Автор |
Сообщение |
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
Имеется такая схема: Local Network ----||Local IP |-Cisco Asa 5510-|Wan IP||----- Internet----remote users Удалённый пользователь поднимая Ipsec туннель, попадает в локальную сеть. Имеется Cisco Asa 5510 (Cisco Adaptive Security Appliance Software Version 8.0(3)). На ней создано несколько групп. Ip раздаются из пула, который прописан на этой железке. Пользователи авторизуются локально. Для подключения используют Cisco Vpn Client v5.0.05.0280-k9 или vpnc Version: 0.5.3-1. Проблема заключается в том, что в один прекрасный момент, никто не может установить ipsec туннель с асой (no response from target) хотя все адреса свободны, да и на самой железке сесссий нет. В чём может быть проблема?
|
05 май 2009, 23:16 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Для начала по простому: залейте 8.0(4)
Есть аналогичная проблема с ssh: остаются висеть "мертвые" сесии и не дают цепануться.
Но если проблема сохранится, то будем копать глубже.
ЗЫ А "особенность" момента какая-нибудь прослеживается? Периодичность?
|
06 май 2009, 08:01 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
Переодичность не прослеживается. Проблема решается перезагрузкой Asa'ы. Ставил софт 8.0(4), ничего не изменилось. Проблема не в ssh сессиях а в vpn-remote session.
|
06 май 2009, 10:26 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Я понимаю. Привёл пришедший на ум пример с ssh
Посмотрите, что показывает команда sh vpn-sessiondb remote когда туннели не могут установиться. Скорее всего там останутся хвосты. А это значит, что адреса из пула - заняты и выдать нечего. Для проверки можно временно расширить пул и попробовать подключиться. Получится - в этом проблема, нет - ищем дальше
|
06 май 2009, 12:17 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
sh vpn-sessiondb remote пусто. sh ip local pool Название пула, говорит что все адреса свободны
|
06 май 2009, 13:10 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
А конфигой (без паролей и адресов) поделитесь?
|
06 май 2009, 13:38 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
Любезно . Конфиг кидать сюда или на мыло?
|
06 май 2009, 14:12 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
можно сюда - мож ещё кто подключится. А если боязно - на 4u()anticisco.ru
|
06 май 2009, 16:11 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
# sh run : Saved : ASA Version 8.0(3) ! hostname mycoolasa -) enable password names ! interface Ethernet0/0 nameif outside security-level 0 ip address Some Wan Ip Addr ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.21.254.253 255.255.255.252 ! interface Ethernet0/2 nameif dmz security-level 70 ip address 172.21.254.249 255.255.255.252 ! interface Ethernet0/3 nameif cisco security-level 80 ip address 172.21.254.245 255.255.255.252 ! interface Management0/0 nameif management security-level 0 ip address 192.168.254.1 255.255.255.0 management-only ! interface Redundant1 no nameif no security-level no ip address ! banner login boot system disk0:/asa803-k8.bin boot config disk0:/group-3.cfg ftp mode passive dns domain-lookup outside dns server-group DNS name-server Some Dns Srv name-server Some Dns Srv domain-name some domain dns-group DNS object-group network group-1 description ip pool group-1 network-object 172.21.254.0 255.255.255.224 object-group network group-2 description ip pool group-2 network-object 172.21.254.32 255.255.255.240 object-group network group-3 description ip pool group-3 network-object 172.21.254.48 255.255.255.240 object-group network Servers description ip pool Servers network-object 172.21.254.64 255.255.255.224 access-list group-1 extended permit ip some-netw-1 object-group group-1 access-list group-1 extended permit ip some-netw-2 object-group group-1 access-list group-1 extended permit ip host some-host-1 object-group group-1 access-list group-1 extended permit ip host some-host-2 object-group group-1 access-list group-1 extended permit ip host some-host-3 object-group group-1 access-list split_group-1 standard permit some-netw-1 access-list split_group-1 standard permit some-netw-2 access-list split_group-1 standard permit host some-host-1 access-list split_group-1 standard permit host