Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:07



Ответить на тему  [ Сообщений: 13 ] 
ASA блокирует HTTP к одному серверу через VPN 
Автор Сообщение

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
Добрый день! Возникла проблема с межсетевым экраном Cisco ASA 5505, 8.4(3) k8.
Обрисую ситуацию. Организован удалённый доступ с использованием AnyConnect VPN. Имеется сервер (192.168.100.14), к которому нужно получать доступ из VPN, но проблема в том, что HTTP-пакеты отбрасываются ASA. По SSH или любому другому порту доступ имеется. Локально я могу зайти на этот сервер по HTTP. При этом я могу зайти на другой стоящий рядом веб-сервер (192.168.100.13) как по VPN, так и локально. Очевидно, что есть какое-то правило доступа, которое отбрасывает пакеты к этому (192.168.100.14) серверу.

Вот что видно по команде:
Код:
capture drop type asp-drop acl-drop real-time trace detail match tcp host 192.168.10.109 host 192.168.100.14 eq 80

  14: 13:30:26.097025 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24997 > 192.168.100.14.80: S [tcp sum ok] 3172630505:3172630505(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10172) Drop-reason: (acl-drop) Flow is denied by configured rule
  15: 13:30:26.098215 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24998 > 192.168.100.14.80: S [tcp sum ok] 2430765696:2430765696(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10173)
  16: 13:30:26.348614 001c.f96c.5080 2c54.2d3f.246c 0x8100 66: 802.1Q vlan#257 P0 192.168.10.109.24999 > 192.168.100.14.80: S [tcp sum ok] 2150419467:2150419467(0) win 8192 <mss 1359,nop,nop,sackOK> (DF) (ttl 65, id 10174)



Утилита packet-tracer тоже не дала внятного ответа:
Код:
ASA5505# packet-tracer input outside tcp 192.168.10.109 25004 192.168.100.14 8$

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcb579f38, priority=1, domain=permit, deny=false
   hits=5789645, user_data=0x0, cs_id=0x0, l3_type=0x8
   src mac=0000.0000.0000, mask=0000.0000.0000
   dst mac=0000.0000.0000, mask=0100.0000.0000
   input_ifc=outside, output_ifc=any

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.168.100.0   255.255.255.0   VM

Phase: 3
Type: ACCESS-LIST
Subtype: log 
Result: ALLOW
Config:       
access-group OUTin in interface outside
access-list OUTin extended permit tcp any object WEB14-dev eq www
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcb6556e0, priority=13, domain=permit, deny=false
        hits=2281, user_data=0xc958e350, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=192.168.100.14, mask=255.255.255.255, port=80, dscp=0x0
        input_ifc=outside, output_ifc=any
             
Phase: 4     
Type: IP-OPTIONS
Subtype:     
Result: ALLOW
Config:       
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcb57dc40, priority=0, domain=inspect-ip-options, deny=true
        hits=137204, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any
             
Phase: 5     
Type: CP-PUNT
Subtype:     
Result: ALLOW
Config:       
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcdac8828, priority=79, domain=punt, deny=true
        hits=186, user_data=0xcaccf2e8, cs_id=0x0, flags=0x0, protocol=0
        src ip/id=192.168.10.109, mask=255.255.255.255, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any
             
Phase: 6     
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:       
class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 class inspection_default
  inspect waas
service-policy global_policy global
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc241b60, priority=70, domain=inspect-waas, deny=false
        hits=4153, user_data=0xcc23ec78, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0,
        sport range<0> : 1-65535 dscp=0x0
        input_ifc=outside, output_ifc=any
             
Phase: 7     
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:       
class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 class inspection_default
  inspect http
service-policy global_policy global
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcc246aa0, priority=70, domain=inspect-http, deny=false
        hits=2819, user_data=0xcc243aa0, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, dscp=0x0
        input_ifc=outside, output_ifc=any
             
Phase: 8     
Type: WEBVPN-SVC
Subtype: in   
Result: DROP 
Config:       
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xcdac8b00, priority=70, domain=svc-ib-tunnel-flow, deny=false
        hits=186, user_data=0xe000, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=192.168.10.109, mask=255.255.255.255, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=outside, output_ifc=any
             
Result:       
input-interface: outside
input-status: up
input-line-status: up
output-interface: VM
output-status: up
output-line-status: up
Action: drop 
Drop-reason: (acl-drop) Flow is denied by configured rule



Итого, имеем, что пакет отбрасывается на стадии WEBVPN-SVC, но не указано правило, которое его отбросило. Товарищи, подскажите, что делать в таких случаях? Как траблшутить VPN? Отключать все списки доступа по порядку и пробовать, который сработает? Если нужны какие-то куски конфига, то укажите какие, я докину.
Заранее спасибо.


