Новые ответы

ASA 5510. Трафик между двумя VPN,

tictactoe, 24-Фев-11, 13:27 [смотреть все]

Всем доброго времени суток.
Есть у меня вот такая схема подключения
[Remote-Access VPN Client] <-Tunnel-> [ASA 5510] <-Tunnel-> [ASA5505] <-> [SERVER]
Для Remote-Access VPN Client peer'ом является первый внешний интерфейс ASA 5510, Site-to-Site VPN между ASA 5510 и ASA 5505 поднят на втором интерфейсе ASA 5510. Remote-Access VPN Client получает IP из сети 10.10.10.х/24, SERVER имеет IP из сети 192.168.204.х/24, трафик между сетями 10.10.10.х/24 и 192.168.204.х/24 добавлен в split tunneling для Remote-Access VPN и криптуется. Отбор траффика для криптования в Site-to-Site VPN между двумя ASA осуществляется Crypto Map'ом на втором интерфейсе ASA 5510.
Не могу подключиться с Remote-Access VPN Client'а на сервер SERVER, пакеты не доходят даже до сетефого интерфейса сервера (смотрел tcpdump'ом), теряются где-то внутри ASA 5510. Командой capture ни на одном интерфейсе ASA 5510 я данный трафик отследить не могу - на первом интерфейсе он закриптован, а на втором его либо нет, либо он тоже закриптован - увы, не могу понять...
Вот что выдает на ASA 5510 команда
packet-tracer input FIRST tcp 10.10.10.6 12586 192.168.204.20 22 deatiled
---------------
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in NET-204 255.255.255.0 INT-SECOND
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group ACL-OUTSIDE-FIRST in interface INT-FIRST
access-list ACL-OUTSIDE-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 object-group GROUP-ALL-NET
object-group network GROUP-ALL-NET
  network-object NET-199 255.255.255.0
  network-object NET-200 255.255.255.0
  network-object NET-204 255.255.255.0
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xd8b4bec8, priority=12, domain=permit, deny=false
        hits=630, user_data=0xd7ed4180, cs_id=0x0, flags=0x0, protocol=0
        src ip=VPN-IP-POOL, mask=255.255.255.0, port=0
        dst ip=NET-204, mask=255.255.255.0, port=0, dscp=0x0
Phase: 4
Type: ACCESS-LIST
Subtype: aaa-user
Result: ALLOW
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xdadacaf8, priority=12, domain=aaa-user, deny=false
        hits=3, user_data=0xa, cs_id=0x0, flags=0x0, protocol=6
                src ip=10.10.10.6, mask=255.255.255.255, port=0
        dst ip=NET-204, mask=255.255.255.0, port=22, dscp=0x0
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xd80fac48, priority=0, domain=permit-ip-option, deny=true
        hits=36853091, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Phase: 6
Type: CP-PUNT
Subtype:
Result: ALLOW
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xdae9b348, priority=89, domain=punt, deny=true
        hits=55, user_data=0xd75c3e80, cs_id=0x0, flags=0x0, protocol=0
                src ip=10.10.10.6, mask=255.255.255.255, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Phase: 7
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xd8b12a90, priority=69, domain=ipsec-tunnel-flow, deny=false
        hits=2, user_data=0x12cc9b5c, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=10.10.10.6, mask=255.255.255.255, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Phase: 8
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  in id=0xd80fda08, priority=20, domain=lu, deny=false
        hits=3610602, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6
                src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Phase: 9
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
  Forward Flow based lookup yields rule:
  out id=0xda98ddc0, priority=70, domain=encrypt, deny=false
        hits=98, user_data=0x0, cs_id=0xd7fb9828, reverse, flags=0x0, protocol=0
        src ip=VPN-IP-POOL, mask=255.255.255.0, port=0
        dst ip=NET-204, mask=255.255.255.0, port=0, dscp=0x0
Result:
input-interface: INT-FIRST
input-status: up
input-line-status: up
output-interface: INT-SECOND
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
--------------
Не понимаю, отчего в Phase: 9 пакеты сбрасываются, ведь в Crypto Map'е для Site-to-Site VPN трафик между сетями 10.10.10.х/24 и 192.168.204.х/24 прописан...
Может кто сталкивался с подобной ситуацией и подскажет, где тут собака порылась?
Спасибо заранее!

Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, Николай, 13:47 , 24-Фев-11 (1)
А собака порылась в том что вы пытаетесь отправить в тунель некриптованый трафик ессественно он туда не попадет - вот и отбивает. Это нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты на тунель) на самом деле когда пакет генериться не самой АС-ой он нормально криптуеться и проходит через тунель. Если не верите попробуйте сделать трассу в обратном направлении там будет все ок.
Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, tictactoe, 14:48 , 24-Фев-11 (2)
> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый
> трафик ессественно он туда не попадет - вот и отбивает. Это
> нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты
> на тунель) на самом деле когда пакет генериться не самой АС-ой
> он нормально криптуеться и проходит через тунель. Если не верите попробуйте
> сделать трассу в обратном направлении там будет все ок.
Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я жвроде написал об этом...
Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, ivan, 18:55 , 24-Фев-11 (3)
>> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый
>> трафик ессественно он туда не попадет - вот и отбивает. Это
>> нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты
>> на тунель) на самом деле когда пакет генериться не самой АС-ой
>> он нормально криптуеться и проходит через тунель. Если не верите попробуйте
>> сделать трассу в обратном направлении там будет все ок.
> Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором
> прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я
> жвроде написал об этом...
Конфиг хотелось бы посмотреть.
Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, tictactoe, 19:02 , 24-Фев-11 (4)
> Конфиг хотелось бы посмотреть.
Вот выдержка из него, где я собрал всё, что касается данной ситуации. Сам конфиг большой, т.к. ASA 5510 центральный VPN концетратор. Если что пропустил или не понятно - справшивайте, я отвечу.
---------------
interface Ethernet0/0
no nameif
no security-level
no ip address
!
interface Ethernet0/0.10
vlan 10
nameif INT-FIRST
security-level 0
ip address XXX.XXX.22.167 255.255.255.224
!
interface Ethernet0/0.20
vlan 20
nameif INT-SECOND
security-level 0
ip address 192.168.251.1 255.255.255.0
!
interface Ethernet0/3
nameif INT-LAN
security-level 0
ip address 172.20.0.1 255.255.0.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
object-group network GROUP-ALL-NET
network-object 192.168.204.0 255.255.255.0
access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0
access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0
access-list ACL-FIRST extended permit icmp any any
access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0
access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 object-group GROUP-ALL-NET
access-list ACL-Split-Tunnel standard permit 172.16.0.0 255.255.0.0
access-list ACL-Split-Tunnel standard permit 192.168.0.0 255.255.0.0
access-list ACL-DAP-DEFAULT extended deny ip any any
access-list ACL-DAP-VPN extended permit icmp VPN-IP-POOL 255.255.255.0 any
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 eq ssh
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 object-group vnc
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group rdp
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 eq ssh
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group vnc
access-list ACL-To-Encrypt-NET-204 extended permit ip 172.16.0.0 255.255.0.0 192.168.204.0 255.255.255.0
access-list ACL-To-Encrypt-NET-204 extended permit ip 192.168.0.0 255.255.0.0 192.168.204.0 255.255.255.0
access-list ACL-To-Encrypt-NET-204 extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0
access-list ACL-FIRST-No-NAT extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0
ip local pool VPN-IP-POOL 10.10.10.1-10.10.10.254 mask 255.255.255.0
nat-control
nat (INT-FIRST) 0 access-list ACL-FIRST-No-NAT
access-group ACL-FIRST in interface INT-FIRST
route INT-FIRST 0.0.0.0 0.0.0.0 62.231.22.161
route INT-SECOND 192.168.204.0 255.255.255.0 192.168.251.2 1
dynamic-access-policy-record DAP-VPN-ADMIN
network-acl ACL-DAP-VPN
crypto ipsec transform-set VPN-Transform-Set esp-des esp-md5-hmac
crypto ipsec transform-set Transform-Set esp-des esp-md5-hmac
crypto dynamic-map VPN-Crypto-Map 65535 set pfs group2
crypto dynamic-map VPN-Crypto-Map 65535 set transform-set VPN-Transform-Set
crypto map Crypto-Map 65535 ipsec-isakmp dynamic VPN-Crypto-Map
crypto map Crypto-Map interface INT-FIRST
crypto map Crypto-Map-SECOND 30 match address ACL-To-Encrypt-NET-204
crypto map Crypto-Map-SECOND 30 set pfs
crypto map Crypto-Map-SECOND 30 set peer 192.168.251.2
crypto map Crypto-Map-SECOND 30 set transform-set Transform-Set
crypto map Crypto-Map-SECOND interface INT-SECOND
crypto isakmp identity address
crypto isakmp enable INT-FIRST
crypto isakmp enable INT-SECOND
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
!
group-policy VPN-ADMIN internal
group-policy VPN-ADMIN attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL-Split-Tunnel
tunnel-group VPN-ADMIN type remote-access
tunnel-group VPN-ADMIN general-attributes
address-pool VPN-IP-POOL
authentication-server-group RADIUS
authorization-server-group RADIUS
accounting-server-group RADIUS
default-group-policy VPN-ADMIN
tunnel-group VPN-ADMIN ipsec-attributes
pre-shared-key *
tunnel-group 192.168.251.2 type ipsec-l2l
tunnel-group 192.168.251.2 ipsec-attributes
pre-shared-key *
---------------
Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, BJ, 19:32 , 24-Фев-11 (5)
А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?
Ответить | Сообщить модератору

ASA 5510. Трафик между двумя VPN, tictactoe, 14:28 , 25-Фев-11 (6)
> А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?
Проблема решилась, Crypto Map на ASA 5505 был симметричен, но я его ошибочно повесил на другой интерфейс...
Всем откликнувшимся ещё раз спасибо за помощь и советы!
Ответить | Сообщить модератору