https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038147#M402825 <HTML><HEAD></HEAD><BODY><P>Hello Vinaya,</P><P></P><P></P><P>Here is the NAT rules you are doing on the ASA:</P><P></P><P>static (OCODC,TCSDMZ) 172.17.50.0 10.62.253.0 netmask 255.255.255.0 </P><P>static (TCSDMZ,OCODC) 172.0.0.0 172.0.0.0 netmask 255.0.0.0 </P><P></P><P>So if you want to access 10.62.253.0 from TCSDMZ you should access it pointing 172.17.50.0 so basically you are doing the packet-tracer wrong.</P><P></P><P>Do it like this:</P><P></P><P>packet-tracer input&nbsp; TCSDMZ tcp&nbsp; 172.17.62.160 1026 172.17.50.15 80</P><P></P><P><SPAN style="text-decoration: underline;"><STRONG>Any other question..Sure..Just remember to rate all of my answers.</STRONG></SPAN></P><P></P><P></P><P>Regards,</P></BODY></HTML> Mon, 15 Oct 2012 17:37:03 GMT Julio Carvajal 2012-10-15T17:37:03Z https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038145#M402823 <P>Friends </P><P>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </P><P></P><P></P><P>In <STRONG>packet tracer fail,</STRONG> the traffic can get through, the unicast rpf is not dropping it.</P><P></P><P>In <STRONG>packet tracer fail</STRONG>, looks like the return packet is DROPed because of uRPF.</P><P></P><P></P><P>ASA1# show ip verify statistics </P><P>interface OCODC: 0 unicast rpf drops</P><P>interface Internet: 0 unicast rpf drops</P><P>interface VPN: 0 unicast rpf drops</P><P>interface P2P: 0 unicast rpf drops</P><P>interface TCSDMZ: 0 unicast rpf drops</P><P></P><P></P><P>uRPF does not show any drops. I do not see an explicit command under the interface. Is it enabled or disabled by default?</P><P></P><P>Can someone explain if this drop is caused by RPF and how do I prevent this? </P><P>Is this a porblem with the way my routetable is set up or NAT?</P><P></P><P>Regards,</P><P>vinayaka.</P> Tue, 12 Mar 2019 00:08:58 GMT https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038145#M402823 Vinayaka Raman 2019-03-12T00:08:58Z https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038146#M402824 <HTML><HEAD></HEAD><BODY><P>I did some additional testing and found out this is due to NAT reverse path failure. I would need some one to explain how is this occurring for the traffic from DMZ to OCODC and not vice versa </P><P></P><P>ASA1# show asp drop</P><P></P><P>Frame drop:</P><P>Punt rate limit exceeded (punt-rate-limit)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 40799</P><P>Invalid IP header (invalid-ip-header)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 36</P><P>Invalid IP length (invalid-ip-length)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4</P><P>Invalid TCP Length (invalid-tcp-hdr-length)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2282</P><P>Invalid UDP Length (invalid-udp-length)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 168</P><P>No valid adjacency (no-adjacency)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 18535</P><P>Flow is denied by configured rule (acl-drop)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 104833232</P><P>First TCP packet not SYN (tcp-not-syn)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2080932</P><P>TCP failed 3 way handshake (tcp-3whs-failed)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 46781</P><P>TCP RST/FIN out of order (tcp-rstfin-ooo)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1364</P><P>TCP SEQ in SYN/SYNACK invalid (tcp-seq-syn-diff)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4</P><P>TCP SYNACK on established conn (tcp-synack-ooo)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2</P><P>TCP packet SEQ past window (tcp-seq-past-win)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 18005</P><P>TCP invalid ACK (tcp-invalid-ack)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1</P><P>TCP replicated flow pak drop (tcp-fo-drop)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 264</P><P>TCP RST/SYN in window (tcp-rst-syn-in-win)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 326</P><P>IPSEC tunnel is down (ipsec-tun-down)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 13</P><P>Slowpath security checks failed (sp-security-failed)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 724091</P><P>Expired flow (flow-expired)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 19</P><P>ICMP Inspect seq num not matched (inspect-icmp-seq-num-not-matched)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 8260</P><P>ICMP Error Inspect no existing conn (inspect-icmp-error-no-existing-conn)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 302</P><P>DNS Inspect invalid packet (inspect-dns-invalid-pak)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15</P><P>DNS Inspect invalid domain label (inspect-dns-invalid-domain-label)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 11</P><P>DNS Inspect packet too long (inspect-dns-pak-too-long)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 175</P><P>DNS Inspect id not matched (inspect-dns-id-not-matched)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 37899</P><P>FP L2 rule drop (l2_acl)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5214</P><P>Interface is down (interface-down)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 95</P><P>Dropped pending packets in a closed socket (np-socket-closed)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1</P><P></P><P>Last clearing: Never</P><P></P><P>Flow drop:</P><P>Flow is denied by access rule (acl-drop)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1217270</P><P>NAT reverse path failed (nat-rpf-failed)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 24</P><P>Need to start IKE negotiation (need-ike)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 52996</P><P>Inspection failure (inspect-fail)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2103906</P><P>No valid adjacency (no-adjacency)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 18535</P><P></P><P>Last clearing: Never</P><P></P><P>Regards,</P><P></P><P>Vinayak.</P></BODY></HTML> Mon, 15 Oct 2012 12:05:30 GMT https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038146#M402824 Vinayaka Raman 2012-10-15T12:05:30Z https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038147#M402825 <HTML><HEAD></HEAD><BODY><P>Hello Vinaya,</P><P></P><P></P><P>Here is the NAT rules you are doing on the ASA:</P><P></P><P>static (OCODC,TCSDMZ) 172.17.50.0 10.62.253.0 netmask 255.255.255.0 </P><P>static (TCSDMZ,OCODC) 172.0.0.0 172.0.0.0 netmask 255.0.0.0 </P><P></P><P>So if you want to access 10.62.253.0 from TCSDMZ you should access it pointing 172.17.50.0 so basically you are doing the packet-tracer wrong.</P><P></P><P>Do it like this:</P><P></P><P>packet-tracer input&nbsp; TCSDMZ tcp&nbsp; 172.17.62.160 1026 172.17.50.15 80</P><P></P><P><SPAN style="text-decoration: underline;"><STRONG>Any other question..Sure..Just remember to rate all of my answers.</STRONG></SPAN></P><P></P><P></P><P>Regards,</P></BODY></HTML> Mon, 15 Oct 2012 17:37:03 GMT https://community.cisco.com/t5/network-security/droped-by-urpf/m-p/2038147#M402825 Julio Carvajal 2012-10-15T17:37:03Z