Как подружить две сети?

Question

[Алексей]

Всем привет.
Есть Cisco ASA и локальная сеть 172.16.0.0/19.
В этой сети живут юзверы а так же VPN сервер (хост: 172.16.6.1). Адрес хоста проброшен наружу с парой портов для работы VPN. В качестве VPN используется Pritunl.
Клиентская сеть 172.16.101.0/24 создаётся там же на VPN сервере. При подключении к VPN, клиенты могут пинговать хосты внутри сети 172.16.0.0/19, однако ничего больше сделать не позволяет. В обратную сторону тоже самое.
Роут на Cisco ASA 172.16.101.0/24 172.16.6.1 есть.

Comments

[Sergey IT]

Проверяйте маршруты и аксес-листы.

[Алексей]

В аксесс-листе на inside интерфейсе permit any-any

[Sand]

однако ничего больше сделать не позволяет.

А "ничего" это чего?

[Алексей]

Sand, tcp-udp
Не могу зайти ни на один внутренний сервис. smb тоже не работает. В общем ничего кроме icmp запросов

[Sand]

Алексей, нужно чтобы между клиентами vpn (172.16.101.0/24) и клиентами сети 172.16.0.0/19 проходил трафик tcp/udp, который сейчас не проходит? И при этом icmp пакеты между клиентами этих сетей работают без блокировки? Всё правильно?
Между сетями 172.16.101.0/24 и 172.16.0.0/19 нат или роутинг? Хосты в сети 172.16.0.0/19 имеют маршрут в сеть 172.16.101.0/24 через 172.16.6.1?

[Sand]

Алексей, посмотрите трассировку от клиентов одной сети в другую сеть (и туда и обратно), как идут пакеты?

[Sand]

Алексей,

Роут на Cisco ASA 172.16.101.0/24 172.16.6.1 есть

роут должен быть не на cisco а на клиентах сети 172.16.0.0/19

[Алексей]

Sand, Всё верно. Между сетями роутинг. Если подскажите как это реализовать через NAT на одном интерфейсе - буду благодарен. Да, хосты из 172.16.0.0/19 имеют маршрут в сеть 172.16.101.0/24 через 172.16.6.1.

От VPN клиента пакеты идут сначала на 172.16.101.1 и потом сразу на необходимый хост(172.16.24.24).
К клиенту - 172.16.6.1 и потом на хоста 172.16.101.2

[Sand]

Алексей, можете с компьютера из сети 172.16.0.0/19 выполнить команду:
- если windows route print 172.16.*
- если linux ip route get 172.16.101.0/24
?
Что там?

[Алексей]

Sand,
route print 172.16.*

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
       172.16.0.0    255.255.224.0         On-link      172.16.0.111    281
     172.16.0.111  255.255.255.255         On-link      172.16.0.111    281
    172.16.31.255  255.255.255.255         On-link      172.16.0.111    281
===========================================================================

[Sand]

Алексей, попробуйте вот на этой машине, с которой вывод предоставили, добавить такой маршрут:

route add 172.16.101.0 mask 255.255.255.0 172.16.6.1

С ней появится необходимое взаимодействие?

[Алексей]

Sand, но зачем, если у меня маршрутизацией занимается маршрутизатор?
Маршрутизатор знает об этом маршруте.

[Sand]

Алексей, затем что маршрут от клиентов сети 172.16.101.0/24 идёт так:
client-vpn -> vpn-server -> client-local
а от клиентов сети 172.16.0.0/19 так:
client-local -> cisco -> vpn-server -> client-vpn

[Sand]

Алексей, при этом client-local ожидает ответа из сети 172.16.101.0/24 от cisco

[Алексей]

Sand, хм, с маршрутом всё начало работать.
Теперь нужно понять где его необходимо поправить, что бы не добавлять на каждой машине

[Sand]

Алексей, локальные клиенты получают сетевые настройки по dhcp? Dhcp на cisco?

[Алексей]

DHCP, но не на Cisco.
Sand, не решится ли эта проблема добавлением gateway 172.16.0.1 на VPN сервере для сети VPN клиентов?
Сейчас роуты там выглядят таким образом

[Sand]

Алексей, не надо гадать на кофейной гуще и изобретать колесо, то что поможет в вашей ситуации - это опция 121 dhcp. Вам надо чтобы хосты сети 172.16.0.0/19 получали по dhcp статический маршрут в сеть 172.16.101.0/24 через 172.16.6.1. Где у вас dhcp сервер? Что это за сервер? У Вас есть доступ к его настройке?

[Sand]

Алексей,

не решится ли эта проблема добавлением gateway 172.16.0.1 на VPN сервере для сети VPN клиентов?

не совсем понял задумку, расскажите поподробнее

[Алексей]

Sand, имел ввиду заставить VPN клиентов обращаться к локальной сети через Cisco (172.16.0.1)
Что бы маршруты в обоих случаях выглядели следующим образом:
client-vpn -> vpn-server -> cisco->client-local
client-local -> cisco -> vpn-server -> client-vpn

[Sand]

Алексей, так не получится, потому что впн серверу не надо пользоваться услугами маршрутизатора для доступа в сеть client-local, так как у него самого есть адрес в этой сети. Однако, можно попробовать убрать впн сервер из сети client-local, а вместо этого создать с cisco новую сеть. Тогда и впн-серверу и впн-клиентам и локальным клиентам придётся работать через cisco. Однако, на мой взгляд, проще добавить в конфигурацию dhcp раздачу маршрута в сеть 172.16.101.0/24 через 172.16.6.1, как я и писал ранее. Если кто-нибудь из умных людей дочитает до этого комментария - возможно предложат другие варианты =)

[Алексей]

Sand, К сожалению DHCP не вариант, т.к. на многих сервисах статикой заданы адреса =\

[Sand]

Алексей, тогда выделяйте новую подсеть, заводите в неё впн-сервер и cisco, меняйте все пробросы на впн-сервер, не знаю какие ещё костыли могут попасться, чем у вас ещё занимается впн-сервер и кто на него завязан

[Алексей]

Sand,
Большое спасибо за помощь. Получилось разобраться, протестил на тестовом инстансе, на выходных буду переносить основной)

[Sand]

Алексей, кстати говоря, если вам не нужен доступ к клиентам впн от локальных клиентов, можно попробовать просто натить 172.16.101.0/24 на впн сервере в 172.16.6.1

[Алексей]

Sand, До сегодняшнего дня так и было. Но доступ к впн клиентам из локальной сети оказался очень важен.
Перенёс сервер в другую сеть и отдельный интерфейс в ASA.
Всё работает как задумано. Ещё раз спасибо :)

Answer 1

[BjLomax]

добавьте на асе
same-security-traffic permit intra-interface

Comments

[Алексей]

Оно есть.