Решено Никак не получается зайти на сайт при использовании Cisco ASA 5510

Статус
Закрыто для дальнейших ответов.
Y

Y0ttaCoddE

Почетный гость
Приветствую всех участников форума! У меня на периметре сети стоит Cisco ASA 5510 на ней весь исходящий трафик разрешён, но на один из сайтов (на этот - http://rgu.mosreg.ru) зайти никак не получается, точнее получается зайти, но при попытке авторизации появляется белый экран в браузере и ничего больше не происходит. С другими сайтами таких проблем нет. Через обычный домашний роутер всё работает, но его использование небезопасно. Через провайдера узнал возможную причину - они посоветовали увеличить объём MTU, увеличил в два раза - было 1500 байт, поставил 3000, после чего зашёл (примерно в 07:00), через какое-то время то же самое. Увеличивал ещё в 10 раз - увеличил до 30000, но не заходит ни с моего компьютера, ни с компьютеров пользователей. Просто и тупо после попытки авторизации белый экран и ничего более. Файл с конфигом оборудования прилагаю. Что можете посоветовать?
 

Вложения

Y0ttaCoddE сказал(а):
Приветствую всех участников форума! У меня на периметре сети стоит Cisco ASA 5510 на ней весь исходящий трафик разрешён, но на один из сайтов (на этот - http://rgu.mosreg.ru) зайти никак не получается, точнее получается зайти, но при попытке авторизации появляется белый экран в браузере и ничего больше не происходит. С другими сайтами таких проблем нет. Через обычный домашний роутер всё работает, но его использование небезопасно. Через провайдера узнал возможную причину - они посоветовали увеличить объём MTU, увеличил в два раза - было 1500 байт, поставил 3000, после чего зашёл (примерно в 07:00), через какое-то время то же самое. Увеличивал ещё в 10 раз - увеличил до 30000, но не заходит ни с моего компьютера, ни с компьютеров пользователей. Просто и тупо после попытки авторизации белый экран и ничего более. Файл с конфигом оборудования прилагаю. Что можете посоветовать?
Нажмите, чтобы раскрыть...
Зачем понадобилось менять значение MTU ?
Больше похоже на проблему с браузером если честно. А вы по сертификату авторизуетесь ?
 
Думаю в этом дело
Код: 
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect http
  inspect ctiqbe
  inspect ils
  inspect ipsec-pass-thru
  inspect mgcp
  inspect pptp
  inspect snmp
!
 

Guidelines and Limitations​

  • HTTP inspection policy maps—If you modify an in-use HTTP inspection policy map (policy-map type inspect http), you must remove and reapply the inspect http map action for the changes to take effect. For example, if you modify the “http-map” inspection policy map, you must remove and readd the inspect http http-map command from the layer 3/4 policy:
hostname(config)# policy-map test
hostname(config-pmap)# class http
hostname(config-pmap-c)# no inspect http http-map
hostname(config-pmap-c)# inspect http http-map
  • All inspection policy maps—If you want to exchange an in-use inspection policy map for a different map name, you must remove the inspect protocol map command, and readd it with the new map. For example:
hostname(config)# policy-map test
hostname(config-pmap)# class sip
hostname(config-pmap-c)# no inspect sip sip-map1
hostname(config-pmap-c)# inspect sip sip-map2

www.cisco.com

Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6 - Configuring Special Actions for Application Inspections (Inspection Policy Map) [Cisco ASA 5500-X Series Firewalls]

Configuring Special Actions for Application Inspections (Inspection Policy Map)
www.cisco.com
 
Fox сказал(а):
Думаю в этом дело
Код: 
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect http
  inspect ctiqbe
  inspect ils
  inspect ipsec-pass-thru
  inspect mgcp
  inspect pptp
  inspect snmp
!
Нажмите, чтобы раскрыть...
Авторизуемся по обычной учётной записи в формате логин/пароль. А в этом коде я включил инспекцию всех протоколов, доступ извне нам не требуется - публичных FTP и HTTP серверов не имеем, поэтому и DMZ нам тоже не нужна. В результате я решил разрешить доступ из локальной сети ко всему.
 
Попробуйте убрать инспекцию http и https, хотя бы временно что бы проверить
 
Добрый день! Сегодня утром попробовал отключить инспекцию протокола HTTP - вроде бы работает. Конфиг пока не сохранял - посмотрим, понаблюдаем. Спасибо за совет!
 
Статус
Закрыто для дальнейших ответов.
Назад
Верх