CISCO ASA 5510 probléma

Hálózatok általános

Sziasztok,

Felmerült egy érdekes probléma aminek megoldásában picit elakadtam, ezért szeretném a közösség segítségét kérni, ha mással nem is hát ötletelés szintjén.

Adott egy Cisco ASA 5510 nevű VPN+tűzfal, amely egyrészt site-to-site VPN-t szolgáltat telephelyek között, másrészt felhasználók kapcsolódhatnak hozzá remote userként, hogy elérjék a céges levelezést.Az eszköz a tűzfaltól függetlenül, nyilvános IP-vel rendelkezik, a kliensek IPSec protokollon keresztül kapcsolódhatnak hozzá egy SSL certfikáció segítségével.A felhasználók authentikációja a céges domain controlleren keresztül AD-ből történik.

Namármost a probléma ott van, hogy az eszköz random időpontokban, és mostmár egyre gyakrabban eldobja az agyát. Értem ez azt, hogy a felhasználók távolról be tudnak csatlakozni, kapnak IP az erre kijelölt pool -ból, jelszó és usernév alapján megtörténik az autentikáció, de miután becsatlakoztak semmit nem látnak a hálózatból. Saját IP -jét mindenki tudja pingelni, az egyéb még bent lévő felhasználókét is de azon túl semmi. Szintén a szerverről a VPN számára fenntartott és már használatban lévő IP-k pingelhetőek, de kliens oldalról a szerverek nem elérhetőek. A probléma 1-2 eszközújraindítás után álltalában megszűnik.

Az én tippem az volna, hogy valamiféle routolási probléma lehet (de időközönként??), de ez csak tipp. Sajnos nem nagyon vágom a Cisco eszközöket.

Kérdéseim a következőek lennének:
-Találkozott már valaki hasonló problémával? (és talált -e rá megoldást?)
-Hogy tudnám megnézni pl. a logokat az eszközön? (milyen parancs?)

Előre is köszönöm a segítséget. :)

  • 3456 megtekintés

( s3r3nity | 2009. 04. 07., k – 21:05 )

Senki nem konfolta még ezt a típus? :S

( s3r3nity | 2009. 05. 25., h – 19:16 )

Sziasztok,

Na most megint egy ideig ment a VPN ... szal a történet ugyanaz mint fentebb kis kiegészítéssel.Kapok IP címet, megpróbálok pingelni egy intranetes szervert és nem megy. A logabn látszik az ICMP csomag, de nem kapok rá választ.

Kipróbáltam egy packet-tracer nevű parancsot is a következő az eredmény:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed

Esetleg tudja valaki ez alapján mi lehet a probléma? Elég fontos lenne ... Miért dobja el a csomagokat?

Előre is köszönöm ...

Ez volt az első ... be van kapcsolva, és még ezek után is megbízhatatlanul működik. A felhasználók tudnak kapcsolódni VPN kliensen keresztül (IpSec over UDP). Néha az intranetet is elérik néha viszon semmihez nem tudnak kapcsolódni, bár egymást tudják pingelni, és a 2 l2l kapcsolat gépeit is elérik azonban a központi lan-t nem.

Ahogyan fent is látszik az inside interface eldobálja a csomagjaikat.

Hát asdm -et használok a monitorozás miatt (szeressem a grafikus dolgokat), cli gondolom command line rövidítése és ha valamit konfolni kell inkább azt.

Segítene egy running-config?

Szal mikor behal akkor az egész olyan mintha a user nem jutna el az outside -tól az inside -ig. L2L kapcsolatokat elérem, de inside-on belül semmit.

amiatt kérdés a használt image + asdm verzió mert a 6.0x-s ASDM eléggé bugos.
S emiatt cli-be érdemes a beállításokat megadni mert így végrehajtódik biztosan.
hiába jelzi az asdm, hogy a nat-t be van kapcsolva, de nem működik.
érdemes cli-ben kiadni a szükséges parancsot, majd utánna ellenőrizni.
én is sokat szívtam ezzel, a RaVPN bekonnektált, de adatforgalom nem generálódott.

A nat-t be van állítva, cli -n keresztül állítottam be még. Van egy IpSec Troubleshooting doksi a cisco oldalán abból szedtem az ötletet.

Egyébként ha éppen szarul megy a VPN akkor is ASDM -en keresztül látom, hogy bent vagyok, kapok IP-t próbálom pingetni a szervert és teradrop-ot dobál rá. Arra gyanakszom hogy valamelyik tűzfalszabály lép érvénybe néha. De randomban? Ez azért furcsa.

