URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1495
[ Назад ]

Исходное сообщение
"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 13:05

Добрый день
IPSEC тунель между 2921 и аса 9.1(1) построился, но траффик не ходит, помогите.
Думаю из-за ната, но вроде всё правильно
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network 123
subnet 0.0.0.0 0.0.0.0
object network Ipsec
subnet 10.161.128.0 255.255.255.0
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
!
object network 123
nat (any,outside) dynamic interface

При дебаге исмп
Отвечает аса на исмп через внешний интерфейс т.е вроде натятса пакеты, а не должны
ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=724 len=32
ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=725 len=32
ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=726 len=32
Спасибо

Содержание

asa ipsec nat,crash, 13:54 , 09-Окт-14
- asa ipsec nat,Dmt, 14:17 , 09-Окт-14
- asa ipsec nat,Dmt, 14:20 , 09-Окт-14
  - asa ipsec nat,crash, 14:25 , 09-Окт-14
    - asa ipsec nat,Dmt, 14:33 , 09-Окт-14
      - asa ipsec nat,crash, 17:52 , 09-Окт-14
    - asa ipsec nat,Dmt, 14:42 , 09-Окт-14
- asa ipsec nat,Dmt, 15:07 , 09-Окт-14

Сообщения в этом обсуждении

"asa ipsec nat"
Отправлено crash , 09-Окт-14 13:54

Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 и что у вас настроено с другой стороны?
Что покажет вывод команды, например такой
packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80

"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 14:17

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
Спасибо, я пробовал и так
object network Ipsec
subnet 10.161.128.0 255.255.255.0
object network NETWORK_OBJ_10.161.128.0_24
subnet 10.161.128.0 255.255.255.0
object network NETWORK_OBJ_192.168.100.0_24
subnet 192.168.100.0 255.255.255.0
access-list outside_cryptomap extended permit ip 192.168.100.0 255.255.255.0 10.161.128.0 255.255.255.0
access-list icmp extended permit icmp host 192.168.100.114 any
access-list outside_cryptomap_1 extended permit ip 192.168.100.0 255.255.255.0
nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static Ipsec Ipsec

"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 14:20

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
В пакет трасере видно что хост отправляет ответ в приватную сеть 10
но овтеты натятся и уходят с аутсайда на валидый адрес

"asa ipsec nat"
Отправлено crash , 09-Окт-14 14:25

>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>> и что у вас настроено с другой стороны?
>> Что покажет вывод команды, например такой
>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
> но овтеты натятся и уходят с аутсайда на валидый адрес
ну вы покажите вывод или нет?

"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 14:33

>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?
5505# packet-tracer input inside tcp 192.168.100.14 10000 10.161.128.1 80
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
NAT divert to egress interface outside
Untranslate 10.161.128.1/80 to 10.161.128.1/80
Phase: 2
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
Static translate 192.168.100.14/10000 to 192.168.100.14/10000
Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Почему дроп???

"asa ipsec nat"
Отправлено crash , 09-Окт-14 17:52

покажите настройки

"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 14:42

>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?
5505# show asp drop
Frame drop:
  Flow is denied by configured rule (acl-drop)                               414
  Invalid SPI (np-sp-invalid-spi)                                             34
  First TCP packet not SYN (tcp-not-syn)                                      30
  TCP failed 3 way handshake (tcp-3whs-failed)                                 1
  TCP RST/FIN out of order (tcp-rstfin-ooo)                                    5
  Slowpath security checks failed (sp-security-failed)                        46
  Interface is down (interface-down)                                           2
  Non-IP packet received in routed mode (non-ip-pkt-in-routed-mode)            1
  Dropped pending packets in a closed socket (np-socket-closed)                1
Last clearing: Never
Flow drop:
  Need to start IKE negotiation (need-ike)                                   236
  SSL bad record detected (ssl-bad-record-detect)                              2

"asa ipsec nat"
Отправлено Dmt , 09-Окт-14 15:07

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
С другой стороны 2921
Interface: GigabitEthernet0/1
Session status: UP-ACTIVE
Peer: 8.7.22.6 port 500
  IKEv1 SA: local 7.27.21.66/500 remote 8.7.52.6/500 Active
  IPSEC FLOW: permit ip 10.161.128.0/255.255.255.0 192.168.100.0/255.255.255.0
        Active SAs: 2, origin: crypto map