Всем привет! Прошу помощи, поскольку не могу самостоятельно решить проблему в течении длительного времени.Имеются два ASA, между ними интернет. Поднимаю на ASA туннель L2L. Туннель, как мне кажется поднимается, но трафик не ходит, т.е. ПК в локальных сетях, за ASA друг друга не пингают.
ASA1:
asa1# sh vpn-sessiondb detail l2lSession Type: LAN-to-LAN Detailed
Connection : 5.151.38.94
Index : 165 IP Addr : 5.151.38.94
Protocol : IKEv1 IPsec
Encryption : DES DES DES Hashing : SHA1 MD5 MD5
Bytes Tx : 323045 Bytes Rx : 145990
Login Time : 21:13:38 UTC Wed Feb 4 2015
Duration : 0h:47m:03s
IKEv1 Tunnels: 1
IPsec Tunnels: 2IKEv1:
Tunnel ID : 165.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : DES Hashing : SHA1
Rekey Int (T): 43200 Seconds Rekey Left(T): 40376 Seconds
D/H Group : 2
Filter Name :
IPv6 Filter :IPsec:
Tunnel ID : 165.2
Local Addr : 10.80.0.0/255.255.0.0/0/0
Remote Addr : 10.80.0.0/255.255.0.0/0/0
Encryption : DES Hashing : MD5
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 25976 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607687 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Bytes Tx : 321262 Bytes Rx : 144763
Pkts Tx : 4475 Pkts Rx : 2154
IPsec:
Tunnel ID : 165.3
Local Addr : 10.80.225.0/255.255.255.0/0/0
Remote Addr : 10.80.226.0/255.255.255.0/0/0
Encryption : DES Hashing : MD5
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 26800 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607999 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 1 Minutes
Bytes Tx : 1835 Bytes Rx : 1279
Pkts Tx : 30 Pkts Rx : 24
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 2825 Seconds
Hold Left (T): 0 Seconds Posture Token:ASA2:
asa2# sh vpn-sessiondb detail l2lSession Type: LAN-to-LAN Detailed
Connection : 95.168.71.198
Index : 104 IP Addr : 95.168.71.198
Protocol : IKEv1 IPsec
Encryption : DES DES DES Hashing : SHA1 MD5 MD5
Bytes Tx : 83032 Bytes Rx : 0
Login Time : 20:47:28 UTC Wed Feb 4 2015
Duration : 0h:27m:49s
IKEv1 Tunnels: 1
IPsec Tunnels: 2IKEv1:
Tunnel ID : 104.1
UDP Src Port : 500 UDP Dst Port : 500
IKE Neg Mode : Main Auth Mode : preSharedKeys
Encryption : DES Hashing : SHA1
Rekey Int (T): 43200 Seconds Rekey Left(T): 41531 Seconds
D/H Group : 2
Filter Name :
IPv6 Filter :IPsec:
Tunnel ID : 104.2
Local Addr : 10.80.0.0/255.255.0.0/0/0
Remote Addr : 10.80.0.0/255.255.0.0/0/0
Encryption : DES Hashing : MD5
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 27131 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607920 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Bytes Tx : 81933 Bytes Rx : 0
Pkts Tx : 1211 Pkts Rx : 0
IPsec:
Tunnel ID : 104.3
Local Addr : 10.80.226.0/255.255.255.0/0/0
Remote Addr : 10.80.225.0/255.255.255.0/0/0
Encryption : DES Hashing : MD5
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 27953 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607999 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 20 Minutes
Bytes Tx : 1279 Bytes Rx : 0
Pkts Tx : 24 Pkts Rx : 0
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 1671 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
Смущает то, что на ASA1, Rx и Tx вполне нормальные величины, а вот на ASA2 почему то Rx=0
Конфиги покажите.
