forum.opennet.ru - "asa ipsec nat" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"asa ipsec nat"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"asa ipsec nat"	+/–
Сообщение от Dmt on 09-Окт-14, 13:05
Добрый день IPSEC тунель между 2921 и аса 9.1(1) построился, но траффик не ходит, помогите. Думаю из-за ната, но вроде всё правильно object network obj_any subnet 0.0.0.0 0.0.0.0 object network 123 subnet 0.0.0.0 0.0.0.0 object network Ipsec subnet 10.161.128.0 255.255.255.0 nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec ! object network 123 nat (any,outside) dynamic interface При дебаге исмп Отвечает аса на исмп через внешний интерфейс т.е вроде натятса пакеты, а не должны ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=724 len=32 ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=725 len=32 ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=726 len=32 Спасибо
Ответить \| Правка \| Cообщить модератору

Оглавление

asa ipsec nat, crash, 13:54 , 09-Окт-14, (1)

asa ipsec nat, Dmt, 14:17 , 09-Окт-14, (2)
asa ipsec nat, Dmt, 14:20 , 09-Окт-14, (3)

asa ipsec nat, crash, 14:25 , 09-Окт-14, (4)

asa ipsec nat, Dmt, 14:33 , 09-Окт-14, (5)

asa ipsec nat, crash, 17:52 , 09-Окт-14, (8)

asa ipsec nat, Dmt, 14:42 , 09-Окт-14, (6)

asa ipsec nat, Dmt, 15:07 , 09-Окт-14, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "asa ipsec nat" +/–

Сообщение от crash (ok) on 09-Окт-14, 13:54

Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 и что у вас настроено с другой стороны?
Что покажет вывод команды, например такой
packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "asa ipsec nat" +/–

Сообщение от Dmt on 09-Окт-14, 14:17

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
Спасибо, я пробовал и так
object network Ipsec
subnet 10.161.128.0 255.255.255.0
object network NETWORK_OBJ_10.161.128.0_24
subnet 10.161.128.0 255.255.255.0
object network NETWORK_OBJ_192.168.100.0_24
subnet 192.168.100.0 255.255.255.0
access-list outside_cryptomap extended permit ip 192.168.100.0 255.255.255.0 10.161.128.0 255.255.255.0
access-list icmp extended permit icmp host 192.168.100.114 any
access-list outside_cryptomap_1 extended permit ip 192.168.100.0 255.255.255.0
nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static Ipsec Ipsec

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "asa ipsec nat" +/–

Сообщение от Dmt on 09-Окт-14, 14:20

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
В пакет трасере видно что хост отправляет ответ в приватную сеть 10
но овтеты натятся и уходят с аутсайда на валидый адрес

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "asa ipsec nat" +/–

Сообщение от crash (ok) on 09-Окт-14, 14:25

>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>> и что у вас настроено с другой стороны?
>> Что покажет вывод команды, например такой
>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
> но овтеты натятся и уходят с аутсайда на валидый адрес
ну вы покажите вывод или нет?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "asa ipsec nat" +/–

Сообщение от Dmt on 09-Окт-14, 14:33

>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?
5505# packet-tracer input inside tcp 192.168.100.14 10000 10.161.128.1 80
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
NAT divert to egress interface outside
Untranslate 10.161.128.1/80 to 10.161.128.1/80
Phase: 2
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
Static translate 192.168.100.14/10000 to 192.168.100.14/10000
Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Почему дроп???

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "asa ipsec nat" +/–

Сообщение от crash (ok) on 09-Окт-14, 17:52

покажите настройки

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "asa ipsec nat" +/–

Сообщение от Dmt on 09-Окт-14, 14:42

>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?
5505# show asp drop
Frame drop:
  Flow is denied by configured rule (acl-drop)                               414
  Invalid SPI (np-sp-invalid-spi)                                             34
  First TCP packet not SYN (tcp-not-syn)                                      30
  TCP failed 3 way handshake (tcp-3whs-failed)                                 1
  TCP RST/FIN out of order (tcp-rstfin-ooo)                                    5
  Slowpath security checks failed (sp-security-failed)                        46
  Interface is down (interface-down)                                           2
  Non-IP packet received in routed mode (non-ip-pkt-in-routed-mode)            1
  Dropped pending packets in a closed socket (np-socket-closed)                1
Last clearing: Never
Flow drop:
  Need to start IKE negotiation (need-ike)                                   236
  SSL bad record detected (ssl-bad-record-detect)                              2

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "asa ipsec nat" +/–

Сообщение от Dmt on 09-Окт-14, 15:07

> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
С другой стороны 2921
Interface: GigabitEthernet0/1
Session status: UP-ACTIVE
Peer: 8.7.22.6 port 500
  IKEv1 SA: local 7.27.21.66/500 remote 8.7.52.6/500 Active
  IPSEC FLOW: permit ip 10.161.128.0/255.255.255.0 192.168.100.0/255.255.255.0
        Active SAs: 2, origin: crypto map

