migracja NAT na 8.4.4 - problem z VPN

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Luc@sM
wannabe
wannabe
Posty: 94
Rejestracja: 29 cze 2009, 13:23

migracja NAT na 8.4.4 - problem z VPN

#1

#1 Post autor: Luc@sM »

witam,

migruję config ASY ver 8.2.2 na 8.4.4. Nie do końca działa mi nowy nat, mam mały problem z sieciami VPN.

PC1(192.168.0.240/21)----ASA ---(ipsec)---PC2(192.168.95.1/24)

Po połączeniu się PC2 do serwera vpn (ASA), z PC2(vpn) pinguję PC1, natomiast z PC1 nie pinguję PC2(vpn).

Konfiguracja NAT (wybrany fragment):

nat z inside na outside (wyjście do internetu):

Kod: Zaznacz cały

nat (inside,outside) source dynamic inside-network obj-PUB-IP-2 destination static obj-any obj-any
zamieniłem nat (inside) 0 access-list inside_nat0_outbound na:

Kod: Zaznacz cały

nat (inside,outside) source static inside-network inside-network destination static vpn-it-network vpn-it-network
sysopt connection permit-vpn
wynik z packet-tracer:

Kod: Zaznacz cały

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source dynamic inside-network obj-PUB-IP-2 destination static obj-any obj-any
czyli ruch jest natowany dynamicznie. Dlaczego ruch nie wpada w nat (inside,outside) source static?

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#2

#2 Post autor: eljot »

Obie reguły utworzyłeś jako Manual Nat. komenda show nat pokaże ładnie w jakiej kolejności są przetwarzane. Lepiej nat dynamiczny zrób jako Auto NAT, tzn.

Kod: Zaznacz cały

object network inside-network 
  subnet x.x.x.x mask
 nat(inside,outside) dynamic interface
Manual Nat jest przetwarzany przed Auto Nat

Luc@sM
wannabe
wannabe
Posty: 94
Rejestracja: 29 cze 2009, 13:23

#3

#3 Post autor: Luc@sM »

ok, dzięki - pingi już działają w obie strony. zrobiłem wcześniej auto nat (in->out), ale dodałem drugi auto nat (in->dmz), który nadpisał pierwszy - dlatego zrobiłem dwa manual naty. Tak przy okazji - manual NAT ma jeszcze <position>, czyli gdybym ustawił priorytet nat do sieci vpn na 1, a wyjście do netu na 2, to pewnie by też zadziałało.

Mam jeszcze pytanko, mimo że ping działa, PT pokazuje mi dalej problem:

Kod: Zaznacz cały

hl-asa-1(config)# packet-tracer input inside icmp 192.168.95.1 8 0 192.168.0.240 det

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   inside-network  255.255.248.0   inside

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xad29d5e8, priority=11, domain=permit, deny=true
        hits=5, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=inside, output_ifc=any

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Chyba, że PT się gubi...

b4n3
wannabe
wannabe
Posty: 128
Rejestracja: 25 cze 2010, 09:58

#4

#4 Post autor: b4n3 »

Może się gubić, a masz inspect ICMP zrobiony ?

Luc@sM
wannabe
wannabe
Posty: 94
Rejestracja: 29 cze 2009, 13:23

#5

#5 Post autor: Luc@sM »

tak:

Kod: Zaznacz cały

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect icmp error

b4n3
wannabe
wannabe
Posty: 128
Rejestracja: 25 cze 2010, 09:58

#6

#6 Post autor: b4n3 »

a anti-spoofing? w packet trace daje czasami na koniec drop, bo wykrywa spoofing :)

Awatar użytkownika
conip
wannabe
wannabe
Posty: 134
Rejestracja: 14 maja 2007, 12:39

#7

#7 Post autor: conip »

jeśli dobrze rozumiem PC2 to klient vpn, dlaczego więc robisz PT z source int inside i src IP wlasnie klienta VPN? nie ma prawa przejsc.

pzdr

Luc@sM
wannabe
wannabe
Posty: 94
Rejestracja: 29 cze 2009, 13:23

#8

#8 Post autor: Luc@sM »

faktycznie...doszukuje w configu różnych rzeczy, a najciemniej pod latarnią;) Dzięki conip za rozjaśnienie;)

ODPOWIEDZ