Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:23



Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.
Cisco ASA блокирует трафик во вне спустя время 
Автор Сообщение

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Камрады, помогите диагностировать проблему.
Есть конфиг на 5512, поднят l2tp over ipsec и все, нет больше нечего.
Код:
: Saved

ASA Version 9.10(1)10
!
hostname td-asa-vpn01
domain-name sasa.ru
enable password ***** encrypted
passwd ***** encrypted
names
no mac-address auto
ip local pool Net1721660 172.16.6.128-172.16.6.254 mask 255.255.255.0

!
interface GigabitEthernet0/0
 nameif OUTSIDE
 security-level 0
 ip address 97.165.201.94 255.255.255.240
!
interface GigabitEthernet0/1
 nameif INSIDE
 security-level 100
 ip address 192.168.254.18 255.255.255.248
!
boot system disk0:/asa9-10-1-10-smp-k8.bin
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network NETWORK_OBJ_172.16.6.128_25
 subnet 172.16.6.128 255.255.255.128
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh
access-list OUTSIDE_access_in extended permit ip object NETWORK_OBJ_172.16.6.128_25 10.1.0.0 255.255.0.0
access-list OUTSIDE_access_in extended permit tcp object NETWORK_OBJ_172.16.6.128_25 192.168.254.16 255.255.255.248 eq https
access-list OUTSIDE_access_in extended permit ip object NETWORK_OBJ_172.16.6.128_25 192.168.254.16 255.255.255.248
access-list OUTSIDE_access_in extended deny ip any any
access-list OUTSIDE_access_out extended permit ip 10.1.0.0 255.255.0.0 object NETWORK_OBJ_172.16.6.128_25
access-list OUTSIDE_access_out extended permit ip 192.168.254.16 255.255.255.248 object NETWORK_OBJ_172.16.6.128_25
pager lines 24
logging enable
logging timestamp
logging monitor emergencies
logging trap notifications
logging asdm informational
mtu OUTSIDE 1500
mtu INSIDE 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any OUTSIDE
icmp permit any INSIDE
asdm image disk0:/asdm-7101.bin
asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 8192
access-group OUTSIDE_access_in in interface OUTSIDE
access-group OUTSIDE_access_out out interface OUTSIDE
router ospf 1
 network 172.16.16.0 255.255.255.0 area 0
 network 192.168.254.16 255.255.255.248 area 0
 log-adj-changes
 default-information originate
!
route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1
route INSIDE 10.0.0.0 255.0.0.0 192.168.254.17 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
aaa-server sasaRADIUS protocol radius
aaa-server sasaRADIUS (INSIDE) host 10.1.20.21
 key *****
 radius-common-pw *****
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
no aaa authentication login-history
http server enable
http 192.168.1.0 255.255.255.0 management
http 215.2.210.48 255.255.255.240 OUTSIDE
http 10.0.0.0 255.0.0.0 INSIDE
no snmp-server location
no snmp-server contact
no sysopt connection permit-vpn
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-3DES-SHA ESP-DES-SHA ESP-AES-128-SHA-TRANS ESP-AES-192-SHA-TRANS ESP-AES-256-SHA-TRANS ESP-3DES-SHA-TRANS ESP-DES-SHA-TRANS
crypto map OUTSIDE_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map OUTSIDE_map interface OUTSIDE
crypto ca trustpoint _SmartCallHome_ServerCA
 no validation-usage
 crl configure
crypto ca trustpool policy
crypto ca certificate chain _SmartCallHome_ServerCA
 certificate ca 0509
    308205b7 3082039f a0030201 02020205 09300d06 092a8648 86f70d01 01050500

  quit
crypto ikev1 enable OUTSIDE
crypto ikev1 policy 10
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 20
 authentication rsa-sig
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 40
 authentication pre-share
 encryption aes-192
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 50
 authentication rsa-sig
 encryption aes-192
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 70
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 80
 authentication rsa-sig
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 100
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 110
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 130
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 140
 authentication rsa-sig
 encryption des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh stricthostkeycheck
ssh 215.2.210.48 255.255.255.240 OUTSIDE
ssh 10.0.0.0 255.0.0.0 INSIDE
ssh timeout 60
ssh version 2
ssh cipher encryption high
ssh cipher integrity high
ssh key-exchange group dh-group1-sha1
console timeout 0
no threat-detection basic-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 10.1.20.20 source INSIDE
ntp server 10.1.20.21 source INSIDE
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 10.1.20.20 10.1.20.21
 vpn-tunnel-protocol l2tp-ipsec
 default-domain value tete.ru
group-policy DefaultRAGroup_1 internal
group-policy DefaultRAGroup_1 attributes
 dns-server value 10.1.20.20 10.1.20.21
 vpn-tunnel-protocol l2tp-ipsec
 default-domain value sasa.ru
dynamic-access-policy-record DfltAccessPolicy
username admin password ***** encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
 address-pool Net1721660
 authentication-server-group sasaRADIUS
 default-group-policy DefaultRAGroup_1
tunnel-group DefaultRAGroup ipsec-attributes
 ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
 class class-default
  user-statistics accounting
!
service-policy global_policy global
prompt hostname context


Из акцес листов, только касательно VPN и хождения трафика во внутрь и обратно, даже для работы ipsec и vpn акцес листы не понадобилось, очень удивлен.
Первые пол часа после загрузки, все нормально, псе работает, все пингуется, в итоге
Код:
td-asa-vpn01# ping 97.165.201.81
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 97.165.201.81, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
td-asa-vpn01# sh arp
        OUTSIDE 97.165.201.81 0024.dcbb.7fcd 3
        INSIDE 192.168.254.21 6073.5c69.43fe 1065
        INSIDE 192.168.254.17 0008.e3ff.fc28 9100
        INSIDE 192.168.254.20 6073.5c69.416a 9100


То есть, линк есть, arp бегает, а icmp и vpn не бегает.
На внутреннем интерфейсе все нормально, стоит security-level изменит на том или другом интерфейсе, трафик начинает ходить или блокироваться.


