Автор |
Сообщение |
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Камрады, помогите диагностировать проблему. Есть конфиг на 5512, поднят l2tp over ipsec и все, нет больше нечего. Код: : Saved
ASA Version 9.10(1)10 ! hostname td-asa-vpn01 domain-name sasa.ru enable password ***** encrypted passwd ***** encrypted names no mac-address auto ip local pool Net1721660 172.16.6.128-172.16.6.254 mask 255.255.255.0
! interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 97.165.201.94 255.255.255.240 ! interface GigabitEthernet0/1 nameif INSIDE security-level 100 ip address 192.168.254.18 255.255.255.248 ! boot system disk0:/asa9-10-1-10-smp-k8.bin same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network NETWORK_OBJ_172.16.6.128_25 subnet 172.16.6.128 255.255.255.128 access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh access-list OUTSIDE_access_in extended permit ip object NETWORK_OBJ_172.16.6.128_25 10.1.0.0 255.255.0.0 access-list OUTSIDE_access_in extended permit tcp object NETWORK_OBJ_172.16.6.128_25 192.168.254.16 255.255.255.248 eq https access-list OUTSIDE_access_in extended permit ip object NETWORK_OBJ_172.16.6.128_25 192.168.254.16 255.255.255.248 access-list OUTSIDE_access_in extended deny ip any any access-list OUTSIDE_access_out extended permit ip 10.1.0.0 255.255.0.0 object NETWORK_OBJ_172.16.6.128_25 access-list OUTSIDE_access_out extended permit ip 192.168.254.16 255.255.255.248 object NETWORK_OBJ_172.16.6.128_25 pager lines 24 logging enable logging timestamp logging monitor emergencies logging trap notifications logging asdm informational mtu OUTSIDE 1500 mtu INSIDE 1500 mtu management 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any OUTSIDE icmp permit any INSIDE asdm image disk0:/asdm-7101.bin asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 8192 access-group OUTSIDE_access_in in interface OUTSIDE access-group OUTSIDE_access_out out interface OUTSIDE router ospf 1 network 172.16.16.0 255.255.255.0 area 0 network 192.168.254.16 255.255.255.248 area 0 log-adj-changes default-information originate ! route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1 route INSIDE 10.0.0.0 255.0.0.0 192.168.254.17 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 aaa-server sasaRADIUS protocol radius aaa-server sasaRADIUS (INSIDE) host 10.1.20.21 key ***** radius-common-pw ***** user-identity default-domain LOCAL aaa authentication ssh console LOCAL no aaa authentication login-history http server enable http 192.168.1.0 255.255.255.0 management http 215.2.210.48 255.255.255.240 OUTSIDE http 10.0.0.0 255.0.0.0 INSIDE no snmp-server location no snmp-server contact no sysopt connection permit-vpn crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-3DES-SHA ESP-DES-SHA ESP-AES-128-SHA-TRANS ESP-AES-192-SHA-TRANS ESP-AES-256-SHA-TRANS ESP-3DES-SHA-TRANS ESP-DES-SHA-TRANS crypto map OUTSIDE_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map OUTSIDE_map interface OUTSIDE crypto ca trustpoint _SmartCallHome_ServerCA no validation-usage crl configure crypto ca trustpool policy crypto ca certificate chain _SmartCallHome_ServerCA certificate ca 0509 308205b7 3082039f a0030201 02020205 09300d06 092a8648 86f70d01 01050500
quit crypto ikev1 enable OUTSIDE crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 40 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 70 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 100 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 130 authentication pre-share encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh stricthostkeycheck ssh 215.2.210.48 255.255.255.240 OUTSIDE ssh 10.0.0.0 255.0.0.0 INSIDE ssh timeout 60 ssh version 2 ssh cipher encryption high ssh cipher integrity high ssh key-exchange group dh-group1-sha1 console timeout 0 no threat-detection basic-threat threat-detection statistics threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 ntp server 10.1.20.20 source INSIDE ntp server 10.1.20.21 source INSIDE group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes dns-server value 10.1.20.20 10.1.20.21 vpn-tunnel-protocol l2tp-ipsec default-domain value tete.ru group-policy DefaultRAGroup_1 internal group-policy DefaultRAGroup_1 attributes dns-server value 10.1.20.20 10.1.20.21 vpn-tunnel-protocol l2tp-ipsec default-domain value sasa.ru dynamic-access-policy-record DfltAccessPolicy username admin password ***** encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool Net1721660 authentication-server-group sasaRADIUS default-group-policy DefaultRAGroup_1 tunnel-group DefaultRAGroup ipsec-attributes ikev1 pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentication ms-chap-v2 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options class class-default user-statistics accounting ! service-policy global_policy global prompt hostname context Из акцес листов, только касательно VPN и хождения трафика во внутрь и обратно, даже для работы ipsec и vpn акцес листы не понадобилось, очень удивлен. Первые пол часа после загрузки, все нормально, псе работает, все пингуется, в итоге Код: td-asa-vpn01# ping 97.165.201.81 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 97.165.201.81, timeout is 2 seconds: ????? Success rate is 0 percent (0/5) td-asa-vpn01# sh arp OUTSIDE 97.165.201.81 0024.dcbb.7fcd 3 INSIDE 192.168.254.21 6073.5c69.43fe 1065 INSIDE 192.168.254.17 0008.e3ff.fc28 9100 INSIDE 192.168.254.20 6073.5c69.416a 9100 То есть, линк есть, arp бегает, а icmp и vpn не бегает. На внутреннем интерфейсе все нормально, стоит security-level изменит на том или другом интерфейсе, трафик начинает ходить или блокироваться.
