The decapsulated inner packet doesn't match the neg. policy

[Hardcore]

Cześć,
Mam sporo takich komunikatów w logach ASA:

4 Oct 08 2012 16:55:49 402116 yy.yy.yy.yy xx.xx.xx.xx IPSEC: Received an ESP packet (SPI= 0x1D225335, sequence number= 0x1F99) from 9yy.yy.yy.yy (user= domain\j.kowalski) to xx.xx.xx.xx. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as serwer_w_domenie_w_lan, its source as zz.zz.zz.zz, and its protocol as 17. The SA specifies its local proxy as xx.xx.xx.xx/255.255.255.255/17/42246 and its remote_proxy as yy.yy.yy.yy/255.255.255.255/17/42246.

i

4 Oct 08 2012 16:54:27 410001 xx.xx.xx.xx 53 domain_controller_w_lan 50721 Dropped UDP DNS reply from outside:xx.xx.xx.xx/53 to inside:uspwardc0v_lan/50721; packet length 524 bytes exceeds configured limit of 512 bytes

Wiecie może co może być przyczyną?

W drugiej kwestii wyczytałem , iż można zwiększyć limit ale czy to jest zalecane?

Pozdr.

[zet69]

W pierwszym przypadku oznacza to dokladnie to, co jest napisane w logu. Dostajesz ruch przez VPN ktory nie matchuje do crypto mapy.

W drugim przypadku zapytanie dns'owe jest wieksze niz 512 bajtow(defaultowa wielkosc). Mozesz uzyc czegos w rodzaju "message-length maximum client auto" aby sie nie bawic w zwiekszanie limitu dla zapytan.

Pozdr

[Hardcore]

Ale czy jeżeli zwiększę na auto to nie otworzę furtki w postaci, iż do pakietów DNS standardowych będzie mógł ktoś dokleić jakiś syf , który wtedy przejdzie?

[zet69]

Ale czy jeżeli zwiększę na auto to nie otworzę furtki w postaci, iż do pakietów DNS standardowych będzie mógł ktoś dokleić jakiś syf , który wtedy przejdzie?

Do poczytania

best practices

i jeszcze to link

[conip]

a czym się łączysz do tej ASA? jaki klient vpn (zakładam ze klient bo są dane usera)? wygląda to tak jakby klient pchał w tunel cos co nie powinien zgodnie z ustawieniami ASA. Spróbowałbym innej wersji klienta cisco.

Jeśli to nie klient a jakieś urządzonko to spodziewałbym się rozbieżności w crypto ACL.

pzdr