some-host-2 access-list split_group-1 standard permit host some-host-3 access-list group-2 extended permit ip some-netw-1 object-group group-2 access-list group-2 extended permit ip some-netw-2 object-group group-2 access-list group-2 extended permit ip host some-host-1 object-group group-2 access-list group-2 extended permit ip host some-host-2 object-group group-2 access-list group-2 extended permit ip host some-host-3 object-group group-2 access-list group-2 extended permit ip some-netw-3 object-group group-2 access-list group-2 extended permit ip some-netw-4 object-group group-2 access-list split_group-2 standard permit some-netw-1 access-list split_group-2 standard permit some-netw-2 access-list split_group-2 standard permit host some-host-1 access-list split_group-2 standard permit host some-host-2 access-list split_group-2 standard permit host some-host-3 access-list split_group-2 standard permit some-netw-3 access-list split_group-2 standard permit some-netw-4 access-list nonat_inside extended permit ip some-netw-1 object-group group-1 access-list nonat_inside extended permit ip some-netw-1 object-group group-2 access-list nonat_inside extended permit ip some-netw-1 object-group group-3 access-list nonat_cisco extended permit ip some-netw-3 object-group group-2 access-list nonat_cisco extended permit ip some-netw-3 object-group group-3 access-list nonat_cisco extended permit ip some-netw-2 object-group group-1 access-list nonat_cisco extended permit ip some-netw-2 object-group group-2 access-list nonat_cisco extended permit ip some-netw-2 object-group group-3 access-list nonat_cisco extended permit ip host some-host-1 object-group group-1 access-list nonat_cisco extended permit ip host some-host-1 object-group group-2 access-list nonat_cisco extended permit ip host some-host-1 object-group group-3 access-list nonat_cisco extended permit ip host some-host-3 object-group group-1 access-list nonat_cisco extended permit ip host some-host-3 object-group group-2 access-list nonat_cisco extended permit ip host some-host-3 object-group group-3 access-list nonat_cisco extended permit ip host some-host-2 object-group group-1 access-list nonat_cisco extended permit ip host some-host-2 object-group group-2 access-list nonat_cisco extended permit ip host some-host-2 object-group group-3 access-list nonat_dmz extended permit ip some-netw-4 object-group group-2 access-list nonat_dmz extended permit ip some-netw-4 object-group group-3 access-list group-3 extended permit ip some-netw-1 object-group group-3 access-list group-3 extended permit ip some-netw-2 object-group group-3 access-list group-3 extended permit ip host some-host-1 object-group group-3 access-list group-3 extended permit ip host some-host-2 object-group group-3 access-list group-3 extended permit ip host some-host-3 object-group group-3 access-list group-3 extended permit ip some-netw-3 object-group group-3 access-list split_group-3 standard permit some-netw-1 access-list split_group-3 standard permit some-netw-2 access-list split_group-3 standard permit host some-host-1 access-list split_group-3 standard permit host some-host-2 access-list split_group-3 standard permit host some-host-3 access-list split_group-3 standard permit some-netw-3 pager lines 64 logging enable logging console alerts logging monitor alerts logging asdm critical mtu outside 1500 mtu inside 1500 mtu dmz 1500 mtu cisco 1500 mtu management 1500 ip local pool group-1 172.21.254.1-172.21.254.30 mask 255.255.255.224 ip local pool Servers 172.21.254.65-172.21.254.94 mask 255.255.255.224 ip local pool group-2 172.21.254.33-172.21.254.46 mask 255.255.255.240 ip local pool group-3 172.21.254.49-172.21.254.62 mask 255.255.255.240 ip audit attack action alarm drop no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-615.