取消
显示结果 
搜索替代 
您的意思是: 
cancel
19272
查看次数
0
有帮助
12
回复

ASA5525多模式下site to site vpn的问题,精通麻烦给看看

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2017-3-3 11:17 编辑
问题解决了。看二楼。
102055u1hz8og7gpo61p1l.png
先说下问题:之前ASA单模式与2911建立VPN,两边总共6个网段互访都没问题。
后来业务需求,2911配置没变, ASA上开启多模式,其中一个context与总部的2911路由器配置ipsec vpn。配置都是刷上去的,没有特殊修改。
但是开启多模式之后,isakmp和ipsec都正常协商,也都有sa和spi,却出现诡异的现象:
10.1.1.0/24网段和总部其他网段都能正常通讯,但是10.10.10.0/24和10.1.4.0/24都不能和总部192的网段通讯。
----------------
检查思路,
isakmp sa都正常;
在ASA上能看到192.168.x.0/24和10.10.10.0/24的ipsec sa中,
只有收到的解密报文,没有发送的加密报文161020toz528qi4fa54g8i.png
在2911上看到192.168.x.0/24和0.10.10.0/24的ipsec sa中,
只有发送的加密报文,没有收到的解密报文
161029m1lhlz34zy745h46.png
正常的SA:
161053pqtvs750qovu000w.png
也就是说,路由器这边能正常发送,ASA能正常接受,但是没有返回
检查了server到网关的路由,都正常。
所以可能是server没回应,或者被ASA过滤。后者可能行更大。
然后我尝试在ASA上抓包,
在相关的接口下,只抓到了192.168.x.0/24与10.1.1.0/24的报文,没有任何有关10.10.10.0/24或者10.1.4.0/24与192网段的报文。
这个结果看,应该是被ASA过滤了吧。。
-----------------------------------------------
我尝试吧感兴趣流写成192.168.0.0/16 to 10.0.0.0/8 测试之后发现现象还是一样的。
总部的192.168只能跟10.1.1.0/24通信,也就是ASA的inside区域。跟其他的zone不通。
------------------------------2017/03/01更新
我又在两边的server上抓包确认了一下:
192.168.x.0/24与10.1.1.0/24在server上都能看到

然后,从192网段ping 10.10.10.0/24的server ,在ASA上能看到ipsec sa中的pkts decaps计数器增加,也就是能收到远端的数据包,并解密。
但是在10.10.10.0/24的server上没有收到任何数据包。
反过来,10.10.10.0 ping 192的server,能从192的服务器上抓到过来的数据,并且正常回应。

问题就是这样,整个过程ipsec加解密都正常,所有服务器也都能正常对公网提供服务。
流量不通应该就是ASA的某个特性把非inside口的流量给过滤了。
1 个已接受解答

已接受的解答

one-time
Level 13
Level 13
感谢您的提问!稍后会有小伙伴为您解答的!:)

在原帖中查看解决方案

12 条回复12

one-time
Level 13
Level 13
感谢您的提问!稍后会有小伙伴为您解答的!:)

13nash
Level 8
Level 8
好像看不出来问题,你把感兴趣流写明细试试呢

Mansur
Spotlight
Spotlight
13nash 发表于 2017-2-16 10:02
好像看不出来问题,你把感兴趣流写明细试试呢

明细?是成host吗?

guomizha
Cisco Employee
Cisco Employee
这里为啥用any any?
nat (inside,outside) source static any any destination static vpn vpn
nat (inside14,outside) source static any any destination static vpn vp

Mansur
Spotlight
Spotlight
guomizha 发表于 2017-2-23 00:28
这里为啥用any any?
nat (inside,outside) source static any any destination static vpn vpn
nat (ins ...

国敏大神,这个source stattic any any 就是源地址不做nat转换。
我试了,写成
nat (inside10,outside) source static inside10 inside10 destination static vpn vpn
这样也是一样的。

guomizha
Cisco Employee
Cisco Employee
maguanghua2013 发表于 2017-2-23 11:20
国敏大神,这个source stattic any any 就是源地址不做nat转换。
我试了,写成
nat (inside10,outsid ...

Any不能随便用等,你可以试试吧其他几个any any去掉或者改掉。

Mansur
Spotlight
Spotlight
guomizha 发表于 2017-2-27 15:03
Any不能随便用等,你可以试试吧其他几个any any去掉或者改掉。

试了,还是不行,
我尝试吧感兴趣流写成192.168.0.0/16 to 10.0.0.0/8 测试之后发现现象还是一样的。
总部的192.168只能跟10.1.1.0/24通信,也就是ASA的inside区域。跟其他的zone不通。。
其他inside10,inside14的security-level也是100,这些接口下的设备上网和之间互访都是没问题的。
应该是ASA的某种策略限制,我再查查产品文档吧

z328443036
Level 1
Level 1
最近都在整IPSec,你配置太长了,我就根据你的现象给你几个可能性,你排查一下吧。
1.第一像7楼说的nat自己转换成自己最好建立一个明确的网段在ASA上
2.确保你设备两边的路由是正常的
3.确认你IPSec的状态正常已经建立
4.如果遇到这种感兴趣流多条且部分通的情况可以考虑先删除两边感兴趣流,只保证两边都是一条的情况,然后在把两边一条条加,看加到几条时不通。或者clear crypto isakmp 和clear crypt sa在看看。多个感兴流不通我只在测试时和别的厂商对接时遇到过。

Mansur
Spotlight
Spotlight
z328443036 发表于 2017-2-28 23:24
最近都在整IPSec,你配置太长了,我就根据你的现象给你几个可能性,你排查一下吧。
1.第一像7楼说的nat自 ...

嗯,谢谢!
我按你说的也试了,上面的问题又更新了一下。
现在能确定数据是到哪个位置不通的。。但是不知道原因

Mansur
Spotlight
Spotlight
本帖最后由 maguanghua2013 于 2017-3-3 10:19 编辑
问题已经解决了,ASA 9.12版本之后,做nat免除的时候后面要加上route-lookup(为此规则执行路由查找)参数。
不然会导致,asa收到非inside 区域的流量,解密之后不查路由表直接丢包。
nat (inside,outside) source static any any destination static vpn vpn route-lookup
nat (inside14,outside) source static any any destination static vpn vp route-lookup
谢谢各位!!

one-time
Level 13
Level 13
谢谢分享!

fortune
VIP Alumni
VIP Alumni
哈 我是来学习的,!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接