Running config
--------------

: Saved
:
ASA Version 8.0(3)
!
hostname vpnkozpont
domain-name ***.hu
enable password 0WqAsS07qG7q2RhC encrypted
names
name 84.21.28.219 InfomatiX
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 91.82.185.27 255.255.255.248
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.1.11.253 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd QGqUAhbVAt8bFmMx encrypted
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group DefaultDNS
name-server 10.1.11.1
name-server 10.1.11.7
domain-name ***.hu
same-security-traffic permit intra-interface
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any echo
access-list FWBlockIn extended deny ip any any
access-list FWAllowAnyOut extended permit ip any any
access-list cryptomap_vac extended permit ip 10.1.11.0 255.255.255.0 10.1.12.0 255.255.255.0
access-list cryptomap_vac extended permit ip 10.1.14.0 255.255.255.0 10.1.12.0 255.255.255.0
access-list inside_no_nat extended permit ip 10.1.11.0 255.255.255.0 10.1.12.0 255.255.255.0
access-list inside_no_nat extended permit ip 10.1.11.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list inside_no_nat extended permit ip 10.1.11.0 255.255.255.0 10.1.11.0 255.255.255.0
access-list inside_no_nat extended permit ip 10.1.0.0 255.255.0.0 10.1.11.0 255.255.255.0
access-list inside_access_in extended permit icmp any any echo
access-list inside_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended permit icmp any any time-exceeded
access-list inside_access_in extended permit icmp any any unreachable
access-list inside_access_in extended permit ip 10.1.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list cryptomap_debrecen extended permit ip 10.1.11.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list cryptomap_debrecen extended permit ip 10.1.12.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list cryptomap_debrecen extended permit ip 10.1.9.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list cryptomap_debrecen extended permit ip 10.1.10.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list cryptomap_debrecen extended permit ip 10.1.0.0 255.255.248.0 10.1.14.0 255.255.255.0
access-list cryptomap_debrecen extended permit ip 10.1.8.0 255.255.255.0 10.1.14.0 255.255.255.0
access-list defaultsplittunnel standard permit 10.1.0.0 255.255.0.0
pager lines 24
logging enable
logging timestamp
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
ip local pool vpnpool 10.1.11.50-10.1.11.99
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_no_nat
nat (inside) 1 10.1.0.0 255.255.0.0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 91.82.185.25 1
route inside 10.1.0.0 255.255.248.0 10.1.11.254 1
route inside 10.1.8.0 255.255.255.0 10.1.11.254 1
route inside 10.1.9.0 255.255.255.0 10.1.11.254 1
route inside 10.1.10.0 255.255.255.0 10.1.11.254 1
route inside 10.1.13.0 255.255.255.0 10.1.11.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
ldap attribute-map CISCOMAP
map-name msNPAllowDialin IETF-Radius-Class
map-value msNPAllowDialin FALSE NOACCESS
map-value msNPAllowDialin TRUE default
dynamic-access-policy-record DfltAccessPolicy
aaa-server LDAP_AD protocol ldap
aaa-server LDAP_AD host 10.1.11.1
ldap-base-dn dc=biogate, dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn cn=asaldap, cn=users, dc=biogate, dc=local
server-type microsoft
ldap-attribute-map CISCOMAP
http server enable
http InfomatiX 255.255.255.255 outside
http 192.168.1.0 255.255.255.0 management
http 10.1.11.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set strongest esp-aes-256 esp-sha-hmac
crypto dynamic-map outside_dynmap 10 set transform-set strongest
crypto map mymap 8 match address cryptomap_debrecen
crypto map mymap 8 set peer 81.183.213.19
crypto map mymap 8 set transform-set strongest
crypto map mymap 9 match address cryptomap_vac
crypto map mymap 9 set peer 91.82.255.187
crypto map mymap 9 set transform-set strongest
crypto map mymap 20 ipsec-isakmp dynamic outside_dynmap
crypto map mymap interface outside
crypto ca trustpoint vpnca
revocation-check crl none
enrollment terminal
subject-name CN=vpnkozpont.***.hu,OU=HQ,O=*** Hungary Kft.,C=HU,L=Budapest
crl configure
crypto ca certificate chain vpnca
certificate ca 008a24e81f5cdd37f8
***
quit
certificate 11
***
quit
crypto isakmp enable outside
crypto isakmp policy 1
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 2
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
crypto isakmp disconnect-notify
telnet timeout 5
ssh 91.82.185.24 255.255.255.248 outside
ssh 81.21.28.219 255.255.255.255 outside
ssh 10.1.0.0 255.255.0.0 inside
ssh timeout 10
ssh version 2
console timeout 0
management-access management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
ntp server 193.225.14.162 source outside prefer
group-policy default internal
group-policy default attributes
dns-server value 10.1.11.1 10.1.11.3
split-tunnel-policy tunnelspecified
split-tunnel-network-list value defaultsplittunnel
default-domain value ***.local
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-simultaneous-logins 0
vpn-tunnel-protocol IPSec
tunnel-group 91.82.255.187 type ipsec-l2l
tunnel-group 91.82.255.187 ipsec-attributes
pre-shared-key *
tunnel-group 81.183.213.19 type ipsec-l2l
tunnel-group 81.183.213.19 ipsec-attributes
pre-shared-key *
tunnel-group default type remote-access
tunnel-group default general-attributes
address-pool vpnpool
authentication-server-group (outside) LDAP_AD
default-group-policy default
tunnel-group default ipsec-attributes
trust-point vpnca
tunnel-group-map default-group default
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:b5a29f1f1145bf53e2c2dd0077caf4a8
: end
asdm image disk0:/asdm-603.bin
asdm location *** 255.255.255.255 inside
no asdm history enable

( stephano | 2009. 06. 26., p – 08:49 )

Memóriakihasználtságot/proci terheltséget nézted?
20% alá nem mehet a szabad memória!

és ajánlom a packet tracer menüt, hasznos lehet!