> Конфиги покажите.ASA1:
interface GigabitEthernet0/0
nameif internet
security-level 0
ip address 95.168.71.198 255.255.255.192 standby 95.168.71.199
!
interface GigabitEthernet0/3
nameif servers
security-level 100
ip address 10.80.225.251 255.255.255.0 standby 10.80.225.252
!
interface GigabitEthernet1/2
description LAN Failover Interface
!
interface GigabitEthernet1/3
description STATE Failover Interface
!
ftp mode passive
object network srv-10.80.225.16
host 10.80.225.16
object network srv-10.80.225.11
host 10.80.215.10
object network srv-10.80.225.13
host 10.80.215.40
object network srv-10.80.225.10
host 10.80.215.50
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240
object network srv-10.80.221.8
host 10.80.221.8
object network LAN_10.80.200.0
subnet 10.80.200.0 255.255.255.240
object network LAN_10.80.200.16
subnet 10.80.200.16 255.255.255.240
object network LAN_10.80.201.0
subnet 10.80.201.0 255.255.255.0
object network LAN_10.80.202.0
subnet 10.80.202.0 255.255.255.0
object network LAN_10.80.211.0
subnet 10.80.211.0 255.255.255.0
object network LAN_10.80.212.0
subnet 10.80.212.0 255.255.255.0
object network LAN_10.80.221.0
subnet 10.80.221.0 255.255.255.0
object network LAN_10.80.222.0
subnet 10.80.222.0 255.255.255.0
object network LAN_10.80.215.0
subnet 10.80.215.0 255.255.255.0
object network LAN_10.80.216.0
subnet 10.80.216.0 255.255.255.0
object network LAN_10.80.235.0
subnet 10.80.235.0 255.255.255.0
object network LAN_10.80.236.0
subnet 10.80.236.0 255.255.255.0
object network sw1
host 10.80.225.2
object network srv-10.80.225.6
host 10.80.225.6
object network srv-10.80.221.11
host 10.80.221.11
object network srv-10.80.225.14
host 10.80.225.14
object network srv-10.80.225.212
host 10.80.225.212
object network srv-10.80.215.31
host 10.80.215.30
object network srv-10.80.225.180
host 10.80.225.180
object network LAN_10.0.0.0
subnet 10.0.0.0 255.0.0.0
object network srv-10.80.225.18
host 10.80.225.18
object network srv-10.80.215.49
host 10.80.215.49
object network srv-10.80.215.52
host 10.80.215.52
object network srv-SNIF
host 10.80.221.13
object network srv-10.80.225.22
host 10.80.225.22
object-group network LAN_UN
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN-226
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
access-list INTERNET extended permit ip any any
access-list l2l_list extended permit ip 10.80.225.0 255.255.255.0 10.80.226.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
pager lines 24
logging asdm informational
mtu internet 1500
mtu servers 1500
mtu management 1500
failover
failover lan unit primary
failover lan interface Failover GigabitEthernet1/2
failover key *****
failover link state GigabitEthernet1/3
failover interface ip Failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.255.255.0 standby 10.0.0.2
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (servers,internet) source static LAN-225 LAN-225 destination static LAN-226 LAN-226
nat (servers,internet) source static LAN_UN LAN_UN destination static LAN_OM LAN_OM
!
access-group INTERNET in interface internet
route internet 0.0.0.0 0.0.0.0 95.168.71.225 1
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set FirstSet esp-des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption des
protocol esp integrity sha-1
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 5.151.38.94
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
crypto ikev2 policy 1
encryption des
integrity sha
group 2
prf sha
lifetime seconds 43200
crypto ikev2 enable internet
crypto ikev1 enable internet
crypto ikev1 policy 1
authentication pre-share
encryption des
hash sha
group 2
lifetime 43200
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
tunnel-group 5.151.38.94 type ipsec-l2l
tunnel-group 5.151.38.94 ipsec-attributes
ikev1 pre-shared-key *****ASA2:
interface GigabitEthernet0/0
description To Sw1-Gi1/1
nameif internet
security-level 0
ip address 5.151.38.94 255.255.255.0 standby 5.151.38.95
!
