ASA + WSA + Маршрутизаор
Попытаюсь начать цикл коротких статей по WSA.
Начну не сначала, в последствии постараюсь дописать все с начала.
Итак, предположим что WSA уже настроен, так же на ASA и WSA настроено перенаправление WEB трафика по WCCP.
Внутренние пользователи работают через прокси сервер, а вот пользователи, подключенные через AnyConnect работают без прокси.
Вы решили внедрить концепцию BYOD - то есть, все пользователи, как локальные так и удаленные, работают по одним и тем же правилам.
Одна из составляющих этого - WEB безопасность.
Как же нам быть? как пустить удаленных пользователей через прокси?
Сделать это можно несколькими способами:
1. Использовать явное указание прокси сервера в групповой политике удаленных пользователей.
2. Использовать WCCP перенаправление не на ASA, а на другом маршрутизаторе.
3. Отправить весь трафик AnyConnect пользователей на маршрутизатор за Cisco ASA, и вернуть его обратно (U-Turn), после чего он уже будет аналогичен трафику от локальных машин.
Мы рассмотрим именно третий вариант.
Итак есть сеть, похожая на то что изображено ниже:
Есть некое ядро, выполняющее маршрутизацию между VLAN'ами внутри сети.
Пользователи, подключенные по AnyConnect, уже имеют доступ к локальным ресурсам.
Теперь нам требуется пустить их в сеть интернет, причем через устройство защиты - Cisco WSA (ну или любой прокси сервер, поддерживающий WCCP).
Конечно нам нужно, в групповой политике указать split-tunnel-policy tunnelall,
настроить необходимые фильтры.
Теперь о том как же нам завернуть трафик "туда - обратно"?
На Cisco ASA нужно указать маршрут по умолчанию на внутренний маршрутизатор, для трафика, пришедшего от удаленных пользователей, делается это так:
route inside 0.0.0.0 0.0.0.0 192.168.2.2 tunneled
route inside 192.168.3.0 255.255.255.224 192.168.2.2
Включить NAT для них, но не (outside,outside) а (inside,outside), так как трафик придет уже через inside интерфейс:
object network ANYCONNECT_NET
subnet 192.168.3.0 255.255.255.0
nat (inside,outside) dynamic interface
Маршрут на самом WSA на эту сеть, должен быть через Cisco ASA а не через ваш маршрутизатор.
В итоге трафик пойдет примерно так как на рисунке ниже:
Коротко напомню про перенаправление с Cisco ASA (90 - идентификатор - у вас может быть другой):
access-list WCCP_REDIRECT_ACL1 remark Block spoof 1
access-list WCCP_REDIRECT_ACL1 extended deny ip any 10.0.0.0 255.0.0.0
access-list WCCP_REDIRECT_ACL1 remark Block spoof 2
access-list WCCP_REDIRECT_ACL1 extended deny ip any 192.168.0.0 255.255.0.0
access-list WCCP_REDIRECT_ACL1 remark Block spoof 3
access-list WCCP_REDIRECT_ACL1 extended deny ip any 172.16.0.0 255.240.0.0
access-list WCCP_REDIRECT_ACL1 extended permit ip any any log disable
wccp 90 redirect-list WCCP_REDIRECT_ACL1
wccp interface inside 90 redirect in
Начну не сначала, в последствии постараюсь дописать все с начала.
Итак, предположим что WSA уже настроен, так же на ASA и WSA настроено перенаправление WEB трафика по WCCP.
Внутренние пользователи работают через прокси сервер, а вот пользователи, подключенные через AnyConnect работают без прокси.
Вы решили внедрить концепцию BYOD - то есть, все пользователи, как локальные так и удаленные, работают по одним и тем же правилам.
Одна из составляющих этого - WEB безопасность.
Как же нам быть? как пустить удаленных пользователей через прокси?
Сделать это можно несколькими способами:
1. Использовать явное указание прокси сервера в групповой политике удаленных пользователей.
2. Использовать WCCP перенаправление не на ASA, а на другом маршрутизаторе.
3. Отправить весь трафик AnyConnect пользователей на маршрутизатор за Cisco ASA, и вернуть его обратно (U-Turn), после чего он уже будет аналогичен трафику от локальных машин.
Мы рассмотрим именно третий вариант.
Итак есть сеть, похожая на то что изображено ниже:
Есть некое ядро, выполняющее маршрутизацию между VLAN'ами внутри сети.
Пользователи, подключенные по AnyConnect, уже имеют доступ к локальным ресурсам.
Теперь нам требуется пустить их в сеть интернет, причем через устройство защиты - Cisco WSA (ну или любой прокси сервер, поддерживающий WCCP).
Конечно нам нужно, в групповой политике указать split-tunnel-policy tunnelall,
настроить необходимые фильтры.
Теперь о том как же нам завернуть трафик "туда - обратно"?
На Cisco ASA нужно указать маршрут по умолчанию на внутренний маршрутизатор, для трафика, пришедшего от удаленных пользователей, делается это так:
route inside 0.0.0.0 0.0.0.0 192.168.2.2 tunneled
route inside 192.168.3.0 255.255.255.224 192.168.2.2
Включить NAT для них, но не (outside,outside) а (inside,outside), так как трафик придет уже через inside интерфейс:
object network ANYCONNECT_NET
subnet 192.168.3.0 255.255.255.0
nat (inside,outside) dynamic interface
Маршрут на самом WSA на эту сеть, должен быть через Cisco ASA а не через ваш маршрутизатор.
В итоге трафик пойдет примерно так как на рисунке ниже:
Коротко напомню про перенаправление с Cisco ASA (90 - идентификатор - у вас может быть другой):
access-list WCCP_REDIRECT_ACL1 remark Block spoof 1
access-list WCCP_REDIRECT_ACL1 extended deny ip any 10.0.0.0 255.0.0.0
access-list WCCP_REDIRECT_ACL1 remark Block spoof 2
access-list WCCP_REDIRECT_ACL1 extended deny ip any 192.168.0.0 255.255.0.0
access-list WCCP_REDIRECT_ACL1 remark Block spoof 3
access-list WCCP_REDIRECT_ACL1 extended deny ip any 172.16.0.0 255.240.0.0
access-list WCCP_REDIRECT_ACL1 extended permit ip any any log disable
wccp 90 redirect-list WCCP_REDIRECT_ACL1
wccp interface inside 90 redirect in
Комментарии
Отправить комментарий