FMC/FTD Remote access i zewnętrzny serwer DHCP

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

FMC/FTD Remote access i zewnętrzny serwer DHCP

#1

#1 Post autor: myszasty »

Hej,
Mam problem z konfiguracją zewnętrznego serwer dhcp dla Remote Access w FMC/FTD.
FTD - Cisco Firepower 2110 Threat Defense (77) Version 6.4.0.4
Robie wszystko zgodnie z doc - https://www.cisco.com/c/en/us/td/docs/s ... ht_qb2_5gb

I niestety adresu nie dostaje z serwera,
W logach nawet nie ma próby połączenia z serwerem dhcp.

Może jakieś pomysły?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#2

#2 Post autor: drake »

Hej,
sprawdz ustawienia group policy dla tego polacznia RAVPN. Interesuja cie 2 rzeczy:
1. serwer DHCP musi byc zdefiniowany jako obiekt i wybrany/ustawiony w profilu anyconnect do przyznawania adresow IP klientom (zamiast lokalnej puli adresow IPv4)
2. w profilu polaczenia (group policy), sekcja DNS/WINS masz cos takiego jak "dhcp network scope" - musisz zdefiniowac to lokalnie jako obiekt IPv4 w object manager, zeby zapytanie do serwera DHCP bylo wyslane o adres IP z tego wlasnie zakresu

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#3

#3 Post autor: myszasty »

Dzięki,
Pierwszy punkt rozumiem :)
Drugi - nie wiem czy dobrze rozumiem. Powiedzmy ze mam pule 10.10.10.0/24, zdefiniowałem ten (w polu dhcp network scope) obiekt jako 10.10.10.2/32. Teraz widzę w logach komunikację pomiędzy serwerem dhcp a obiektem 10.10.10.2 ale nadal nie dostaje adresów.
Coś na pewno źle robię :) tylko co :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#4

#4 Post autor: drake »

A na tym serwerze DHCP masz ten scope oczywiscie skonfigurowany, right? Poza tym, zajrzyj w FMC / Device Management / Device (twoj FTD), masz tam tez zakladke DHCP/DHCP-Relay...

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#5

#5 Post autor: myszasty »

tak tak :) skonfigurowany to on jest na pewno :)
A czy relay nie działa dla całości ruchu ? - mam tam skonfigurowanych kilka grup - i chciałbym najpierw testowo dla jednej zrobić dhcp na zewnętrznym serwerze.

M

kamil123
member
member
Posty: 22
Rejestracja: 25 kwie 2019, 01:37

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#6

#6 Post autor: kamil123 »

Czyli nie masz relay?
Skoro widzisz ruch serwer DHCP <> adres 10.10.10.2, to może NAT?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#7

#7 Post autor: drake »

Hej,
jest kilka mozliwosci, polecam wykorzystanie dostepnych narzedzi jak np. packet tracer czy capture, bedziesz widzial co sie dzieje. Masz mozliwosc capture na tym serwerze (lub konfiguracje SPAN na przelaczniku gdzie ten serwer jest podpiety)?

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#8

#8 Post autor: myszasty »

na 90% problemem jest brak routy dla zakresu DHCP do internetu.. ale jakoś sie teraz cykam żeby ją dodać - ostatnio przy czymś takim wysadziłem firewalla :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#9

#9 Post autor: drake »

Hej myszasty, sorki, ale to co piszesz nie ma sensu. Rob troubleshooting po kolei - czy DHCP dziala i klient otrzymuje adres z danej puli? Tak/Nie? Jesli tak i kolejnym problemem jest dostep do internetu dla tejze puli, stanowi to zupelnie inny problem. Wiec jak jest?

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#10

#10 Post autor: myszasty »

DHCP działa, widzę w logach ruch pomiedzy DHCP a adresem zdefiniowanym między "dhcp network scope". Capture zapięte na serwer dhcp pokazuje pakiety pomiedzy tymi dwoma adresami. PT pokazuje alow na ruchu, a klient jak nie dostawał adresu to nie dostaje :( za bardzo nie wiem co jeszcze moze być skopane.
W międzyczasie case w Cisco otwarty - czekam na kogoś kto zajmuje się VPN FTD.

M

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#11

#11 Post autor: qligowski »

A sprawdzales date /ntp na serwerze DHCP?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#12

#12 Post autor: drake »

Hej myszasty,
To daj znac co bylo problemen jak rozwiazesz sprawe z TAC.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#13

#13 Post autor: myszasty »

Sprawy narazie nie rozwiązałem, ale przydatną rzecz wklejam

copy /pcap capture:capin ftp:/

TAC ( a VPNonowa część) mocno robotą obłożona

Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

Re: FMC/FTD Remote access i zewnętrzny serwer DHCP

#14

#14 Post autor: myszasty »

brakowało route-lookup w nacie do klientów.. 4 dni psu..

ODPOWIEDZ