[ code-net @ 09.05.2018. 11:19 ] @
Postovani,
Pokusacu sto jednostavnije da opisem kako zelim da podesim ruter, kako je to trenutno uradjeno i koji su problemi.

Trenutno se radi samo o jednom opsegu, u skorije vrijeme ce biti potreban i drugi opseg adresa ali da u potpunosti bude jednak sa trenutnim.
Sada je na ruteru kada neko pristupi u nasu lokalnu mrezu pravilo da ima LAN (na osnovu toga svi mogu kroz odredjene naloge na serveru pristupiti istom i imaju razne mogucnosti u zavisnosti od naloga kojim se povezu sa serverom). Svima je blokiran izlaz na internet.

https://ibb.co/niRNon

U Firewallu u Objects > Network Objects/Groups imam grupu pod nazivom "Grupa_koja_ima_net"
Kada se uredjaj spoji u LAN mrezu dobije nas IP koji ja unesem u ovu grupu, imenujem uredjaj i on dobije prolaz na internet.

https://ibb.co/d2dUZS

Problem nastaje kada ti uredjaji (koje nigdje ne vezem za MAC, vec propustam samo kroz IP) budu van mreze a DHCP Lease Lenght istekne koji sam stavio na 5 dana. Ti uredjaji kada nakon tog vremena dodju ponovo u mrezu dobiju novi IP a rutrer taj koji sam pustio na net i imenovao npr da nekom ko ne smije imati izlaz na net. Tu nastaje zivi haos.

https://ibb.co/kS2Z17

Ranije sam imao ruter gdje je bilo slicno podesavanje (Cisco RV320 Dual Gigabit WAN VPN Router) medjutim kada sam propustao nekoga u listu na net, ip sam morao vezati za MAC (DHCP se osvjezavao svaka 2 sata), neki uredjaji su znali biti mjesecima van mreze kada se vrate dobijali su uvijek istu IP adresu. Taj ruter je zamjenjen jer je imao ogranicenja, nakon odredjenog broja propustanja izbaci gresku "fatal error" gdje moram nekog obrisati da bi drugog mogao pustiti i stalno je padao tako da se morao fizicki restartovati pa smo dobili preporuku za kupovinu ovog sada modela.

Ovo je prvi korak i najhitniji mi je jer 12.05. cu imati istek DHCP Lease Lenghta za preko 50 racunara.

Pored ovog pravila koje mi je najvaznije zelio bi da kreiram jos grupu koja ima izlaz na internet ali uz odredjene blokade prema nekim sajtovima.
Treba mi i grupa koja ima blokiran net ali joj prolaze samo mejlovi (mail server zakupljujemo kod jednog hosting posluzitelja i pristupamo preko mail klijenata neko preko IMAP neko POP3 podesavanja, odlazni i dolazni portovi su nam poznati :: mail.ime-firme.biz)

Unaprijed hvala svima koji se ukljuce u diskusiju da pomognu.
[ Qazio @ 09.05.2018. 17:21 ] @
Mislim da imas pogresan pristup resenju problema, zato imas takve greske.

Odmah da razjasnimo, 5506 nije ruter to je firewall, ali koncept resenja bi trebao ostati isti.
U svakom slucaju kucanje celog koda bi bilo preopsirno, pa evo teoretski koncept resenja.
Cim kacis 50 racunara, to znaci da moras imati neki svic iza ase, nadam se da je to Cisco svic, pa cu pokusati da ti teoretski pojasnim sta trebas uraditi sa tom pretpostavkom.
Na svicu bi trebalo da kreiras u tvom slucaju 3 VLAN-a i svakom da dodelis odredjen scope, recimo ovako nesto