17 ноя 2017, 12:37
Профиль

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
Прикладываю кусок конфига, который имеет отношение к NAT, ACL и VPN.
Код:
ASA Version 8.4(3)
!
hostname ASA5505
!
interface Ethernet0/0
 description WAN
 switchport trunk allowed vlan 999
 switchport mode trunk
!
interface Vlan100
 description mngmnt_VM
 nameif VM
 security-level 80
 ip address 192.168.100.1 255.255.255.0
!
interface Vlan999
 description internet
 nameif outside
 security-level 0
 ip address X.X.X.X 255.255.255.248
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network NETWORK_OBJ_192.168.10.0_24
 subnet 192.168.10.0 255.255.255.0
object service www
 service tcp source eq www
object network WEB14-dev
 host 192.168.100.14
object network WEB14-dev443
 host 192.168.100.14
object service https
 service tcp source eq https
object network VM
 subnet 192.168.100.0 255.255.255.0
object-group network SERVERS
 network-object host 192.168.100.13
 network-object host 192.168.100.14
!
access-list 118 standard permit 192.168.100.0 255.255.255.0
access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any
access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list VM-to-seclvl100 extended permit ip any any
access-list OUTin extended permit tcp any object WEB14-dev eq www
access-list OUTin extended permit tcp any object WEB14-dev eq https
access-list any extended permit ip any any log
!
ip local pool anyPOOL 192.168.10.1-192.168.10.254 mask 255.255.255.0
!
nat (VM,outside) source static WEB14-dev interface service www www
nat (VM,outside) source static WEB14-dev443 interface service https https
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup
nat (outside,outside) source dynamic NETWORK_OBJ_192.168.10.0_24 interface
nat (VM,outside) source static VM VM destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup
nat (VM,outside) source dynamic SERVERS interface
!             
access-group VM-to-seclvl100 in interface VM
access-group OUTin in interface outside
route outside 0.0.0.0 0.0.0.0 X.X.X.Y 1
!
vpn-sessiondb max-other-vpn-limit 25
vpn-sessiondb max-anyconnect-premium-or-essentials-limit 25
!
webvpn
 port 4444
 enable outside
 dtls port 4444
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-3.1.03103-k9.pkg 1
 anyconnect image disk0:/anyconnect-linux-3.1.03103-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 keepout "Service out temporarily."
group-policy GroupPolicy_anyVPN internal
group-policy GroupPolicy_anyVPN attributes
 wins-server none
 vpn-simultaneous-logins 1
 vpn-tunnel-protocol ssl-client
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value 118
tunnel-group anyVPN type remote-access
tunnel-group anyVPN general-attributes
 address-pool anyPOOL
 default-group-policy GroupPolicy_anyVPN
tunnel-group anyVPN webvpn-attributes
 group-alias anyVPN enable


17 ноя 2017, 13:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
не по существу вопроса -
А что делается этими ACL?
br0ke писал(а):
access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any
access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list VM-to-seclvl100 extended permit ip any any


17 ноя 2017, 13:37
Профиль

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
aliotru писал(а):
не по существу вопроса -
А что делается этими ACL?
br0ke писал(а):
access-list VM-to-seclvl100 extended permit ip 192.168.100.0 255.255.255.0 any
access-list VM-to-seclvl100 extended deny ip 192.168.100.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list VM-to-seclvl100 extended permit ip any any

Хозяйство досталось мне по наследству от предыдущего админа, поэтому я сам пока только осваиваюсь. Насколько я понимаю, этот ACL запрещает виртуальным машинам иметь доступ во внутреннюю сеть компании, только в интернет. Там были и другие команды (например, разрешается доступ к внутреннему DNS, разрешается доступ к отдельному хосту во внутренней сети), но они не имели отношения к делу, поэтому я их выпилил, а без них список доступа стал выглядеть каким-то бедным и бессмысленным.


17 ноя 2017, 14:10
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
вторая строчка этого ACL не имеет смысла


17 ноя 2017, 15:10
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
смотри NAT, у тебя там достаточно правил
не в конфиге, а по факту, когда пробуешь установить tcp сессию


17 ноя 2017, 15:11
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
подозреваю, что проблема здесь
br0ke писал(а):
nat (VM,outside) source static WEB14-dev interface service www www
nat (VM,outside) source static VM VM destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup

Поменять бы местами данные правила.


17 ноя 2017, 20:09
Профиль

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
Рубен Папян писал(а):
вторая строчка этого ACL не имеет смысла

Спасибо за замечание. Надо бы пофиксить.


18 ноя 2017, 10:43
Профиль

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
crash писал(а):
Поменять бы местами данные правила.

Поменял. Действительно, теперь веб-сервер доступ из VPN, но он перестал быть доступен из Интернета. Можно ли как-то совместить одно с другим?
Правильно ли я понимаю, что VPN и Большой Злой Интернет приходят с одного и того же интерфейса outside? Можно ли как-то разделить эти потоки?

Edit: Наврал, веб-сервер доступен и из VPN, и из Интернета. То, что надо. Спасибо! :)


Последний раз редактировалось br0ke 18 ноя 2017, 13:02, всего редактировалось 1 раз.



18 ноя 2017, 12:59
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
br0ke писал(а):
Рубен Папян писал(а):
вторая строчка этого ACL не имеет смысла

Спасибо за замечание. Надо бы пофиксить.

тогда уже и первая тоже не имеет смысла


18 ноя 2017, 13:02
Профиль

Зарегистрирован: 17 ноя 2017, 12:10
Сообщения: 6
Спасибо всем за участие и помощь! Проблема разрешилась. Для себя вынес урок, что всё-таки надо разобраться в каждой строчке этого конфига, понять, что она значит :)
Не могу найти кнопку, как закрыть тему. Или тут так не принято?


20 ноя 2017, 07:25
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
так и что в итоге то было?


20 ноя 2017, 10:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Правила manual (twice) NAT в неправильном порядке стояли.


20 ноя 2017, 22:29
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB