ASA/PIXでWindowsMedia対応
仕事でちょっとはまったのでメモ。
詳しい内容は都合により書けませんが、とあるネットワークで、FW配下のPCからWindows Media Service(WMS)のストリーミングサイトへつながらないとの指摘がありました。
そのFWはCiscoSystemsのASAです。
現象を調べると、httpでそのサイトのWebページを閲覧後、対象のコンテンツをクリックして、Windows Media Playerが起動するまではOK。
その後、時間をかけてタイトルなどは表示されるものの、コンテンツは流れず...
FWの配下で、セグメントがいくつか分かれていて、それぞれ全く別々のアクセスルールが適用されているので、それぞれのセグメントで確認するとどのセグメントでも同じ状況を確認。
と、言うことは外側の問題?????
それぞれのセグメントについて、WMSをさえぎるルールは見当たらず。
またWMSをあえて、通過するルールを入れても解決せず。
- Real Time Streaming Protocol(RTSP)
- Microsoft Media Server (MMS)
などを使用します。
ちょっと途方にくれていましたが、本家CiscoSystemsさんのサイトのこのような記事が。
ASA/PIX: Allow the Network Traffic to Access the Microsoft Media Server (MMS) / Streaming Video from the Internet Configuration Example - Cisco Systems
PIXやASAについてWMSに対応する記事なんですが、一番下の方の記事に注目。
英語がとても得意なので、詳細は分かりませんが(!?)
「NAT配下とのRTSP通信について、ASA/PIXはデフォルトでinspectするけど、RTSPのデータの中にIPアドレスが入っていて、inspectでデータを壊しちゃうんだよね〜。だから通信ができないことがあるよ〜。」
ということのようです。(まぁ、そんな感じかな)
で、その場合は、グローバルポリシーのinspection_defaultのポリシーの中からrtspのinspectを外せということです。
調べてみると、 rtspだけでなくいろいろデフォルトでinspect対象になってます。
(セキュリティアプライアンスなんであたりまえですが)
追加で入れたアクセスルールをDisableにして、このデフォinspectポリシーからrtspを外したところ、通信ができるようになりました。
というか、こんな内容知らないって!ちゃんと解るようにしておいてよ!
ただこの状態ではrtspの通信については、inspectされません。
セキュリティアプライアンス的には、進化を期待したいです。
個人的にはASAって結構気に入っているので、頑張ってほしいなぁ。