|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
ASA блокирует HTTP к одному серверу через VPN
Автор |
Сообщение |
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
Добрый день! Возникла проблема с межсетевым экраном Cisco ASA 5505, 8.4(3) k8. Обрисую ситуацию. Организован удалённый доступ с использованием AnyConnect VPN. Имеется сервер (192.168.100.14), к которому нужно получать доступ из VPN, но проблема в том, что HTTP-пакеты отбрасываются ASA. По SSH или любому другому порту доступ имеется. Локально я могу зайти на этот сервер по HTTP. При этом я могу зайти на другой стоящий рядом веб-сервер (192.168.100.13) как по VPN, так и локально. Очевидно, что есть какое-то правило доступа, которое отбрасывает пакеты к этому (192.168.100.14) серверу. Вот что видно по команде: Код: capture drop type asp-drop acl-drop real-time trace detail match tcp host 192.168.10.109 host 192.168.100.14 eq 80
14: 13:30:26.097025 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24997 > 192.168.100.14.80: S [tcp sum ok] 3172630505:3172630505(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10172) Drop-reason: (acl-drop) Flow is denied by configured rule 15: 13:30:26.098215 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24998 > 192.168.100.14.80: S [tcp sum ok] 2430765696:2430765696(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10173) 16: 13:30:26.348614 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24999 > 192.168.100.14.80: S [tcp sum ok] 2150419467:2150419467(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10174) Утилита packet-tracer тоже не дала внятного ответа: Код: ASA5505# packet-tracer input outside tcp 192.168.10.109 25004 192.168.100.14 8$
Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0xcb579f38, priority=1, domain=permit, deny=false hits=5789645, user_data=0x0, cs_id=0x0, l3_type=0x8 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=outside, output_ifc=any
Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 192.168.100.0 255.255.255.0 VM
Phase: 3 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group OUTin in interface outside access-list OUTin extended permit tcp any object WEB14-dev eq www Additional Information: Forward Flow based lookup yields rule: in id=0xcb6556e0, priority=13, domain=permit, deny=false hits=2281, user_data=0xc958e350, cs_id=0x0, use_real_addr, flags=0x0, protocol=6 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=192.168.100.14, mask=255.255.255.255, port=80, dscp=0x0 input_ifc=outside, output_ifc=any Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xcb57dc40, priority=0, domain=inspect-ip-options, deny=true hits=137204, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=outside, output_ifc=any Phase: 5 Type: CP-PUNT Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xcdac8828, priority=79, domain=punt, deny=true hits=186, user_data=0xcaccf2e8, cs_id=0x0, flags=0x0, protocol=0 src ip/id=192.168.10.109, mask=255.255.255.255, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=outside, output_ifc=any Phase: 6 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect waas service-policy global_policy global Additional Information: Forward Flow based lookup yields rule: in id=0xcc241b60, priority=70, domain=inspect-waas, deny=false hits=4153, user_data=0xcc23ec78, cs_id=0x0, use_real_addr, flags=0x0, protocol=6 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, sport range<0> : 1-65535 dscp=0x0 input_ifc=outside, output_ifc=any Phase: 7 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect http service-policy global_policy global Additional Information: Forward Flow based lookup yields rule: in id=0xcc246aa0, priority=70, domain=inspect-http, deny=false hits=2819, user_data=0xcc243aa0, cs_id=0x0, use_real_addr, flags=0x0, protocol=6 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, dscp=0x0 input_ifc=outside, output_ifc=any Phase: 8 Type: WEBVPN-SVC Subtype: in Result: DROP Config: Additional Information: Forward Flow based lookup yields rule: in id=0xcdac8b00, priority=70, domain=svc-ib-tunnel-flow, deny=false hits=186, user_data=0xe000, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=192.168.10.109, mask=255.255.255.255, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=outside, output_ifc=any Result: input-interface: outside input-status: up input-line-status: up output-interface: VM output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule Итого, имеем, что пакет отбрасывается на стадии WEBVPN-SVC, но не указано правило, которое его отбросило. Товарищи, подскажите, что делать в таких случаях? Как траблшутить VPN? Отключать все списки доступа по порядку и пробовать, который сработает? Если нужны какие-то куски конфига, то укажите какие, я докину. Заранее спасибо.