interface GigabitEthernet0/3
description To Sw1-Gi1/4
nameif servers
security-level 100
ip address 10.80.226.251 255.255.255.0 standby 10.80.226.252
!
interface GigabitEthernet1/2
description LAN Failover Interface
!
interface GigabitEthernet1/3
description STATE Failover Interface
!
ftp mode passive
object network srv-10.80.226.51
host 10.80.216.100
object network srv-10.80.226.11
host 10.80.216.11
object network srv-10.80.226.12
host 10.80.216.21
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240
object network srv-10.80.200.19
range 10.80.200.19 10.80.200.20
object network LAN_10.80.200.0
subnet 10.80.200.0 255.255.255.240
object network LAN_10.80.200.16
subnet 10.80.200.16 255.255.255.240
object network LAN_10.80.201.0
subnet 10.80.201.0 255.255.255.0
object network LAN_10.80.202.0
subnet 10.80.202.0 255.255.255.0
object network LAN_10.80.211.0
subnet 10.80.211.0 255.255.255.0
object network LAN_10.80.212.0
subnet 10.80.212.0 255.255.255.0
object network LAN_10.80.221.0
subnet 10.80.221.0 255.255.255.0
object network LAN_10.80.222.0
subnet 10.80.222.0 255.255.255.0
object network LAN_10.80.215.0
subnet 10.80.215.0 255.255.255.0
object network LAN_10.80.216.0
subnet 10.80.216.0 255.255.255.0
object network LAN_10.80.235.0
subnet 10.80.235.0 255.255.255.0
object network LAN_10.80.236.0
subnet 10.80.236.0 255.255.255.0
object network srv-SNIF
host 10.80.222.13
object network sw1
host 10.80.226.253
object network srv-10.80.226.101
host 10.80.226.101
object network srv-10.80.226.51-a
host 10.80.216.100
object network pubwebn1
host 10.80.216.101
object-group network LAN_UN
network-object object LAN_10.80.200.0
network-object object LAN_10.80.201.0
network-object object LAN_10.80.211.0
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN_10.80.235.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN_10.80.200.16
network-object object LAN-226
network-object object LAN_10.80.202.0
network-object object LAN_10.80.212.0
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
network-object object LAN_10.80.236.0
access-list INTERNET extended permit ip any any
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
pager lines 24
logging asdm informational
mtu internet 1500
mtu servers 1500
mtu management 1500
failover
failover lan unit primary
failover lan interface Failover GigabitEthernet1/2
failover key *****
failover link state GigabitEthernet1/3
failover interface ip Failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.255.255.0 standby 10.0.0.2
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (servers,internet) source static LAN-226 LAN-226 destination static LAN-225 LAN-225
nat (servers,internet) source static LAN_OM LAN_OM destination static LAN_UN LAN_UN
!
access-group INTERNET in interface internet
route internet 0.0.0.0 0.0.0.0 5.151.38.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set FirstSet esp-des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption des
protocol esp integrity sha-1
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 95.168.71.198
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
crypto ikev2 policy 1
encryption des
integrity sha
group 2
prf sha
lifetime seconds 43200
crypto ikev2 enable internet
crypto ikev1 enable internet
crypto ikev1 policy 1
authentication pre-share
encryption des
hash sha
group 2
lifetime 43200
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
tunnel-group 95.168.71.198 type ipsec-l2l
tunnel-group 95.168.71.198 ipsec-attributes
ikev1 pre-shared-key *****
с какого адреса какой адрес пытаетесь пинговать?
> с какого адреса какой адрес пытаетесь пинговать?10.80.221.13 --> 10.80.222.13
ну или наоборотоба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания внутренних сетей), но там с маршрутизацией все четко.
Делал такой эксперимент:
с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер). Так вот, по сниферу видно, что хост получает пинги и отвечает на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только отправленные пакеты.
