.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.*.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.*.0 255.255.255.0 inside
ssh 217.74.*.* 255.255.255.255 outside
ssh timeout 5
console timeout 0
vpdn group mtu request dialout pppoe
vpdn group mtu localname **************
vpdn group mtu ppp authentication chap
vpdn username ************** password ***********
dhcpd dns 195.34.32.116 212.188.4.10
dhcpd auto_config outside
!
dhcpd address 192.168.*.2-192.168.*.129 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect pptp
!
service-policy global_policy global
username tazz password ***************** encrypted
prompt hostname context
Cryptochecksum:*******************************
: end
Вопросы которые могут возникнуть:
1.
dhcpd dns 195.34.32.116 212.188.4.10Это стандартные DNS которые раздаёт Stream. Почему они забиты в DHCPD? резонный вопрос, так как они должны получатся через pppoe/vpdn и быть затем отданы через dhcpd, но у меня эта схема не заработала точнее заработала несколько не корректно. Суть в том что мой комп загружается достаточно быстро и к тому времени когда моя сетевая карта просит IP адрес от ASA, сама ASA ещё vpdn сервис ещё не подняла и в пуле DHCPD, DNS адресов нету - интернет есть а сервиса имён нету - это sux ходить по интренету по IP адресам. достаточно секунд через 10 сделать:
ipconfig /releaseЗа это время vpdn на ASA поднимется и в её пуле DHCPD будут нужные DNS сервера. но человеческая лень всесильна и мне постоянно обновлять адресс не интересно, поэтому я забил DNS в пул DHCPD ручками. при таком раскладе понятное дело если пров сменить DNS сервера, мне придётся опять мануально корячится, править конфиг на ASA это пожалуй единственный очевидный минус.
ipconfig /renew
2.
Это для µTorrent. надеюсь это достаточное объяснение.
static (inside,outside) tcp interface 26946 192.168.1.2 26946 netmask 255.255.255.255
access-list INBOUND extended permit tcp any interface outside eq 26946 pager lines 24
access-group INBOUND in interface outside
3.
mtu inside 1500Да реально работает так, хотя на многих форумах пишут что нужно отнять по 8 байт, зарезерворовав место под транспортный заголовок PPP, те размер МТУ должен был быть 1492. в моём случае это не так.
mtu outside 1500
4.
route outside 0.0.0.0 0.0.0.0 91.77.228.1 1Этот маршрут поднимает vpdn: ip address pppoe setroute
. руками поднимать его не надо.
5.
Вспомнить что такое DM_INLINE_TCP_1 и порт 54437 пока не удаётся, лол, но я работаю в этом направлении.
UPD спустя минут 5. вот и поработал это SKYPE порты.
да и ещё. в друг если вы не знакомы с Циской, в моём конфиге выше символ * заиеняет иногда 1 иногда 2 символа которые я спрятал. те в моей конкретно этой конфигурации, нигде нету *.
в разработке
Комментариев нет:
Отправить комментарий