ASA & arp gratuitous

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

ASA & arp gratuitous

#1

#1 Post autor: PatrykW »

Czesc,

Gdzies na boku przegladam pare pdf, ale tez pomyslalem ze tutaj zadam pytanie.

Powiedzmy ze posiadam taka konfiguracje ponizej:

object network NETWORKERS-NET-RFC1918
nat (jakisinterfejs,outside) dynamic IPv4-ADRESIP-NON-RFC1918

nat (outside,any) after-auto source static NETWORKERS-NET-RFC1918-POOL NETWORKERS-NET-RFC1918-POOL route-lookup

Gdzie NETWORKERS-NET-RFC1918 to jakis wycinek z 10.0.0.0/8 natomiast pool, to dedykowany obszar dla klientow Any Connect powidzmy 10.0.0.10-20

Teraz dzieje sie pewna rzecz. Wchodze na interfejs (jakisinterfejs) oraz wykonuje polecenie shutdown.

Jak to sie dzieje ze mimo ze interfejs jest wylaczony, to ASA mi sieje ARPy po sieci dla starego adresu ( IPv4-ADRESIP-NON-RFC1918).
W rezultatcie aby zakonczyc zmiane, musialem usunac stare wpisy dotyczace polityk NAT, gdyz na nowej ASA nie bylem w stanie osiagnac sieci inernet.


Mam nadzieje ze dobrze wytlumaczylem. Chce tylko nadmienic, ze zaraz ZA interfejsem outside oraz inside posiadam switche, gdzie te arpy byly propagowane.

Mam nadzieje ze dobrze rozpisalem moj przypadek, oraz pomozecie mi zrozumiec ten jakze ciekawy przypadek, gdyz obecnie doznalem mind fk :)


pzdr
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: ASA & arp gratuitous

#2

#2 Post autor: PatrykW »

Dodam jeszcze jedna rzecz. xlate oraz con wyczyscilem.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA & arp gratuitous

#3

#3 Post autor: mihu »

zobacz dokladnie co jest/bylo w konfigu. w ktorej wersji Asy zmienilo sie defaultowe ustawienie dla natu i "no-proxy-arp"

http://www.cisco.com/c/en/us/support/do ... SA-00.html
Ostatnio zmieniony 24 lut 2017, 14:46 przez mihu, łącznie zmieniany 1 raz.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: ASA & arp gratuitous

#4

#4 Post autor: PatrykW »

mihu pisze:zobacz dokladnie co jest/bylo w konfigu. w ktorej wersji Asy zmienilo sie defaultowe ustawienie dla natu i "no-proxy-arp"

http://www.cisco.com/c/en/us/support/do ... SA-00.html


Sent from my iPhone using Tapatalk Pro
W ustawieniu polityk nat nie posiadam argumentu (no-proxy-arp)
wersja pudelka: 9.1(7)11

Nie jestem pewien, czy CSCub50435 dokladnie opisuje ten sam przypadek ?

https://quickview.cloudapps.cisco.com/q ... CSCub50435

edit:
Chyba bardziej to ? hmm ?
https://bst.cloudapps.cisco.com/bugsear ... CSCuc11186
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA & arp gratuitous

#5

#5 Post autor: mihu »

Wojtachinho pisze:
W ustawieniu polityk nat nie posiadam argumentu (no-proxy-arp)
wersja pudelka: 9.1(7)11
jesli nie masz tego argumentu to znaczy ze jest wlaczony (defaultowo ukryty).

przyklad z Version 9.2(4)18

Kod: Zaznacz cały

nat (LAN,outside) after-auto source static LAN_1 LAN_1 destination static RVPN_SSLVPN_GROUP RVPN_SSLVPN_GROUP no-proxy-arp
introduced in 8.4(2)/8.5(1)

The no-proxy-arp, route-lookup, pat-pool, and round-robin keywords were added.

The default behavior for identity NAT was changed to have proxy ARP enabled, matching other static NAT rules.

When upgrading to 8.4(2) from 8.3(1), 8.3(2), and 8.4(1), all identity NAT configurations will now include the no-proxy-arp and route-lookup keywords, to maintain existing functionality.
http://www.cisco.com/c/en/us/td/docs/se ... ef2/n.html

btw nie jestem zwolennikiem nat(int, any) - za duze ograniczenia potem
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: ASA & arp gratuitous

#6

#6 Post autor: PatrykW »

btw nie jestem zwolennikiem nat(int, any) - za duze ograniczenia potem
why ?
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA & arp gratuitous

#7

#7 Post autor: mihu »

Wojtachinho pisze:
why ?
szczegolow teraz nie pamietam, ale wiem ze bylo kilka rzeczy ktorych nie dalo sie zrobic jak klient mial (int,any), juz nie mowic o przypadkach (any,any), wydaje mi sie ze (int1, int2) jest bardziej przejrzyste i bardziej szczegolowe, nawet jesli trzeba robic (int1, int3), i tak dalej i potem daje wieksze pole do manewru do zmian jesli trzeba i nie jest potrzebne okno serwisowe zeby usuwac (int,any) i zamieniac. Tym bardziej, ze nie ma juz nat-control i NATy powinny byc tylko tam gdzie ma to sens. W mojej opinii good practice, albo kwestia przyzwyczajenia tak jak ACLki podpinane pod interfejsy a nie global. Nie wiem czy (int,any) nie byl dodany w tym samym czasie co global ACL zeby ulatwic migracje z Check Pointa do ASA.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