>> с какого адреса какой адрес пытаетесь пинговать?
> 10.80.221.13 --> 10.80.222.13
> ну или наоборот
> оба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания
> внутренних сетей), но там с маршрутизацией все четко.
> Делал такой эксперимент:
> с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер).
> Так вот, по сниферу видно, что хост получает пинги и отвечает
> на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только
> отправленные пакеты.так может маршрутизатор у вас по другому пути пытается отправить пакет обратный? Или на другой стороне ASA не так настроена?
>[оверквотинг удален]
>> ну или наоборот
>> оба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания
>> внутренних сетей), но там с маршрутизацией все четко.
>> Делал такой эксперимент:
>> с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер).
>> Так вот, по сниферу видно, что хост получает пинги и отвечает
>> на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только
>> отправленные пакеты.
> так может маршрутизатор у вас по другому пути пытается отправить пакет обратный?
> Или на другой стороне ASA не так настроена?Выше у меня приведены конфиги обоих ASA, а в маршрутизаторах ошибок нет, тут я уверен на 100%.
> тут я уверен на 100%.тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.
>> тут я уверен на 100%.
> тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.Думал и об этом, но честно сказать не знаю как это сделать ((
>>> тут я уверен на 100%.
>> тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.
> Думал и об этом, но честно сказать не знаю как это сделать
> ((ASA умеет сама:
http://www.packetu.com/2012/04/03/span-port-on-the-asa-5505/Другой способ:
На любом управляемом коммутаторе есть функция зеркалирования траффика.
Зеркалируешь порт, кода воткнута АСА (например отдельный VLAN для интернет подключения, один порт к провайдеру, второй к АСА) и нюхаешь, под линухом tcpdump, под виндой WireShark.И да, с роутингом и НАТом у тебя недоделано, как тебе уже сказали.
>access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0сети с двух сторон должны быть разные, что-то типо:
access-list l2l list ext permit ip object-group LAN_UN object-group LAN_OM
Маршрутизация на ASA не настроена
route internet удаленные_сети ip_удаленной_asa
route servers внутренние_сети ip_внутреннего_gwПосле этого смотрите счетчики в sh cry ips sa
Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А то у них есть дефолты только которые в интернет смотрят. А о других сетях локальных они знать и не знают.
> Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А
> то у них есть дефолты только которые в интернет смотрят. А
> о других сетях локальных они знать и не знают.Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо. ASA сама знает (при помощи ACL) какие сети и от каких нужно заворачивать в туннель.
>> Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А
>> то у них есть дефолты только которые в интернет смотрят. А
>> о других сетях локальных они знать и не знают.
> Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо.
> ASA сама знает (при помощи ACL) какие сети и от каких
> нужно заворачивать в туннель.В первую очередь, аса это не маршрутизатор, это фаервол.
Поэтому ей в первую очередь надо либо настраивать какой нить оспф, либо рисовать статические маршруты, это обязательное условие. А то что у вас нарисовано в ACL это уже десятое дело, и к маршрутизации оно дела не имеет.
>[оверквотинг удален]
>>> то у них есть дефолты только которые в интернет смотрят. А
>>> о других сетях локальных они знать и не знают.
>> Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо.
>> ASA сама знает (при помощи ACL) какие сети и от каких
>> нужно заворачивать в туннель.
> В первую очередь, аса это не маршрутизатор, это фаервол.
> Поэтому ей в первую очередь надо либо настраивать какой нить оспф, либо
> рисовать статические маршруты, это обязательное условие. А то что у вас
> нарисовано в ACL это уже десятое дело, и к маршрутизации оно
> дела не имеет.Я конечно не специалист в туннелях подобного типа (первый раз делаю), но ситуацию понимаю так (может и не правильно):
-с хоста пакет уходит на шлюз (в моем случае это внутренней рутер)
-внутренний рутер маршрутизит это все на ASA
-на ASA есть такие строчки
access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 95.168.71.198
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
здесь определяется трафик от куда и куда. на какой хост его отправить, с какого интерфейса и чем шифровать.