|
28 фев 2019, 10:25 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Да, к стати, обновления тоже не помогает, до этого была родная 9,0,1
|
28 фев 2019, 15:56 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Коллеги, никому не знакома проблема?
|
05 мар 2019, 14:54 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
А в логах что? попробуй еще arp permit-nonconnected
|
05 мар 2019, 15:17 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Demm писал(а): А в логах что? попробуй еще arp permit-nonconnected Тишина, даже debug icmp ничего не говорит при пинге из вне.
|
06 мар 2019, 12:46 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Demm писал(а): А в логах что? попробуй еще arp permit-nonconnected packet-tracer Код: Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list
Phase: 2 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 97.165.201.91 using egress ifc OUTSIDE
Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information:
Result: input-interface: OUTSIDE input-status: up input-line-status: up output-interface: OUTSIDE output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
|
06 мар 2019, 14:49 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Еще я не вижу в конфе настроек ната. Как выглядит пакеттрейсер, когда все работает?
|
06 мар 2019, 18:30 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
valmon писал(а): interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 97.165.201.94 255.255.255.240 valmon писал(а): route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1 как оно вообще еще работает, умная зараза видимо valmon писал(а): packet-tracer пакет-трейсер чего вы привели?
|
06 мар 2019, 18:36 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
valmon писал(а): access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh не понятно зачем данное правило
|
06 мар 2019, 18:38 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
crash писал(а): valmon писал(а): interface GigabitEthernet0/0 nameif OUTSIDE security-level 0 ip address 97.165.201.94 255.255.255.240 valmon писал(а): route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1 как оно вообще еще работает, умная зараза видимо valmon писал(а): packet-tracer пакет-трейсер чего вы привели? Чем вас смутил роут? Первый адрес в сети гутвей, последний хост
|
06 мар 2019, 18:46 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
crash писал(а): valmon писал(а): access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh не понятно зачем данное правило asdm и ssh
|
06 мар 2019, 18:48 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
так у вас один адрес. Хотя правило по-моему все равно не работает в вашем случае, чтобы там не указывалось
|
06 мар 2019, 18:56 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
valmon писал(а): Чем вас смутил роут? Первый адрес в сети гутвей, последний хост Просто в трейсере у вас 91 next-hop фигурирует, а не 81 из роута
|
06 мар 2019, 20:49 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
crash писал(а): так у вас один адрес. Хотя правило по-моему все равно не работает в вашем случае, чтобы там не указывалось Ну, привычка у меня такая, а она оказалось шибко умной))
|
07 мар 2019, 14:23 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Lomax писал(а): valmon писал(а): Чем вас смутил роут? Первый адрес в сети гутвей, последний хост Просто в трейсере у вас 91 next-hop фигурирует, а не 81 из роута Опечатка, ip изменены произвольно.
|
07 мар 2019, 14:24 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
valmon писал(а): Чем вас смутил роут? Первый адрес в сети гутвей, последний хост шлюз и адрес принадлежат разной сети, как минимум это смущает. Ну и ваш трасерт
|
07 мар 2019, 15:08 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
И все таки packet-tracer чего вы привели?
|
07 мар 2019, 15:08 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
crash писал(а): И все таки packet-tracer чего вы привели? icmp исходящий, он просто перестает ходить
|
07 мар 2019, 16:16 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а чего же полностью команду не привести, что вы делаете?
|
07 мар 2019, 16:37 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
crash писал(а): а чего же полностью команду не привести, что вы делаете? Сейчас попробовал воспроизвести, но понял что packet-tracer не умеет исходящее подключение)) Это как? Как еще отдебажить что происходит с интерфейсом, может проблема с секливел?
|
14 мар 2019, 18:02 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
valmon писал(а): crash писал(а): а чего же полностью команду не привести, что вы делаете? Сейчас попробовал воспроизвести, но понял что packet-tracer не умеет исходящее подключение)) Это как? Как еще отдебажить что происходит с интерфейсом, может проблема с секливел? Есть идеи?
|
19 мар 2019, 16:27 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
На сегодня последняя рабочая прошивка для АСА 992-40
910.х 912.х ещё то глюкалово....
|
19 мар 2019, 17:24 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Наверное, странный вопрос, но память не подтекает у железки? Из-за этого могут быть странные сайд-эффекты.
|
21 мар 2019, 00:15 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
root99 писал(а): На сегодня последняя рабочая прошивка для АСА 992-40
910.х 912.х ещё то глюкалово.... Так версию я уже обновлял, там вообще 8xx была
|
28 мар 2019, 10:28 |
|
|
valmon
Зарегистрирован: 27 янв 2017, 15:59 Сообщения: 30
|
Black Fox писал(а): Наверное, странный вопрос, но память не подтекает у железки? Из-за этого могут быть странные сайд-эффекты. Ну вот хз, лежит вторая такая же, но на ней нет лицензии des3, а получить ее не могу так как не могу попасть в портал. Постоянно перекидывает на правку профиля, мы в бане?
|
28 мар 2019, 10:29 |
|
|