VLAN 1 —> 192.168.1.0 255.255.255.0
VLAN 2 —> 192.168.2.0 255.255.255.0
VLAN 3 —> 192.168.3.0 255.255.255.0

Posto je Cisco koliko sam upoznat sa novim verzijama ASA odustao od VLAN, to znaci da bi trebao da kreiras na asi sub interface na nivou fizickog interface kojim povezujes asa sa svicem, i svakom od tih sub interface da dodelis ip adresu koja ce zapravo biti GW odredjenom VLAN-u, nesto ovako

interface GigabitEthernet1/2.1
vlan 1
nameif INSIDE
security-level 100
ip address 192.168.1.254 255.255.255.0

i onda bi 192.168.1.254 bio GW za vlan 1 respektivno

Da bi izlazili na net moras uraditi NAT na ASA koristeci access listu i u tu access listu bi dodao scopove za VLAN 2 i VLAN 3.
Posto ne radis NAT za VLAN 1 oni i ne mogu ici na net.

Na sub interface GigabitEthernet1/2.3 bi dodao jednu access listu u kojoj bi imao dva reda i to gde ces dozvoljavati saboracaj tako sto ce source biti scope vlan 3, destination any (ili ako znas ip svog mail servera) eq (port koji poznajes za mail) i primeniti tu access listu u out smeru na navedeni sub interface.

Naravno dhcp bi podesio da izdaje IP adrese iz navedenih scope za sva tri VLAN-a i to je zapravo resenje koje treba da primenis
Pozdrav
[ code-net @ 10.05.2018. 10:40 ] @
Sa rutera je diektno povezan jedan HP switch od 24 porta. Sa tog switcha povezan iz jednog porta prosiren je na jos jedan HP switch takodje od 24 porta.
Svaki pogon u firmi dalje ima svoj centralni switch koji dovodim u jedan od ova dva hp-ova switcha.
Takodjer jedan dio firme koji je udaljen oko 2 km povezujem optikom, ali nema razlike u odnosu dijelove firme koji su povezani samo mreznim kablom.

Vecina switcheva nisu upravljivi, jedan ili dva ev.

Grupi prikaz mreze: https://ibb.co/bCLgWJ
- ovdje nije sve ucrtano, ali to je glavna mreza, na pojedine switcheve kace se neki manji dijelovi unutar nekog pogona gdje se fizicki nije moglo izvesti da dodje direktna veza na centralni switvh u server sobi.

Postoje tu i wifi ruteri ali na njima je DHCP ugasen i nisu "ubodeni" u WAN nego LAN port tako da samo proslijede IP od samog rutera.

Mene sad zanima da li mozda osim ovog nacina na ovom trenutnom ASA uredjaju mogu ove adrese koje je ruter vec dodijelio vezati za MAC adresu, definisati kao staticke (na ruteru, ne da ih kucam na savki uredjaj)?


** Ista rasprava i na Cisco forumu:
https://supportforums.cisco.co...firepower-routers/td-p/3381150
[ nkrgovic @ 10.05.2018. 11:42 ] @
Ti hoces da imas staticku rezervaciju IP adresa na osnovu MAC adrese? Da ti jedan isti MAC uvec dobije isti IP?

To, koliko ja znam, ne moze ASA da ti odradi. Nesto sam pratio to svojevremeno i, koliko sam ispratio, feature nikad nije dodat.

Ako si siguran da hoces tako, digni DHCP server odvojeno na serveru. Vodi racuna da ti to nije nikakav security, niko mene ne sprecava da ja iskljucim DHCP na klijentu i da rucno zadam sebi IP adresu.
[ code-net @ 10.05.2018. 12:03 ] @
Da upravo to. Tako sam imao na starom ruteru koji sam koristio. On je u sebi imao black/white list gdje sam ja ukljucio svima blokadu osim ako nisu na listi.
Kada dodajem nekoga u listu osim ip morao je biti i mac i radilo je upravo ono sto meni treba. Kako sam vec rekao ruter je imao dosta problema nakon sto je mreza naglo dobila veci broj korisnika.

Da ali ako neko sam sebi doda rucno ip to ga nece pustiti na net jer se mac nebi poklapao.

Mada to mi nije problem, uvijek kada bi to neko uradio ja mogu otici na taj racunar i pustiti mu automatski DHCP blokirati kroz administratorski nalog edit bez sifre i rijesen problem.
Do sada sam imao iskustvo da ljudi nisu nista radili na takav nacin, ne radi se o informatickoj firmi pa omah zovu da im se rijesi ako nesto nije uredu.
[ bachi @ 10.05.2018. 12:48 ] @
A da jednostavno povećaš lease time?
[ code-net @ 10.05.2018. 12:54 ] @
@bachi

To sam i uradio, ali ne moze to biti rjesenje.
U tom slucaju problematicne su situacije kod laptopa i telefona koji ne budu npr. po nekoliko mjeseci u firmi a imaju izlaz na net jer se radi o vaznim gostima.
Lease time istekne, u medjuvremenu tu adresu dobije neko drugi i ima sva prava kao i taj gost (kod mene u ruteru pise ime i prezime gosta).
[ nkrgovic @ 10.05.2018. 14:02 ] @
A da podignes standalone DHCP server ? Mislim, DHCP... bukvalno mozes na Raspberry Pi.
[ bachi @ 10.05.2018. 19:54 ] @
Telefone prebaci na poseban VLAN.
Wifi za goste na poseban VLAN.

Laptopove i desktopove na poseban i kako imaš 150 ip adresa, a /24 subnet ima 254 adrese na raspolaganju, bez mobilnih i wifija za goste neće biti problema. A kako nismo više na koaksijalnom ethernetu, čak ni /23 subnet ne bi predstavljao problem sa broadcastom, te bi imao na raspolaganju 510 ip adresa.

Mislim tema za razmišljanje, ja isto na jednoj lokaciji puštam po IP adresi izlaz na net, ali mac adrese vezujem za DHCP.
[ komplikator @ 09.08.2018. 12:49 ] @
Ako si to možeš financijski i tehnički dopustiti bilo bi dobro da malo razradiš mrežu i podijeliš segmente tj. role.

Netko ti je već rekao ASA 5506 je firewall. Također, trebalo bi sve razbiti na VLAN-ove. i routanu mrežu tj. staviti L3 core switch. U tom slučaju ASA je firewall i radi razne security zadatke, L3 switch radi intervlan routing, a na njemu (kažeš da imaš HP) na nivou VLAN-a. možeš postaviti DHCP helper koji bi mogao upućivati na DHCP server i za svaki VLAN radiš određeni scope. Tamo svakom klijentu (ako klijent za taj VLAN dinamički dohvaća IP postavke) fino zadaš defaultni gateway za tu mrežu, u tom slučaju ti je core switch koji tradi translacije defaultni gateway. E sad, kakav ćeš DHCP odabrati to je već pitanje, u svakom slučaju kad već pišeš na "enterprise podforumu" logika kaže jedan server/virtualka/kako god i kombinacija "Sveto Trojstvo" AD/DHCP/DNS.

Primjerice cijelu mrežu zadaš kao 10.10.x.x, i gradiš VLANOve npr. VLAN 2: 10.10.2.0/24 dg: 10.10.2.254 za klijente, VLAN 2: 10.10.3.0/24 dg: 10.10.3.254 za telefone, VLAN 3: 10.10.3.0/24 dg: 10.10.3.254 za telefone, VLAN 2: 10.10.254.0/24 dg: 10.10.254.253 za goste (ovo je posebna priča, gdjde je ovaj .253 IP dodatnog hardverskog porta na ASA-i. i praktički routanje i cijeli guest promet seliš i odvajaš sa core switcha na firewall i tamo sve peglaš kroz ACL-ove.). Itd, itd... Onda si riješio i problem puštanja gosta kroz wireless (njima na wirelessu kreiraš podebnu mrežu i VLAN i WLAN i odvajaš ih od svoje mreže već na AP-u.) i još puno drugih stvari za budućnost.

I ne znam što će ti kolege reći no HP i Cisco se baš uvijek ne vole u svim segmentima. Meni je 90% opreme HP, firewalli (2 x ASA 5506-X u clusteru, 2 x ASA5508-X u clusteru), 2 x CUBE i 2 x UCS (CUCM) su Cisco. No imam problema između UCS-ova. i 5406 zl2 core switcha, gdje se HP i Cisco ne mogu izdogovarati oko link agregacije tj. Etherchanel-a ili ti Port trunkinga po HP terminologiji.