Вопрос маршрутизации по идее на этом уровне и решается.
>[оверквотинг удален]
> -на ASA есть такие строчки
> access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
> crypto map abcmap 1 match address l2l_list
> crypto map abcmap 1 set peer 95.168.71.198
> crypto map abcmap 1 set ikev1 transform-set FirstSet
> crypto map abcmap 1 set ikev2 ipsec-proposal secure
> crypto map abcmap interface internet
> здесь определяется трафик от куда и куда. на какой хост его отправить,
> с какого интерфейса и чем шифровать.
> Вопрос маршрутизации по идее на этом уровне и решается.Вообще эти строчки относятся к туннелю. И в частности какой трафик согласно листа l2l_list попадёт в данный туннель. Не более. И ещё одно условие, тот трафик который должен попадать в туннель он не должнет транслироваться. т.е NO-NAT.
Более наглядно как проходит трафик через асу можно посмотреть встроенным packet-tracer либо в консоли, либо в ASDM. В ASDM нагляднее.
вообще вот ссылка как классически настраивается l2l. Не поленитесь посмотрите, там хоть и для 7.2, но понятно.
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...
поясню на всякий случай:
1. Для начала нужно привести в порядок маршрутизацию на АСах это первое условие и обязательное, если посмотрите packet-tracer то увидите, что на первом шаге пакета происходит проверка Phase: 1 Type: ROUTE-LOOKUP, т.е. аса смотрит куда отправить пакет.
2. Если вы строите туннель, то в туннель надо каким то образом заворачивать трафик, это делается путём написания ACL в которых описывается от какой сети к какой идёт трафик, и в случае L2L эти ACL на 2х сторонах отличаются зеркально.
3. Т.к. вы заворачиваете трафик в туннель, то логично предположить что трафик не должен транслироваться (натироваться), поэтому есть такой инструмент исключение из ната (NAT exemption, NAT 0, No NAT) и в большинстве случаев ACL описывающий то что попадает в туннель совпадает с ACL описывающий какой трафик должен быть исключен из трансляции.У вас же сейчас, не порядок с маршрутами, нету нормальных ACL описывающий какой трафик попадает в туннель (l2l_list) и каламбур в том, что стоит исключить из трансляции.
https://www.fir3net.com/Firewalls/Cisco/cisco-asa-83-no-nat-...
>[оверквотинг удален]
> ACL на 2х сторонах отличаются зеркально.
> 3. Т.к. вы заворачиваете трафик в туннель, то логично предположить что трафик
> не должен транслироваться (натироваться), поэтому есть такой инструмент исключение из
> ната (NAT exemption, NAT 0, No NAT) и в большинстве случаев
> ACL описывающий то что попадает в туннель совпадает с ACL описывающий
> какой трафик должен быть исключен из трансляции.
> У вас же сейчас, не порядок с маршрутами, нету нормальных ACL описывающий
> какой трафик попадает в туннель (l2l_list) и каламбур в том, что
> стоит исключить из трансляции.
> https://www.fir3net.com/Firewalls/Cisco/cisco-asa-83-no-nat-...Хочу докопаться до истины, поэтому не обижайтесь, буду спорить :)
Мне кажется, что с маршрутизацией у меня проблем быть не должно. Я внимательно просмотрел Вашу ссылочку с примером. В ней все сети на втором конце уходят на хост в InternetCloud. Так оно и у меня точно также, отрутится строчкой
route internet 0.0.0.0 0.0.0.0 95.168.71.225 1
(признаюсь, привел выше конфиг, а строчки route как то забыл указать)
Привету результат команды:
asa1# packet-tracer input servers icmp 10.80.221.13 0 0 10.80.222.13Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 internetPhase: 2
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:Phase: 3
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (servers,internet) source static test1 test1 destination static test2 test2
Additional Information:
Static translate 10.80.221.13/0 to 10.80.221.13/0Phase: 5
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 10569666, packet dispatched to next moduleResult:
input-interface: servers
input-status: up
input-line-status: up
output-interface: internet
output-status: up
output-line-status: up
Action: allowя несколько изменил уже конфик, сейчас там есть такая строчка
nat (servers,internet) source static test1 test1 destination static test2 test2
в замен подобных же.
