Cześć,
Mam sporo takich komunikatów w logach ASA:
4 Oct 08 2012 16:55:49 402116 yy.yy.yy.yy xx.xx.xx.xx IPSEC: Received an ESP packet (SPI= 0x1D225335, sequence number= 0x1F99) from 9yy.yy.yy.yy (user= domain\j.kowalski) to xx.xx.xx.xx. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as serwer_w_domenie_w_lan, its source as zz.zz.zz.zz, and its protocol as 17. The SA specifies its local proxy as xx.xx.xx.xx/255.255.255.255/17/42246 and its remote_proxy as yy.yy.yy.yy/255.255.255.255/17/42246.
i
4 Oct 08 2012 16:54:27 410001 xx.xx.xx.xx 53 domain_controller_w_lan 50721 Dropped UDP DNS reply from outside:xx.xx.xx.xx/53 to inside:uspwardc0v_lan/50721; packet length 524 bytes exceeds configured limit of 512 bytes
Wiecie może co może być przyczyną?
W drugiej kwestii wyczytałem , iż można zwiększyć limit ale czy to jest zalecane?
Pozdr.
The decapsulated inner packet doesn't match the neg. policy
W pierwszym przypadku oznacza to dokladnie to, co jest napisane w logu. Dostajesz ruch przez VPN ktory nie matchuje do crypto mapy.
W drugim przypadku zapytanie dns'owe jest wieksze niz 512 bajtow(defaultowa wielkosc). Mozesz uzyc czegos w rodzaju "message-length maximum client auto" aby sie nie bawic w zwiekszanie limitu dla zapytan.
Pozdr
W drugim przypadku zapytanie dns'owe jest wieksze niz 512 bajtow(defaultowa wielkosc). Mozesz uzyc czegos w rodzaju "message-length maximum client auto" aby sie nie bawic w zwiekszanie limitu dla zapytan.
Pozdr
Do poczytaniaHardcore pisze:Ale czy jeżeli zwiększę na auto to nie otworzę furtki w postaci, iż do pakietów DNS standardowych będzie mógł ktoś dokleić jakiś syf , który wtedy przejdzie?
best practices
i jeszcze to link
a czym się łączysz do tej ASA? jaki klient vpn (zakładam ze klient bo są dane usera)? wygląda to tak jakby klient pchał w tunel cos co nie powinien zgodnie z ustawieniami ASA. Spróbowałbym innej wersji klienta cisco.
Jeśli to nie klient a jakieś urządzonko to spodziewałbym się rozbieżności w crypto ACL.
pzdr
Jeśli to nie klient a jakieś urządzonko to spodziewałbym się rozbieżności w crypto ACL.
pzdr