Jesu li ti ova dva core switcha stackana ili između barem imaš neki ether chanell? Isto vrijedi i prema ovim 24 portnim switchevima po odjelima. I ako ideš u priču s VLAN-ovima. trebali bi svi switchevi bili managed i 802.1Q aware, inače ćeš svaki switch moći iskoristiti samo za jedan vlan (npr. na jednom samo računala, no ne i IP telefoni ili printeri, ili WiFi, gosti i sl.). No ovo ode već daleko od onog što si pitao.
[ Marcony @ 10.08.2018. 07:24 ] @
Citat:
komplikator:I ne znam što će ti kolege reći no HP i Cisco se baš uvijek ne vole u svim segmentima. Meni je 90% opreme HP, firewalli (2 x ASA 5506-X u clusteru, 2 x ASA5508-X u clusteru), 2 x CUBE i 2 x UCS (CUCM) su Cisco. No imam problema između UCS-ova. i 5406 zl2 core switcha, gdje se HP i Cisco ne mogu izdogovarati oko link agregacije tj. Etherchanel-a ili ti Port trunkinga po HP terminologiji.



Slazem se sa ovim... Iako je ovo tehnoloski veoma zrela funkcija, i dalje postoje problemi izmedju razlicitih vendora.
[ markovm @ 10.08.2018. 07:45 ] @
Zdravo,

mozes li podeliti deo konfiguracije koji se odnosi na link agregaciju izmedju Cisco i HP strane ?

Kod ovih mesovitih HP/Cisco okruzenja (posebno ako neko dolazi sa Cisco predznanjima) - dosta pomaze HP Cisco CLI reference guide . Sekcija 20, strana 359 adresira link agregaciju i daje uporedne konfiguracije.


Poz,
Milenko.
[ nkrgovic @ 10.08.2018. 08:29 ] @
Nisam siguran da njemu treba ovo... On pravi LACP na HP Switchu na koji kaci CUCM, tj. UCS masinu. Server.

Ne radi LACP switch na switch. Radi LACP na HP Switchu, a kaci Cisco UCS server koji vrti CUCM (Call Manager). Ako sam ja dobro procitao.... :)
[ markovm @ 10.08.2018. 11:42 ] @
Jel CUCM na nekom hipervizoru (i kojem?) ili je direktno na HW-u ? Ima nesto oko politike loadbalancinga na LAG-u sa obe strane koje moraju da se poklope.

Poz,
Milenko.
[ komplikator @ 10.08.2018. 13:47 ] @
Upravo tako, UCS je Cisco unified comunication server, server upakiran sa svime i svačime i na sebi vrti vmware ESXi 6.0.0.

Inače na VMware hostovima nemam problema s LACP-om prema HP-u. no doduše to su i HP serveri, zna se best practice i kako se podešava WMware, i kako HP switch da LACP uredno radi. I agregiram bez problema po 4 kartice, i zasebno portove za vMotion, i portove za management (sve u duplo, zbog redudancije) i sve radi savršeno.

No kad je u pitanju VMWare na Cisco serveru (UCS-u.) onda se ne razumije kako treba s HP-om i zna sam od sebe zablokirati kompletan trunk (agregirani link).

Slična glupost na relaciji HP <> Cisco mi se javlja kod PoE negiotationa na Cisco 8851 telefonu sa dvije ekstenzije i HP2530-48G PoE+ switchu. Ubio se, ali ubio da proradi... od nekog firmwarea na dalje se samo restarta ili starta, a ne boota ekstenzije i tako u nedogled. Pokušano sve i svašta i neće. Na kraju radi na običnom malom 2530-24G PoE+ switchu. Iako oba switcha imaju siti image/firmware i gotovo istu konfiguraciju.