Кстате это ответ на третий пункт, это и есть NAT-0По поводу второго пункта, у меня имеется access-list l2l_list (он приведен в кнфиге выше), оа обоих ASA он зеркальный.
По идее то как бы все правильно. И трафик то в одну сторону проходит (сниферил), а вот в обратку не идет. Такое ощущение, что в туннель заходит, а из него не выходит на другом конце. Хотя мне может это только кажется.
> я несколько изменил уже конфик, сейчас там есть такая строчка
> nat (servers,internet) source static test1 test1 destination static test2 test2
> в замен подобных же.
> Кстате это ответ на третий пункт, это и есть NAT-0
> По поводу второго пункта, у меня имеется access-list l2l_list (он приведен в
> кнфиге выше), оа обоих ASA он зеркальный.
> По идее то как бы все правильно. И трафик то в одну
> сторону проходит (сниферил), а вот в обратку не идет. Такое ощущение,
> что в туннель заходит, а из него не выходит на другом
> конце. Хотя мне может это только кажется.Я не против спора, он рождает истину :)
По поводу исключения из ната, я вижу что он настроен, только он далеко у вас не зеркальный.
ASA1:
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240object-group network LAN_UN
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN-226
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0nat (servers,internet) source static LAN-225 LAN-225 destination static LAN-226 LAN-226
nat (servers,internet) source static LAN_UN LAN_UN destination static LAN_OM LAN_OM
т.е. как бы первая строка не имеет смысла при наличии второй.ASA2:
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240object-group network LAN_UN
network-object object LAN_10.80.200.0
network-object object LAN_10.80.201.0
network-object object LAN_10.80.211.0
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN_10.80.235.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN_10.80.200.16
network-object object LAN-226
network-object object LAN_10.80.202.0
network-object object LAN_10.80.212.0
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
network-object object LAN_10.80.236.0nat (servers,internet) source static LAN-226 LAN-226 destination static LAN-225 LAN-225
nat (servers,internet) source static LAN_OM LAN_OM destination static LAN_UN LAN_UN
Ну как бы есть различия, т.е. не очень зеркальный. И достаточно странный. Поэтому и говорю, что для начала нужно конечно привести в порядок всё.Во вторых странность наводит в ACL вторая строка:
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
Зачем так написано?
Далее вопрос, а что стоит за обоими асами? Т.е. к чему подключаются сервера? Асы для серверов выступают в качестве гейтов?
А теперь порассуждаем, вы пишите что пингуете 10.80.221.13 --> 10.80.222.13
Рассуждаем логично, аса1 знает о существовании сети 10.80.225.0 она для неё коннектед.
Аса2 так же знает о существовании сети 10.80.226.0 она тоже для неё коннектед.
Всё что другое они обе будут кидать в дефолт. Рассуждаем дальше, вы отправляете пакет с асы1 в сторону вроде как асы2, пакет приходит на асу1 уходит допустим в туннель, выходит из туннеля, и теперь подумайте куда должна при наличии 2х у неё маршрутов коннектед 10.80.226.0 и дефолта, куда она данный пакет запульнёт?
Вы же видете первый шаг асы, это роутинг:
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 internet
Дальше она его пуляет в сторону дефолта, что правильно, и он далее попадает в туннель:
Phase: 4
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (servers,internet) source static test1 test1 destination static test2 test2
Additional Information:
Static translate 10.80.221.13/0 to 10.80.221.13/0
Phase: 5
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:
И поверьте на другой стороне он выходит из туннеля, только скорее всего аса его дропает, т.к. не знает куда его деть.
