继上一个关于如何在ASA5505上捕获数据包的问题之后,我很难区分哪些stream量通过了VPN,哪些是从防火墙本身生成的。 为了概括这个问题,我有一个通过vpn连接到telnet服务器的应用程序,它在连接空闲一段时间后发送数据时正在接收重置数据包。 我想弄清楚这些重置来自哪里。 无论是VPN另一端的路由器/远程login服务器,还是应用服务器所在的ASA5505服务器。 我读过有关ASA系列丢弃连接,由于默认超时时间较短,我希望这是问题。 我已经捕获了应用程序服务器上的数据包以识别重置。 我现在已经在防火墙的内部接口捕获了数据包,并且重置也在那里。 我无法做的是捕获从VPN隧道出来的数据包,看看他们是否也在那里。 我已经尝试捕获外部接口上的所有数据包,但根本没有任何数据包,所以我猜测VPN数据无法通过外部接口捕获。 有没有人知道我如何捕获数据包一出VPN通道? 为了捕获内部的数据包,我在远程login服务器上将其匹配为源: capture capture1 interface Inside match tcp 171.28.18.50 255.255.255.255 any 为了捕获外部数据包,我匹配了任何不是我build立的ssh连接来监视捕获的任何源/目标: capture capture2 interface Outside match tcp any neq 22 any neq 22 configuration中的超时连接线是: timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 更新:在Shane Madden的build议下,我捕获了ESP数据包,现在已经确定复位是由ASA生成的。 我现在要去尝试增加timeout conn 更新:我还没有增加timeout conn但使用ASDM中的graphics来监视VPN连接,看起来当它闲置30分钟时,隧道closures。 我怀疑当它closures时,TCP连接中断,并在一小时后在连接上发送更多的数据时,ASA响应重置。 30分钟是vpn-idle-timeout的默认值。 当我运行show run | include […]
原谅我,因为我对ASA不是很有经验,但我相信我所configuration的应该是有效的。 我有一个ASA 5510运行版本8.3(2),它连接到内部,外部和dmznetworking,以及一个RA VPN。 内部和DMZnetworking从内部/ dmz到互联网时都configuration了dynamicNAT。 这些dynamicNAT都按预期工作。 试图通过VPN访问DMZnetworking时出现问题。 我在ASA上得到的错误消息是: %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:xxxx dst dmz: yyyy (type 8, code 0) denied due to NAT reverse path failure 我认为这是因为从DMZ返回的stream量将与dynamicNAT规则相匹配,并且不在外部接口。 所以我把一个静态的没有NAT规则的DMZ子网给VPN: nat (dmz,outside) source static DMZ_VLAN DMZ_VLAN destination static VPN VPN 但是…我仍然收到错误。 现在,这里是我更加困惑的地方。 添加静态NAT之后,我的sh nat如下所示: 1 […]
我的ASA 5510具有以下接口configuration。 我的Ubuntu盒子(2.6.35)连接到这个networking将正确的自动configuration一个IPv6地址,但是它不会设置默认路由。 interface Ethernet0/0.10 vlan 10 no shutdown nameif inside security-level 100 ip address 172.18.0.1 255.255.254.0 ipv6 address REMOVED:1::1/64 ipv6 nd prefix REMOVED:1::/64 ipv6 nd ra-interval 120 ipv6 enable 因此, ping6 REMOVED:1::1工作正常,如果我手动添加IPv6的默认路由,它工作正常。 由此产生的路由器广告如下所示: 01:06:42.253895 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 64) fe80::21c:58ff:fed3:ea36 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, […]
我有一个有两个PPPoE连接的ASA5505。 我希望添加一个静态路由来通过新的PPPoE连接路由一个子网,但ASA似乎不允许在没有下一跳的接口上进行路由。 route inside 192.0.2.0 255.255.255.0 NewInterface ERROR: % Invalid Hostname 有什么明显的我缺less指定一个路由接口?