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "asa ipsec nat"	+/–
Сообщение от crash (ok) on 09-Окт-14, 13:54
Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 и что у вас настроено с другой стороны? Что покажет вывод команды, например такой packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "asa ipsec nat"	+/–
	Сообщение от Dmt on 09-Окт-14, 14:17
	> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 > и что у вас настроено с другой стороны? > Что покажет вывод команды, например такой > packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 Спасибо, я пробовал и так object network Ipsec subnet 10.161.128.0 255.255.255.0 object network NETWORK_OBJ_10.161.128.0_24 subnet 10.161.128.0 255.255.255.0 object network NETWORK_OBJ_192.168.100.0_24 subnet 192.168.100.0 255.255.255.0 access-list outside_cryptomap extended permit ip 192.168.100.0 255.255.255.0 10.161.128.0 255.255.255.0 access-list icmp extended permit icmp host 192.168.100.114 any access-list outside_cryptomap_1 extended permit ip 192.168.100.0 255.255.255.0 nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static Ipsec Ipsec
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "asa ipsec nat"	+/–
	Сообщение от Dmt on 09-Окт-14, 14:20
	> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 > и что у вас настроено с другой стороны? > Что покажет вывод команды, например такой > packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 В пакет трасере видно что хост отправляет ответ в приватную сеть 10 но овтеты натятся и уходят с аутсайда на валидый адрес
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "asa ipsec nat"	+/–
	Сообщение от crash (ok) on 09-Окт-14, 14:25
	>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 >> и что у вас настроено с другой стороны? >> Что покажет вывод команды, например такой >> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 > В пакет трасере видно что хост отправляет ответ в приватную сеть 10 > но овтеты натятся и уходят с аутсайда на валидый адрес ну вы покажите вывод или нет?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "asa ipsec nat"	+/–
	Сообщение от Dmt on 09-Окт-14, 14:33
	>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 >>> и что у вас настроено с другой стороны? >>> Что покажет вывод команды, например такой >>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 >> В пакет трасере видно что хост отправляет ответ в приватную сеть 10 >> но овтеты натятся и уходят с аутсайда на валидый адрес > ну вы покажите вывод или нет? 5505# packet-tracer input inside tcp 192.168.100.14 10000 10.161.128.1 80 Phase: 1 Type: UN-NAT Subtype: static Result: ALLOW Config: nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec Additional Information: NAT divert to egress interface outside Untranslate 10.161.128.1/80 to 10.161.128.1/80 Phase: 2 Type: NAT Subtype: Result: ALLOW Config: nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec Additional Information: Static translate 192.168.100.14/10000 to 192.168.100.14/10000 Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: VPN Subtype: encrypt Result: DROP Config: Additional Information: Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule Почему дроп???
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "asa ipsec nat"	+/–
	Сообщение от crash (ok) on 09-Окт-14, 17:52
	покажите настройки
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	6. "asa ipsec nat"	+/–
	Сообщение от Dmt on 09-Окт-14, 14:42
	>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 >>> и что у вас настроено с другой стороны? >>> Что покажет вывод команды, например такой >>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 >> В пакет трасере видно что хост отправляет ответ в приватную сеть 10 >> но овтеты натятся и уходят с аутсайда на валидый адрес > ну вы покажите вывод или нет? 5505# show asp drop Frame drop: Flow is denied by configured rule (acl-drop) 414 Invalid SPI (np-sp-invalid-spi) 34 First TCP packet not SYN (tcp-not-syn) 30 TCP failed 3 way handshake (tcp-3whs-failed) 1 TCP RST/FIN out of order (tcp-rstfin-ooo) 5 Slowpath security checks failed (sp-security-failed) 46 Interface is down (interface-down) 2 Non-IP packet received in routed mode (non-ip-pkt-in-routed-mode) 1 Dropped pending packets in a closed socket (np-socket-closed) 1 Last clearing: Never Flow drop: Need to start IKE negotiation (need-ike) 236 SSL bad record detected (ssl-bad-record-detect) 2
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "asa ipsec nat"	+/–
	Сообщение от Dmt on 09-Окт-14, 15:07
	> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 > и что у вас настроено с другой стороны? > Что покажет вывод команды, например такой > packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 С другой стороны 2921 Interface: GigabitEthernet0/1 Session status: UP-ACTIVE Peer: 8.7.22.6 port 500 IKEv1 SA: local 7.27.21.66/500 remote 8.7.52.6/500 Active IPSEC FLOW: permit ip 10.161.128.0/255.255.255.0 192.168.100.0/255.255.255.0 Active SAs: 2, origin: crypto map
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору