ASA IPsec pingi w jedną stronę

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
horst
member
member
Posty: 17
Rejestracja: 22 maja 2019, 20:40

ASA IPsec pingi w jedną stronę

#1

#1 Post autor: horst »

Witam.
Mam taki problem. Utworzyłem na ASA VPN IPsec (za pomącą wizzarda). Łączę się poprzez Cisco VPN Client. Hosty zdalne mają dostęp do sieci, pingują, bez problemu uzyskują dostęp do serwerów i zasobów w sieci. Ale nie można uzyskać dostępu w drugą stronę. Nie odpowiadają na pingi z LANu. Dzieje się tak tylko na interfejsie outside. Na inside działa wszystko OK. i to jest właśnie dziwne ;(. W czym może być problem?

Mam też inne połączenie, VPN SSL AnyConnect, i tu działa wszystko tak jak trzeba w obie strony, zarówno na wewnętrznym jak i zewnętrznym interfejsie.
Wiem, że nie napisałem tego zbyt fachowym językiem, ale mam nadzieję, że znajdzie sie ktoś ktoś kto zrozumie o co mi chodzi i mi pomoże.
PS Nie krzyczcie za dużo ;)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA IPsec pingi w jedną stronę

#2

#2 Post autor: drake »

Hej,
To moze byc pare rzeczy, skorzystaj z packet tracera, powinien ci dokladnie wskazac gdzie lezy problem.
Np. tutaj masz ladnie wytlumaczone co i jak:
https://www.google.com/url?sa=t&source= ... 5384634514

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

horst
member
member
Posty: 17
Rejestracja: 22 maja 2019, 20:40

Re: ASA IPsec pingi w jedną stronę

#3

#3 Post autor: horst »

NIc mi to niestety nie mówi ;(

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA IPsec pingi w jedną stronę

#4

#4 Post autor: drake »

Hej,
W takim razie lepiej zlecic to komus, kto zna sie na ASA.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

horst
member
member
Posty: 17
Rejestracja: 22 maja 2019, 20:40

Re: ASA IPsec pingi w jedną stronę

#5

#5 Post autor: horst »

A komu Ty zlecasz? Bo widzę, że się znasz na tym mniej więcej tak jak ja.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA IPsec pingi w jedną stronę

#6

#6 Post autor: drake »

Ja nie zlecam nikomu, bo sie na temtyce znam. Polecam swoje uslugi :)
Chodzi mi o fakt, ze jesli packet-tracer czy inne narzedzia do troubleshootingu na ASA Tobie nic nie mowia, to istnieje realne niebezpieczenstwo, ze nieprzemyslanymi i niesprawdzonymi dzialaniami bardziej zaszkodzisz niz pomozesz. A w obecnej chwili przy natezeniu ruchu VPN w kazdej firmie oznacza to powazne klopoty.
Nie odbieraj tego pejoratywnie, ja tylko daje Ci konkretne wskazowki co do narzedzi i mozliwosci znalezienia przyczyny Twojego problemu, bo jako inzynier nie bawie sie w zgadywanie, lecz dzialam w oparciu o fakty (czyt. informacje diagnostyczne z urzadzenia).

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

horst
member
member
Posty: 17
Rejestracja: 22 maja 2019, 20:40

Re: ASA IPsec pingi w jedną stronę

#7

#7 Post autor: horst »

Ale te narzędzie nic nie wyjaśniło.

Tu wyniki:
SSL AnyConnect

Kod: Zaznacz cały

Firewall# packet-tracer input outside icmp 192.xxx.20.1 0 0 192.xxx.0.33 detai$

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.xxx.0.0     255.255.255.0   Inside

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (Inside,Outside) source static NETWORK_OBJ_192.xxx.0.0_24 NETWORK_OBJ_192.xxx.0.0_24 destination static NETWORK_OBJ_192.xxx.20.0_24 NETWORK_OBJ_192.xxx.20.0_24 no-proxy-arp route-lookup
Additional Information:
NAT divert to egress interface Inside
Untranslate 192.xxx.0.33/0 to 192.xxx.0.33/0

Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.xxx.20.1    255.255.255.255 Outside

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7fff9f3bbec0, priority=11, domain=permit, deny=true
        hits=92600, user_data=0x5, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
        input_ifc=Outside, output_ifc=any

Result:
input-interface: Outside
input-status: up
input-line-status: up
output-interface: Inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
IPsec VPN Client:

Kod: Zaznacz cały

Firewall# packet-tracer input outside icmp 192.xxx.20.2 0 0 192.xxx.0.33 detai$

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   192.xxx.0.0     255.255.255.0   Inside

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (Inside,Outside) source static NETWORK_OBJ_192.xxx.0.0_24 NETWORK_OBJ_192.xxx.0.0_24 destination static NETWORK_OBJ_192.xxx.20.0_24 NETWORK_OBJ_192.xxx.20.0_24 no-proxy-arp route-lookup
Additional Information:
NAT divert to egress interface Inside
Untranslate 192.xxx.0.33/0 to 192.xxx.0.33/0

Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         Outside

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7fff9f3bbec0, priority=11, domain=permit, deny=true
        hits=92959, user_data=0x5, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
        input_ifc=Outside, output_ifc=any

Result:
input-interface: Outside
input-status: up
input-line-status: up
output-interface: Inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Dla ssl pingi chodzą w obie strony, a dla ipsec tylko do wewnątrz.

Prawdopodobnie coś namieszane w crypto maps. Router odziedziczyłem w spadku i muszę ogarnąć. Dobrze, że wszystko działa od strony hostów VPN, mają przynajmniej do wszystkiego dostęp. Ale zależało mi, żeby móc w razie czego wbić do nich zdalnie z serwera.

Muszę chyba korzystać z pomocy pakistańskich guru i ich samouczków. No trudno, i tak kiedyś miałem zamiar się tego poduczyć. Szkoda, że akurat w czasach zarazy, gdy wszyscy chcą pracować zdalnie :(

ODPOWIEDZ