URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1615
[ Назад ]

Исходное сообщение
"ASA 5510 + L2TP"
Отправлено MrFreeze_nv , 09-Фев-15 13:33

Доброго дня!
помогите в решении проблемки:
есть сеть
|     лвс    |<--->| switch |<-->| switch |<-->inside| asa 5510 |outside<-->interenet
|1.1.1.0/24|      |1.1.1.1 |         |2.2.2.2 |          | 2.2.2.10 |
Юзеры из сети 1.1.1.0/24 и 2.2.2.0/24 цепляются на inside ASA по L2TP для доступа в интернет.Им выдаеются адреса из диапазона 3.3.3.0/24.
Все работает нормально.
НО не пингуются адреса интернета.
в Логах такое сообщение
ASA-1-106021: Deny ICMP reverse path check from 8.8.8.8 to 3.3.3.3 on interface inside
Вот кусок конфига ASA:
ASA Version 8.4(7)
!
hostname ASA
domain-name asa
names
!
interface Ethernet0/0
description Local Interface
nameif inside
security-level 100
ip address 2.2.2.10 255.255.255.0
!
interface Ethernet0/1
description Internet
nameif outside
security-level 0
ip address dhcp setroute
!
object network L2TP_3.3.3.0
subnet 3.3.3.0 255.255.255.0
description L2TP from inside for internet
access-list internet_access_in extended permit icmp any object L2TP_3.3.3.0
mtu inside 1500
mtu outside 1500
ip local pool vpn_l2tp_pool 3.3.3.1-3.3.3.254 mask 255.255.255.0
ip verify reverse-path interface inside
ip verify reverse-path interface outside
ip audit name *USHT* attack action alarm drop reset
ip audit name *USHT2* info action alarm drop reset
ip audit interface inside *USHT*
ip audit interface outside *USHT2*
ip audit interface outside *USHT*
ip audit info action alarm drop reset
ip audit attack action alarm drop reset
ip audit signature 2000 disable
ip audit signature 2001 disable
ip audit signature 2004 disable
ip audit signature 2005 disable
icmp unreachable rate-limit 1 burst-size 1
icmp deny any echo-reply internet
no arp permit-nonconnected
!
object network L2TP_3.3.3.0
nat (inside,outside) dynamic interface
access-group internet_access_in in interface internet
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
eou allow none
fragment chain 1 inside
fragment chain 1 outside
service resetinbound interface inside
service resetinbound interface outside
service resetoutside
crypto ipsec ikev1 transform-set vpn_l2tp esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set vpn_l2tp mode transport
crypto engine large-mod-accel
crypto dynamic-map dyn_map_l2tp_inside 10000 set ikev1 transform-set vpn_l2tp
crypto map l2tp_inside_map 10000 ipsec-isakmp dynamic dyn_map_l2tp_inside
crypto map l2tp_inside_map interface inside
crypto isakmp identity address
crypto ikev1 enable inside
crypto ikev1 policy 10000
authentication pre-share
encryption aes
hash sha
group 1
lifetime 86400
ssh key-exchange group dh-group1-sha1
management-access inside
dhcp-client client-id interface outside
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
!
group-policy vpn_l2tp internal
group-policy vpn_l2tp attributes
dns-server value 5.5.5.5
vpn-tunnel-protocol l2tp-ipsec
default-domain value asa
username user1 password xxx
username user1 attributes
service-type remote-access
username user2 password yyy
username user2 attributes
service-type remote-access
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_l2tp_pool
default-group-policy vpn_l2tp
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key zzz
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect http

Содержание

ASA 5510 + L2TP,_alecx_, 15:02 , 09-Фев-15
- ASA 5510 + L2TP,anonymous, 15:16 , 09-Фев-15
  - ASA 5510 + L2TP,MrFreeze_nv, 16:17 , 09-Фев-15

Сообщения в этом обсуждении

"ASA 5510 + L2TP"
Отправлено _alecx_ , 09-Фев-15 15:02

ip verify reverse-path interface inside
ip verify reverse-path interface outside

ASA не нравится что пакет с адресом отправителя 3.3.3.3 который по таблице маршрутизации находится за интерфейсом outside прилетает на интерфейс inside.

"ASA 5510 + L2TP"
Отправлено anonymous , 09-Фев-15 15:16

+++
urpf нельзя включать на интерфейсах, на которые уходит дефолтный маршрут.

"ASA 5510 + L2TP"
Отправлено MrFreeze_nv , 09-Фев-15 16:17

> +++
> urpf нельзя включать на интерфейсах, на которые уходит дефолтный маршрут.
убрал
ip verify reverse-path interface inside
добавил
same-security-traffic permit intra-interface
пинг пошел.
убрав RPF c inside, не сделал ли брешь в безопасности. Во всех конфигах, которые встречал в интернет, включена RPF на inside.