S obzirom da imam 2 UCS-a. i 2 CUBE-a. i sve je redudantno na kraju sam diseblao sekondarni port na switchu i tako privremeno ostavio dok ne nađem riješenje.

Imam i kombinacije HP i Moxa gdje recimo radi FC link da Moxa koristi svoj MM Gibic, a HP na svojoj strani svoj. Na istom switchu samo sa starijim firmweru za site koji imam u Srbiji 2530 bez problema "guta" Moxa Gibic, dok ovaj doma u Hr radi isključivo sa HP Gibicom. Znam da HP od neke verzije podržava samo svoje Gibice no to je počelo znatno prije ovog firmwarea u tim switchevima. Za nekakav backup link (često mi trgaju optiku, a imam je kilometre i kilometre) imam jedan WiFi link sa UBNT Airfiberom i rad mi savršeno sa HP opremom. Izuzev mutavog pasivnog PoE, zbog kojeg mi Ubiquity (i još par detalja) jednostavno nije enterprise oprema.Ne razumijem zašto je teško implemetirati PoE ili PoE+ standard i raditi sa ozbiljnom opremom nego se igrati djetinjastim PoE injektorima. No to je neka druga tema.
[ Joja82 @ 11.08.2018. 22:47 ] @
Ako dobro mislim, imas HP 5406 zl2, to je Aruba modularni switch. Koristim i ja njega u produkciju i imam podesene trunkove (tj, port channel-e i to sve radi) ali misllim da taj switch nije predvidjen za core switch.

Ovaj 5406 zl2 je vise predvidjen da se na njega kace Wifi AP-ovi kao i ip telefoni.

Za core switch mi smo gledali da kupimo HP FlexNetwork 7500 seriju.
[ komplikator @ 13.08.2018. 12:12 ] @
Da, sada je to Aruba, nekad je bio HP. I ovaj naš je već rebrandiran pod Aruba korporativni identitet. Za naše uvjete je idealan kao core switch. Ima 2 redudantna napajanja, ima 2 management modula, napunili smo ga FC i ETH modulima i doslovno imamo "lijevu" i "desnu" stranu i na njemu je 90% linkova bilo optika bilo bakar složeno s link agregacijom. I sve radi savršeno, osim prema UCS-ovima. Mislim da je Cisco koristio dva vendora za UCS-ove, jedan je bio HP, drugi je bio mislim Lenovo. Negdje se to i vidi, zaboravio sam gdje. Cisco samo rebrandira gotov custom server.

Žao nam je samo što nismo uzeli i jedan par 10Gb ethernet modula i na tome bazirali promet prema ESXi hostevima.
[ Joja82 @ 13.08.2018. 21:23 ] @
Slazem se sto se tice redundantnosti to mu je super, sa dva management modula koja rade kao active/pasiv i sa duplim napajanjima je stvarno super.
Mi ga koristimo takodje sa optikom i 10gb modulima u serverima za virtualizaciju. I radi fantasticno vec godinu dana, bez stajanja.

Jos su nam na njemu i dva NETAPP storage-a zakacena na 10gb module u clasteru i sve to sljaka bez problema

Jedino sto je posle cisca, malo teze mu uci u njegovu logiku ali sve se da konfigurisati :)

[ vuja93 @ 27.02.2019. 15:11 ] @
Cao ljudi,

Vidim da je u pitanju tema koja se odnosi na Cisco ASA 5506-X.

Meni je u firmu juce stigla ASA 5508-X, treba da je konfigurisem a pre toga nikada nisam imao dodirnih tacaka sa ASA-om.
Znam ruting i svicing ali oko security ne znam bas nista.

A sobzirom da kolega koji radi Cisco-a vise ne radi u firmi sve je palo na mene tako da cu na neki nacin morati da je iskonfgurisem.


Eee pa ovako....... Imam dve fizicki odvojene mreze u firmi. Obe mreze mi rade preko Cisco L3.