|
17 ноя 2017, 12:37 |
|
|
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
Прикладываю кусок конфига, который имеет отношение к NAT, ACL и VPN. Код: ASA Version 8.4(3) ! hostname ASA5505 ! interface Ethernet0/0 description WAN switchport trunk allowed vlan 999 switchport mode trunk ! interface Vlan100 description mngmnt_VM nameif VM security-level 80 ip address 192.168.100.1 255.255.255.0 ! interface Vlan999 description internet nameif outside security-level 0 ip address X.X.X.X 255.255.255.248 ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network NETWORK_OBJ_192.168.10.0_24 subnet 192.168.10.0 255.255.255.0 object service www service tcp source eq www object network WEB14-dev host 192.168.100.14 object network WEB14-dev443 host 192.168.100.14 object service https service tcp source eq https object network VM subnet 192.168.100.0 255.255.255.0 object-group network SERVERS network-object host 192.168.100.13 network-object host 192.168.100.14 ! access-list 118 standard permit 192.168.100.0 255.255.255.0 access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list VM-to-seclvl100 extended permit ip any any access-list OUTin extended permit tcp any object WEB14-dev eq www access-list OUTin extended permit tcp any object WEB14-dev eq https access-list any extended permit ip any any log ! ip local pool anyPOOL 192.168.10.1-192.168.10.254 mask 255.255.255.0 ! nat (VM,outside) source static WEB14-dev interface service www www nat (VM,outside) source static WEB14-dev443 interface service https https nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup nat (outside,outside) source dynamic NETWORK_OBJ_192.168.10.0_24 interface nat (VM,outside) source static VM VM destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup nat (VM,outside) source dynamic SERVERS interface ! access-group VM-to-seclvl100 in interface VM access-group OUTin in interface outside route outside 0.0.0.0 0.0.0.0 X.X.X.Y 1 ! vpn-sessiondb max-other-vpn-limit 25 vpn-sessiondb max-anyconnect-premium-or-essentials-limit 25 ! webvpn port 4444 enable outside dtls port 4444 anyconnect-essentials anyconnect image disk0:/anyconnect-win-3.1.03103-k9.pkg 1 anyconnect image disk0:/anyconnect-linux-3.1.03103-k9.pkg 2 anyconnect enable tunnel-group-list enable keepout "Service out temporarily." group-policy GroupPolicy_anyVPN internal group-policy GroupPolicy_anyVPN attributes wins-server none vpn-simultaneous-logins 1 vpn-tunnel-protocol ssl-client split-tunnel-policy tunnelspecified split-tunnel-network-list value 118 tunnel-group anyVPN type remote-access tunnel-group anyVPN general-attributes address-pool anyPOOL default-group-policy GroupPolicy_anyVPN tunnel-group anyVPN webvpn-attributes group-alias anyVPN enable
|
17 ноя 2017, 13:20 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
не по существу вопроса - А что делается этими ACL? br0ke писал(а): access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list VM-to-seclvl100 extended permit ip any any
|
17 ноя 2017, 13:37 |
|
|
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
aliotru писал(а): не по существу вопроса - А что делается этими ACL? br0ke писал(а): access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list VM-to-seclvl100 extended permit ip any any Хозяйство досталось мне по наследству от предыдущего админа, поэтому я сам пока только осваиваюсь. Насколько я понимаю, этот ACL запрещает виртуальным машинам иметь доступ во внутреннюю сеть компании, только в интернет. Там были и другие команды (например, разрешается доступ к внутреннему DNS, разрешается доступ к отдельному хосту во внутренней сети), но они не имели отношения к делу, поэтому я их выпилил, а без них список доступа стал выглядеть каким-то бедным и бессмысленным.
|
17 ноя 2017, 14:10 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
вторая строчка этого ACL не имеет смысла
|
17 ноя 2017, 15:10 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
смотри NAT, у тебя там достаточно правил не в конфиге, а по факту, когда пробуешь установить tcp сессию
|
17 ноя 2017, 15:11 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
подозреваю, что проблема здесь br0ke писал(а): nat (VM,outside) source static WEB14-dev interface service www www nat (VM,outside) source static VM VM destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup Поменять бы местами данные правила.
|
17 ноя 2017, 20:09 |
|
|
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
Рубен Папян писал(а): вторая строчка этого ACL не имеет смысла Спасибо за замечание. Надо бы пофиксить.
|
18 ноя 2017, 10:43 |
|
|
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
crash писал(а): Поменять бы местами данные правила. Поменял. Действительно, теперь веб-сервер доступ из VPN, но он перестал быть доступен из Интернета. Можно ли как-то совместить одно с другим? Правильно ли я понимаю, что VPN и Большой Злой Интернет приходят с одного и того же интерфейса outside? Можно ли как-то разделить эти потоки? Edit: Наврал, веб-сервер доступен и из VPN, и из Интернета. То, что надо. Спасибо!
Последний раз редактировалось br0ke 18 ноя 2017, 13:02, всего редактировалось 1 раз.
|
18 ноя 2017, 12:59 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
br0ke писал(а): Рубен Папян писал(а): вторая строчка этого ACL не имеет смысла Спасибо за замечание. Надо бы пофиксить. тогда уже и первая тоже не имеет смысла
|
18 ноя 2017, 13:02 |
|
|
br0ke
Зарегистрирован: 17 ноя 2017, 12:10 Сообщения: 6
|
Спасибо всем за участие и помощь! Проблема разрешилась. Для себя вынес урок, что всё-таки надо разобраться в каждой строчке этого конфига, понять, что она значит Не могу найти кнопку, как закрыть тему. Или тут так не принято?
|
20 ноя 2017, 07:25 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
так и что в итоге то было?
|
20 ноя 2017, 10:03 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Правила manual (twice) NAT в неправильном порядке стояли.
|
20 ноя 2017, 22:29 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 77 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|