vpn l2l nie dziala internet

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
okoo
wannabe
wannabe
Posty: 397
Rejestracja: 13 cze 2008, 19:17

vpn l2l nie dziala internet

#1

#1 Post autor: okoo »

Witam
Mam w centrali asa5506-x, natomiast w oddziale 5505, pomiedzy nimi jest zestawiony ipsec vpn l2l, założenie jest takie, że cały ruch z oddziału ma wychodzić przez vpn (czyli nie chce, split tunnelingu). Na asa w oddziale nie mam w ogóle nata. Przez asdma ustawiłem VPN w ten sposób że w configuration > vpn>ipsec rules mam regółę w której w zakładce traffic selection mam tak:
interface = outside, action = protect, source = ip address, ip address = 10.10.10.0 netmask = 255.255.255.0 destination = any protocol = IP
W oddziale nie działa internet ale działa dostęp do zasobów w centrali (widać dyski sieciowe z centrali itp)
Na asa w odziale wykonuje packet trace i wyglada to tak:

Kod: Zaznacz cały

asa-odzial# packet-tracer input inside rawip 10.10.10.10 1 8.8.8.8 detail

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39c3050, priority=0, domain=permit-ip-option, deny=true
        hits=27423, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 4
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39c23c8, priority=66, domain=inspect-icmp-error, deny=false
        hits=1996, user_data=0x39c22f8, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 5
Type: HOST-LIMIT
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39a57f8, priority=0, domain=host-limit, deny=false
        hits=22522, user_data=0x0, cs_id=0x0, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map icmp-class
 match default-inspection-traffic
policy-map icmp_policy
 class icmp-class
  inspect icmp
service-policy icmp_policy interface outside
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0x40cdca8, priority=72, domain=inspect-icmp, deny=false
        hits=1996, user_data=0x40cd9d8, cs_id=0x0, flags=0x0, protocol=1
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 7
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0x41027a0, priority=70, domain=encrypt, deny=false
        hits=47, user_data=0x0, cs_id=0x39faff8, reverse, flags=0x0, protocol=0
        src ip=10.10.10.0, mask=255.255.255.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Co może być grane ?
Dziękuję za pomoc

Maciek_JG
member
member
Posty: 48
Rejestracja: 14 sty 2011, 16:57
Lokalizacja: WRO

Re: vpn l2l nie dziala internet

#2

#2 Post autor: Maciek_JG »

Cześć,
Musisz zmodyfikować Crypto ACL i dać permit 10.10.10.0/24 any. Inaczej pakiety nie wpadną w tunel IPsec, tylko zostaną od razu zdropowane.

okoo
wannabe
wannabe
Posty: 397
Rejestracja: 13 cze 2008, 19:17

Re: vpn l2l nie dziala internet

#3

#3 Post autor: okoo »

Witam
Pisząc crypto Maciek_JG acl masz na myśli acl która wrzuca ruch do tunelu ?, mam tak:

Kod: Zaznacz cały

access-list outside_1_cryptomap extended permit ip 10.10.10.0 255.255.255.0 any
I to właśnie jest wygenrowane przez asdma tak jak pisałem w pierwszym poście.
Raczej nie jest tak jak piszesz, ponieważ gdyby ruch nie wpadał do tunelu to nie działał by dostęp z oddziału do centrali a tak jak pisałem działa.

Maciek_JG
member
member
Posty: 48
Rejestracja: 14 sty 2011, 16:57
Lokalizacja: WRO

Re: vpn l2l nie dziala internet

#4

#4 Post autor: Maciek_JG »

Skoro masz dobrze ustawione Crypto ACL po obu stronach to zobacz jeszcze jak routowany jest pakiet do 8.8.8.8.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: vpn l2l nie dziala internet

#5

#5 Post autor: drake »

Hej,
sprawdz reguly dla NAT i czy ruch z oddzialu (zrodlowy 10.10.10.0/24) jest NAT/PATowany na interfejs lub IP na wyjscie do internetu.