Na jednoj mrezi (192.168.x.x) imam servere,IP kamerice,racunare,VOIP i sve ostalo (to je inace stara mreza) , a na novoj mrezi (141.29.189.x) trenutno koristim samo racunare (tek treba da dodajem nove servere i sve ostalo)


Sa Cisco ASA koja mi je stigla treba da povezem ove dve mreze tako da mogu pristupiti serverima na staroj mrezi kada sam konektovan na novu mrezu


Primer:

Zakacim se sa racunarom na mrezu i od DHCP-a dobijem IP adresu 141.29.189.21. Moj zadatak je da kada dobijem ovu IP adresu mogu da pingujem server koji je npr na 192.168.1.10



Svaka pomoc bi mi dobrodosla


Hvala unapred
[ Qazio @ 06.03.2019. 09:40 ] @
Moje licno misljenje je da taj opseg 141.x.x.x ne koristis u lokalnoj mrezi jer je to javni opseg IP adresa. Ima mnogo razloga zasto to ne bi trebao da radis.
Drugo, ASA kao uredjaj nije bas namenjen za to sto ti hoces, mada potencijalno mozes da to uradis.
To o cemu ti pricas, spajanje dve nezavisne mreze, potencijalno kasnije segmentiranje, pripada rutingu, koji kazes da poznajes.
ASA kao asa je vise uredjaj koji je namenjen da radi kao firewall, ne kao ruter, mislim moze, ali je uskracena za gomilu nekih ruting funkcionalnosti.
[ dragansar @ 06.03.2019. 13:39 ] @
@Qazio slazem se
Sto se tice privatnih adresa treba da se drzi u opsegu adresa koji je namjenjen za to tj :

Privatni blokovi:

10.0.0.0 to 10.255.255.255 (10.0.0.0 /8)
172.16.0.0 to 172.31.255.255 (172.16.0.0 /12)
192.168.0.0 to 192.168.255.255 (192.168.0.0 /16)

Jer ako kao privatne adrese koristi 141.x.x.x ospeg onda ce njegova mreza rutirati njih lokalno i nece mu biti dostupni ti hostovi koji se nalaze negdje na internetu...sto ce rezultirati da naravno ne moze komunicirati sa njima :)

Evo citave podjele adresa:

Host address 0.0.0.0 - 223.255.255.255
Multicast address 224.0.0.0 - 239.255.255.255
Experimental address 240.0.0.0 - 255.255.255.255

TEST-NET Addresses (route does not forward)
192.0.2.0 to 192.0.2.255 (192.0.2.0 /24)

Link-Local Addresses (route does not forward)
169.254.0.0 to 169.254.255.255

Loopback
127.0.0.0 to 127.255.255.255
[ nkrgovic @ 07.03.2019. 08:13 ] @
Cisto da pojasnim ono sto je pitano:

Imas 3 interfejsa : LAN1 , LAN2 i WAN. Ako je sec. level za WAN 1, za LAN1 50 a za LAN2 80, onda ce oba LAN-a da se kace na WAN, a LAN2 ce moci da pridje u LAN1.

https://community.cisco.com/t5...curity-level-0-100/td-p/494811

Naravno, osim sto treba podesiti security levels, i dalje mora da postoje i rute. I da:

https://tools.ietf.org/html/rfc1918

[ Qazio @ 07.03.2019. 14:04 ] @
Ma mislim da to ne mora da radi tako, jer

Citat:
vuja93:

Eee pa ovako....... Imam dve fizicki odvojene mreze u firmi. Obe mreze mi rade preko Cisco L3.



sta god bio taj Cisco L3 da li svic ili ruter obe mreze vezes na taj L3 a GW za izlaz na net ti je asa.
Ovde na ovom linku ti je lepo uputsvo za to sto hoces, ako nisi bas familijaran sa ASA.

https://www.cisco.com/c/en/us/...t/119195-configure-asa-00.html
[ nkrgovic @ 07.03.2019. 17:41 ] @
Ako je pitanje kako treba da spoji dva segmenta / VLAN-a, odgovor je uvek preko L3 switch-a. :)

Ali OP je pitao "kako kroz ASA-u", ja samo odgovorio....