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat_inside nat (inside) 1 0.0.0.0 0.0.0.0 nat (dmz) 0 access-list nonat_dmz nat (dmz) 1 0.0.0.0 0.0.0.0 nat (cisco) 0 access-list nonat_cisco nat (cisco) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 some wan ipaddr 1 ! some routes here ! timeout xlate 0:10:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL aaa authorization command LOCAL aaa local authentication attempts max-fail 5 aaa authorization exec authentication-server http server enable some ip addr no snmp-server location snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto ipsec transform-set crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set crypto dynamic-map dynmap 1 set transform-set myset crypto dynamic-map dynmap 1 set reverse-route crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map mymap 65535 ipsec-isakmp dynamic dynmap crypto map mymap interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal no vpn-addr-assign dhcp telnet timeout 5 ssh timeout 5 ssh version 2 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ntp server group-policy group-1 internal group-policy group-1 attributes vpn-idle-timeout none vpn-session-timeout none vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value split_group-1 group-policy group-2 internal group-policy group-2 attributes vpn-idle-timeout none vpn-session-timeout none vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value split_group-2 user-authentication enable group-policy group-3 internal group-policy group-3 attributes vpn-session-timeout none vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value split_group-3 user-authentication enable group-policy Servers internal group-policy Servers attributes vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified user-authentication enable tunnel-group group-1 type remote-access tunnel-group group-1 general-attributes address-pool group-1 default-group-policy group-1 tunnel-group group-1 ipsec-attributes pre-shared-key * tunnel-group group-2 type remote-access tunnel-group group-2 general-attributes address-pool group-2 default-group-policy group-2 override-account-disable tunnel-group group-2 ipsec-attributes pre-shared-key * tunnel-group Servers type remote-access tunnel-group Servers general-attributes address-pool Servers default-group-policy Servers tunnel-group Servers ipsec-attributes pre-shared-key * tunnel-group group-3 type remote-access tunnel-group group-3 general-attributes address-pool group-3 default-group-policy group-3 tunnel-group group-3 ipsec-attributes pre-shared-key * ! ! prompt hostname context Cryptochecksum:be9ee43c7fec03cd520d5bd1b677a48a : end
|
06 май 2009, 23:47 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Навскидку: чего не понравилось 1. Самый первый пул адресов имеет маску 27, которая перекрывает червертый пул (он начинается с адреса .33 и имеет маску /28). Неаккуратно. Получается, что мы выдаём адреса из одной и той же сети (хотя ДИАПАЗОН и уже). Сейчас это актуально с клиентом 5.0 2. Применение dynamic-map SYSTEM_DEFAULT. СРазу видно, что делали через веб-морду Я бы написал отдельный dynamic map ручками, явно указав протколы и привесив к crypto map 3. Ну и не понятно, почему отключен cry isakmp nat-traversal WBR, Сергей
|
07 май 2009, 08:26 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
Fedia писал(а): Навскидку: чего не понравилось 1. Самый первый пул адресов имеет маску 27, которая перекрывает червертый пул (он начинается с адреса .33 и имеет маску /28). Неаккуратно. Получается, что мы выдаём адреса из одной и той же сети (хотя ДИАПАЗОН и уже). Сейчас это актуально с клиентом 5.0 2. Применение dynamic-map SYSTEM_DEFAULT. СРазу видно, что делали через веб-морду Я бы написал отдельный dynamic map ручками, явно указав протколы и привесив к crypto map 3. Ну и не понятно, почему отключен cry isakmp nat-traversal WBR, Сергей 1) не красиво - факт, но работать так будет 2) настраивалось ручками, в асе это идёт по дефолту 3) включил cry isakmp nat-traversal. ничего не изменилось.
|
13 май 2009, 10:04 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
И всё-таки, поменяйте маску пула и ручками напишите другой crypto dyn map
Не могу объяснить, с чем связано, но наличие такой конструкции несколько замутняет работу железки. Туда циска собрала ВСЕ возможные варианты, поэтому может подвисать (мои размышления)
|
13 май 2009, 11:52 |
|
|
sshd
Зарегистрирован: 05 май 2009, 22:59 Сообщения: 27
|
разбил сети по "красивому". пока проблемы не было.
|
18 май 2009, 09:57 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ждём Будем надеяться, что не дождёмся, но если повторится - напишите.
|
18 май 2009, 11:04 |
|
|