Problem z ASA5510 - zrywanie połączeń, wycinanie ruchu

[Greyer]

Witam.
Od jakiegoś czasu moja ASA 5510 zaczyna dziwnie pracować. Losowo wycina dostęp do serwerów, czasem wycina dostęp do wszystkich serwerów. Ma wbudowany moduł IPSa, ale nawet po jego deaktywacji wciąż się te problemy pojawiają.
Asa pracuje na sofcie: 8.0.4 (co zresztą jest pokazane w poniższym configu).

Powiem szczerze że już dostaję szewskiej pasji bo nie mam pojęcia gdzie szukać problemu i co może powodować wycinanie dostępu do serwerów za asa.

http://szary.org/linux/running-config.txt <- config z zamazanymi hasła, kontami i pierwszymi członami klasy adresowej

Czy ktoś z Was spotkał się z takimi problemami? Macie może pomysł gdzie szukać powodu dla którego ASA wycina ruch?

Aha, próbowałem ustawić by asa logowała ruch do flasha lub na zewnętrznym serwerze FTP, ale o dziwo nie chce robić ani jednego ani drugiego.

Pozdrawiam i czekam na pomoc

[sebu]

przyjrzyj sie dokladnie dzialaniu tego mechanizmu

threat-detection scanning-threat shun duration 3600

w szczegolnosci popatrz na logi i zobacz czy to nie jest przyczyna losowego blokowania ruchu, albo wrecz wylacz to i zobacz czy problem nadal istnieje

[Greyer]

przyjrzyj sie dokladnie dzialaniu tego mechanizmu

threat-detection scanning-threat shun duration 3600

w szczegolnosci popatrz na logi i zobacz czy to nie jest przyczyna losowego blokowania ruchu, albo wrecz wylacz to i zobacz czy problem nadal istnieje

Dopisałem też adresy które mają być pomijane przy tym, natomiast tak czy siak nie były pomijane, a też blokowane.
Z poziomu asdma nie da się wyłączyć tego, bo cały czas samo się włącza. Mogę spróbować zrobić to z poziomu CLI.

[Greyer]

Tak jak pisałem, zarówno z poziomu ASDMa jak i CLI nie ma możliwości wyłączenia tego. Informuje mnie, iż nie można wyłączyć czegoś co jest w trakcie działania.

No jak już pisałem w logach niewiele mogę wyczytać bo w momencie jak następuje blokada zrywa mi połączenie z serwerem który jest podłączony do Asy i skąd mogę odpalić ASDMa do podglądania logów.

Może masz pomysł jak zmusić asę by logi wysyłała mi na FTP to bym je wtedy przeglądał sobie w momencie jakby ona to robiła.
Co śmieszniejsze nie wycina w żaden sposób możliwości VPNowania się do wewnątrz sieci, bo można to robić bezproblemowo. Wycinanie ruchu trwa kilka do kilkunastu minut i nie jest w żaden sposób powtarzalne. Raz to robi w nocy, innego razu w dzień, a czasem (tak jak dzisiaj) ruch wycinany mam co pół godziny, godzinę ...

[sebu]

zobacz co mowi

show shun
show shun statistics
show threat-detection shun

[Greyer]

Kod: Zaznacz cały

asa# show shun
asa# show shun statistics
inside=OFF, cnt=0
vts_dmz1=OFF, cnt=0
vts_dmz2=OFF, cnt=0
outside=OFF, cnt=19
management=OFF, cnt=0

asa# show threat-detection shun
Shunned Host List:
asa#

Aktualnie mi to pokazuje.

[sebu]

Aha, próbowałem ustawić by asa logowała ruch do flasha lub na zewnętrznym serwerze FTP, ale o dziwo nie chce robić ani jednego ani drugiego.

wlacz logowanie na jakims nizszym poziomie i trzeba popatrzec w logi, co ASA mowi jak ten ruch urywa

sciagnij sobie np kiwi syslog pod winde, albo odpal syslog po linuchem i daj np:

logging enable
logging host inside X.X.X.X
logging trap info
logging timestamp
logging asdm info

[Greyer]

Aha, próbowałem ustawić by asa logowała ruch do flasha lub na zewnętrznym serwerze FTP, ale o dziwo nie chce robić ani jednego ani drugiego.

wlacz logowanie na jakims nizszym poziomie i trzeba popatrzec w logi, co ASA mowi jak ten ruch urywa

sciagnij sobie np kiwi syslog pod winde, albo odpal syslog po linuchem i daj np:

logging enable
logging host inside X.X.X.X
logging trap info
logging timestamp
logging asdm info

Najgorsze, że nie wiem kiedy może się to stać i nie jestem w żaden sposób w stanie tego przewidzieć. Na szczęście nagios z innego hosta mi na bieżąco sprawdza stan, ale patrząc w jego logi nic się nie działo przez ostatnie 5h.

Zrobię jak piszesz, sprawdzę tego kiwi sysloga.