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

okoo
wannabe
wannabe
Posty: 397
Rejestracja: 13 cze 2008, 19:17

Re: vpn l2l nie dziala internet

#6

#6 Post autor: okoo »

Maciek_JG pisze:Skoro masz dobrze ustawione Crypto ACL po obu stronach to zobacz jeszcze jak routowany jest pakiet do 8.8.8.8.
No właśnie nie jest routowany, po to jest ta acl żeby ten ruch wrzucić do tunelu, routingiem przeciez ma juz zając się urządzenie po drugiej stronie tunelu. Tak mi sie wydaje

okoo
wannabe
wannabe
Posty: 397
Rejestracja: 13 cze 2008, 19:17

Re: vpn l2l nie dziala internet

#7

#7 Post autor: okoo »

drake pisze:Hej,
sprawdz reguly dla NAT i czy ruch z oddzialu (zrodlowy 10.10.10.0/24) jest NAT/PATowany na interfejs lub IP na wyjscie do internetu.

Pozdruffka! ;)
Cześć
Tak jak pisałem na początku nie mam wogóle nata na asie w oddziale, Nat jest robiony oczywiście po drugiej stronie tunelu, no ale z tego co pokazuje packet trace to asa w oddziale dropuje ten ruch, więc do regół nat poprostu nie dociera.
Zrobiłem z ciekawości dwa testy, pierwszy polegał na tym że do acl dopisałem drugą linie:

Kod: Zaznacz cały

access-list outside_1_cryptomap line 2 extended permit ip 10.10.10.0 255.255.255.0 8.8.8.0 255.255.255.0 (hitcnt=0
Jak widać nic tam nie wpadało do linii nr. 2
Drugi test jaki wykonałem to wywaliłem

Kod: Zaznacz cały

access-list outside_1_cryptomap line 1 extended permit ip 10.10.10.0 255.255.255.0 any
I zamiast tego wpisałem coś takiego:

Kod: Zaznacz cały

access-list outside_1_cryptomap line 2 extended permit ip 10.10.10.0 255.255.255.0 8.8.8.0 255.255.255.0
Następnie packet trace pokazał coś takiego:

Kod: Zaznacz cały

packet-tracer input inside rawip 10.10.10.10 1 8.8.8.8 detailed

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39c3050, priority=0, domain=permit-ip-option, deny=true
        hits=2011, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 4
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39c23c8, priority=66, domain=inspect-icmp-error, deny=false
        hits=716, user_data=0x39c22f8, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 5
Type: HOST-LIMIT
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x39a57f8, priority=0, domain=host-limit, deny=false
        hits=1504, user_data=0x0, cs_id=0x0, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map icmp-class
 match default-inspection-traffic
policy-map icmp_policy
 class icmp-class
  inspect icmp
service-policy icmp_policy interface outside
Additional Information:
 Forward Flow based lookup yields rule:
 out id=0x40cdca8, priority=72, domain=inspect-icmp, deny=false
        hits=716, user_data=0x40cd9d8, cs_id=0x0, flags=0x0, protocol=1
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0

Phase: 7
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 2036, packet dispatched to next module
Module information for forward flow ...
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_fp_tracer_drop
snp_ifc_stat

Module information for reverse flow ...

Phase: 8
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 10.222.222.1 using egress ifc outside
adjacency Active
next-hop mac address 00d0.01ef.1c00 hits 57476

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Czyli wychodzi na to że w tej sytuacji ruch przejdzie, nic z tego nie rozumie

s2nt0
wannabe
wannabe
Posty: 129
Rejestracja: 10 mar 2011, 23:58
Lokalizacja: London

Re: vpn l2l nie dziala internet

#8

#8 Post autor: s2nt0 »

Witam,

Rozumiem ze 'outside_1_cryptomap' to ACL zapieta do crypto mapy ?

'access-list outside_1_cryptomap line 1 extended permit ip 10.10.10.0 255.255.255.0 any'

A jakie masz w ogole encryption domain ?

Jest jeszcze kwestia ACL zapietej do interfejsu 'inside', no chyba ze nie masz i na security flow x -> 0 sobie leci,

Filtra na VPNnie tez nie masz ?
show run tunnel-group <IP_peera>

A zestawia sie faza 1 ?

Robiles packet-tracer chociaz 2 razy ? pierwszy drop na packet-tracer jest zeby tunel postawic,

Rozumiem, ze konfiguracja VPNa jest taka sama po obu stronach ? (encryption domain etc)

Zobaczmy co pokaze debug,

jak masz duzo peerow, to zarzuc

debug crypto condition peer IP

a potem

Faza 1
debug crypto isakmp 200

Faza 2
debug crypto ipsec 200
why we doing this ? because LAB told us to..

ODPOWIEDZ