我期待使用DSCP标记来实现VoIP通信的QoS:EF&AF31。 VoIP的LLQ: ciscoasa(config)# class-map cm_voip ciscoasa(config-cmap)# match dscp ef ciscoasa(config-cmap)# match dscp af31 ciscoasa(config)# policy-map pm_voip ciscoasa(config-pmap)# class cm_voip ciscoasa(config-pmap-c)# priority ciscoasa(config-pmap-c)# service-policy pm_voip global 警方入境stream量(非VoIP): ciscoasa(config)# class-map cm_data_inbound ciscoasa(config-cmap)# no match dscp ef ciscoasa(config-cmap)# no match dscp af31 ciscoasa(config)# policy-map pm_data_inbound ciscoasa(config-pmap)# class cm_data_inbound ciscoasa(config-pmap-c)# police input cir 98 ciscoasa(config-pmap-c)# service-policy pm_data_inbound interface outside […]
我试图让我的ASA工作端口转发。 我在用着: object network server1 nat (inside,outside) static interface service tcp 25 25 和一个访问列表,它工作正常,但是,我不能添加多个NAT语句。 任何人都可以指向正确的方向吗?
我一直在努力把一个configuration从PIX转换到ASA 8.2,但我遇到了一些麻烦的网站到网站的VPN部分。 PIX具有客户端VPN和站点到站点。 由于网站到站点的一些configuration跨越客户端VPN,我感到困惑。 任何帮助将被淹没。 Belows只是PIX的相关VPN命令的摘录。 access-list Remote_splitTunnelAcl permit ip 192.168.0.0 255.255.0.0 any access-list inside_outbound_nat0_acl permit ip any 192.168.0.160 255.255.255.240 access-list inside_outbound_nat0_acl permit ip host Zenoss_OS NOC 255.255.255.0 access-list inside_outbound_nat0_acl permit ip host SilverBack NOC 255.255.255.0 access-list inside_outbound_nat0_acl permit ip host enoss_Hardware NOC 255.255.255.0 access-list outside_cryptomap_dyn_20 permit ip any 192.168.0.160 255.255.255.240 access-list outside_cryptomap_20 permit ip […]
我有两个位置通过站点到站点VPN连接的情况。 网站A有一个网页过滤设备。 我想通过VPN隧道将站点B的所有stream量路由到站点A的互联网连接(和网页filter)。 正在使用的防火墙设备是Cisco ASA 5505.站点到站点VPN已经build立。 为了达到上述目的我需要修改什么?
我有一个ASAconfiguration如下; 内部:192.168.0.254/24外部:10.0.0.1/29(这是路由到ASA) global (outside) 1 interface global (outside) 2 10.0.0.2 nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside) 2 192.168.0.50 255.255.255.255 static (inside,outside) 10.0.0.2 192.168.0.5 netmask 255.255.255.255 正如你所看到的,NAT客户端在外出IP时有一个默认的NAT规则。 还有一个特定的规则将内部主机192.168.0.50/32映射到10.0.0.2,一个不同的外部IP。 最后是10.0.0.2的静态映射。 我正在尝试input以下静态NAT规则,以将外部IP 10.0.0.1端口转发到内部主机192.168.0.5; # static (inside,outside) tcp interface 555 192.168.0.5 555 netmask 255.255.255.255 ERROR: duplicate of existing static inside:192.168.0.5 to outside:10.0.0.2 netmask 255.255.255.255 我不明白这里发生了什么事。 有人可以解释一下吗?
我在运行8.4的ASA5510上configuration了远程访问VPN,并在外部接口上启用了它。 出于某种原因,如果内部主机使用VPN客户端通过防火墙进行连接,则最终将采用端口udp / 500(udp / isakmp)或tcpudp / 4500(IPSec NAT-T)。 内部主机使用PAT来转换到外部,但我会认为ASA永远不会提供覆盖自己的端口(如500和4500)的PAT翻译。 在谈判和authentication过程中,我看到数据包丢失。 如果我断开内部主机上的VPN客户端,远程访问客户端可以再次连接。 这里是一些configuration(清理原因很明显): access-list vpnclient_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0 ip local pool vpnclient-pool 10.0.254.5-10.0.254.249 mask 255.255.255.0 group-policy remote_access internal group-policy vpnclient attributes dns-server value 10.0.0.2 vpn-tunnel-protocol ikev1 split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnclient_splitTunnelAcl default-domain value example.local tunnel-group vpnclient type remote-access tunnel-group vpnclient general-attributes address-pool vpnclient-pool authentication-server-group […]