Снифирить трафик с асы не получится, т.к. там будет шифрованный трафик, не поймёте.
Можно попробовать, на самой асе.
Поэтому и пишу, нарисуйте вначале статикой, правильно на обоих асах, где искать какие сети.
Потом опишите, правильно, что запихивать в туннель, и что не транслировать.
Только пишите конкретные сети, а не /16.
и сделайте вывод команд:
sho crypto isa sa
sho crypto ips sa
> и сделайте вывод команд:
> sho crypto isa sa
> sho crypto ips saНа данный момент у меня ACL и NAT-0 выглядят так:
ASA1:
access-list l2l_list extended permit ip 10.80.225.0 255.255.255.0 10.80.226.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.221.0 255.255.255.0 10.80.222.0 255.255.255.0object network test1
host 10.80.221.13
object network test2
host 10.80.222.13
nat (servers,internet) source static test1 test1 destination static test2 test2
-----------------------------------
asa1# sho crypto isa saIKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 11 IKE Peer: 95.168.71.198
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVEThere are no IKEv2 SAs
-----------------------------------
asa1# sho crypto ips sa
interface: internet
Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
local ident (addr/mask/prot/port): (10.80.222.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.80.221.0/255.255.255.0/0/0)
current_peer: 95.168.71.198#pkts encaps: 21774, #pkts encrypt: 21774, #pkts digest: 21774
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 21774, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 26742134
current inbound spi : BBF90391inbound esp sas:
spi: 0xBBF90391 (3153658769)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3915000/4863)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x26742134 (645144884)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3914173/4863)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
local ident (addr/mask/prot/port): (10.80.226.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.80.225.0/255.255.255.0/0/0)
current_peer: 91.198.71.198#pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 2, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 65AC7C89
current inbound spi : F6FABDA8inbound esp sas:
spi: 0xF6FABDA8 (4143627688)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3915000/27475)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x65AC7C89 (1705802889)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3914999/27474)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
===============================================================================
ASA2:
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0object network test1
host 10.80.221.13
object network test2
host 10.80.222.13
nat (servers,internet) source static test2 test2 destination static test1 test1-----------------------------------
asa2# sho crypto isa sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 11 IKE Peer: 95.168.71.198
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE-----------------------------------
asa2# sho crypto ips sa
interface: internet
Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
local ident (addr/mask/prot/port): (10.80.222.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.80.221.0/255.255.255.0/0/0)
current_peer: 95.168.71.198#pkts encaps: 21774, #pkts encrypt: 21774, #pkts digest: 21774
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 21774, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 26742134
current inbound spi : BBF90391inbound esp sas:
spi: 0xBBF90391 (3153658769)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3915000/4863)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x26742134 (645144884)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3914173/4863)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
local ident (addr/mask/prot/port): (10.80.226.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.80.225.0/255.255.255.0/0/0)
current_peer: 95.168.71.198#pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 2, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 65AC7C89
current inbound spi : F6FABDA8inbound esp sas:
spi: 0xF6FABDA8 (4143627688)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3915000/27475)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x65AC7C89 (1705802889)
transform: esp-des esp-md5-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 446464, crypto-map: abcmap
sa timing: remaining key lifetime (kB/sec): (3914999/27474)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
На принимающей стороне счетчик decaps должен крутится все равно, даже если потом траффик дропается
>>access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
> сети с двух сторон должны быть разные, что-то типо:
> access-list l2l list ext permit ip object-group LAN_UN object-group LAN_OMдля чистоты эксперимента внес изменения в конфиги - не помогло. По идее моя запись не противоречит идее.
> Маршрутизация на ASA не настроена
> route internet удаленные_сети ip_удаленной_asaТоже попробовал на всякий случай - не помогло. Записи такого вида не должны работать.
> route servers внутренние_сети ip_внутреннего_gw
> После этого смотрите счетчики в sh cry ips sa