28 фев 2019, 10:25
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Да, к стати, обновления тоже не помогает, до этого была родная 9,0,1


28 фев 2019, 15:56
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Коллеги, никому не знакома проблема?


05 мар 2019, 14:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
А в логах что?
попробуй еще arp permit-nonconnected


05 мар 2019, 15:17
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Demm писал(а):
А в логах что?
попробуй еще arp permit-nonconnected

Тишина, даже debug icmp ничего не говорит при пинге из вне.


06 мар 2019, 12:46
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Demm писал(а):
А в логах что?
попробуй еще arp permit-nonconnected


packet-tracer

Код:
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 97.165.201.91 using egress ifc  OUTSIDE

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule


06 мар 2019, 14:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 498
Еще я не вижу в конфе настроек ната.
Как выглядит пакеттрейсер, когда все работает?


06 мар 2019, 18:30
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
valmon писал(а):
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 97.165.201.94 255.255.255.240

valmon писал(а):
route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1

как оно вообще еще работает, умная зараза видимо
valmon писал(а):
packet-tracer
пакет-трейсер чего вы привели?


06 мар 2019, 18:36
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
valmon писал(а):
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh
не понятно зачем данное правило


06 мар 2019, 18:38
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
crash писал(а):
valmon писал(а):
interface GigabitEthernet0/0
nameif OUTSIDE
security-level 0
ip address 97.165.201.94 255.255.255.240

valmon писал(а):
route OUTSIDE 0.0.0.0 0.0.0.0 97.165.201.81 1

как оно вообще еще работает, умная зараза видимо
valmon писал(а):
packet-tracer
пакет-трейсер чего вы привели?


Чем вас смутил роут? Первый адрес в сети гутвей, последний хост


06 мар 2019, 18:46
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
crash писал(а):
valmon писал(а):
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq https
access-list OUTSIDE_access_in extended permit tcp any 97.165.201.80 255.255.255.240 eq ssh
не понятно зачем данное правило

asdm и ssh


06 мар 2019, 18:48
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
так у вас один адрес. Хотя правило по-моему все равно не работает в вашем случае, чтобы там не указывалось


06 мар 2019, 18:56
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
valmon писал(а):
Чем вас смутил роут? Первый адрес в сети гутвей, последний хост


Просто в трейсере у вас 91 next-hop фигурирует, а не 81 из роута


06 мар 2019, 20:49
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
crash писал(а):
так у вас один адрес. Хотя правило по-моему все равно не работает в вашем случае, чтобы там не указывалось

Ну, привычка у меня такая, а она оказалось шибко умной))


07 мар 2019, 14:23
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Lomax писал(а):
valmon писал(а):
Чем вас смутил роут? Первый адрес в сети гутвей, последний хост


Просто в трейсере у вас 91 next-hop фигурирует, а не 81 из роута

Опечатка, ip изменены произвольно.


07 мар 2019, 14:24
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
valmon писал(а):
Чем вас смутил роут? Первый адрес в сети гутвей, последний хост

шлюз и адрес принадлежат разной сети, как минимум это смущает. Ну и ваш трасерт


07 мар 2019, 15:08
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
И все таки packet-tracer чего вы привели?


07 мар 2019, 15:08
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
crash писал(а):
И все таки packet-tracer чего вы привели?

icmp исходящий, он просто перестает ходить


07 мар 2019, 16:16
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
а чего же полностью команду не привести, что вы делаете?


07 мар 2019, 16:37
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
crash писал(а):
а чего же полностью команду не привести, что вы делаете?

Сейчас попробовал воспроизвести, но понял что packet-tracer не умеет исходящее подключение)) Это как? Как еще отдебажить что происходит с интерфейсом, может проблема с секливел?


14 мар 2019, 18:02
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
valmon писал(а):
crash писал(а):
а чего же полностью команду не привести, что вы делаете?

Сейчас попробовал воспроизвести, но понял что packet-tracer не умеет исходящее подключение)) Это как? Как еще отдебажить что происходит с интерфейсом, может проблема с секливел?

Есть идеи?


19 мар 2019, 16:27
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
На сегодня последняя рабочая прошивка для АСА 992-40

910.х 912.х ещё то глюкалово....


19 мар 2019, 17:24
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Наверное, странный вопрос, но память не подтекает у железки? Из-за этого могут быть странные сайд-эффекты.


21 мар 2019, 00:15
Профиль WWW

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
root99 писал(а):
На сегодня последняя рабочая прошивка для АСА 992-40

910.х 912.х ещё то глюкалово....
Так версию я уже обновлял, там вообще 8xx была


28 мар 2019, 10:28
Профиль

Зарегистрирован: 27 янв 2017, 15:59
Сообщения: 30
Black Fox писал(а):
Наверное, странный вопрос, но память не подтекает у железки? Из-за этого могут быть странные сайд-эффекты.

Ну вот хз, лежит вторая такая же, но на ней нет лицензии des3, а получить ее не могу так как не могу попасть в портал. Постоянно перекидывает на правку профиля, мы в бане?


28 мар 2019, 10:29
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 29 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 54


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB