購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
3064
閲覧回数
5
いいね!
9
返信

ASAでIP-Secを構築したときのルーティング

解決策を見る
S.Nara
Level 1
Level 1

‎2018-12-17 03:09 PM

わかる方がいらっしゃれば、教えていただきたいのですが。

 

現在、ASA5515を使ってIP-Sec接続を構築しています。

対向機器との鍵交換が出来ており、セッションが張れていることは確認済です。

また、ASAのローカルアドレスは社内側を一纏めにしたネットワークアドレス

(192.168.0.0/16)で指定しています。

 

このときASAの内側I/FにL3SWを設けており、複数のVLANを構築済です。

ASAから対応機器へのPing,Vlanで切っている接続元からcisco.com等の外部接続

は問題ないのですが、IP-Sec宛の確認応答のみがとれていない状況です。

 

確認していくとASA上でルーティングに関する設定が必要になるのかと思って

みていますが、他社ではトンネルI/Fやポリシー適用等があるようですが、

ASAの場合どうすればいいのかが当方ではわかりかねている状況です。

 

どのような設定が必要なのかを教えていただけますか?

 

pdfに簡単な構成図を記載していますので、ご確認くださればと思っております。

 

よろしくお願いいたします。

 

0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
shimenoy
Spotlight
Spotlight
S.Naraに対する応答

‎2018-12-26 12:54 PM ‎2018-12-26 12:56 PM 更新

恐らくですがNATの処理順序の問題で、頂いたconfig上の
> nat (inside,outside) source dynamic any interface
よりも
> nat (inside,outside) source static xxxx xxxx destination static msc7b msc7b
こちらを先にすると解決するのではないかと思います。

以下が参考になりそうです。
●ASA: NATルールタイプ別の処理の違いと 設定例
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-nat%E3%83%AB%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E5%88%A5%E3%81%AE%E5%87%A6%E7%90%86%E3%81%AE%E9...

元の投稿で解決策を見る

9件の返信9

解決策を見る
S.Nara
Level 1
Level 1

‎2018-12-18 10:25 AM

すみません、追加情報です。
構成図内のASAの外側にプロバイダ管理のルータがあり、ASAのデフォルトゲートウェイは
そのルータの内側を指定しています。
0 いいね!

解決策を見る
shimenoy
Spotlight
Spotlight
S.Naraに対する応答

‎2018-12-21 01:04 PM

Satokazu.Narahara さん、こんにちは :)

まずはpacket-tracerを試してみてはいかがでしょうか?

●参考: packet-tracer
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/I-R/cmdref2/p1.html

●使用例:
・icmpの場合
 # packet-tracer input (着信I/F名、inside or outside or other...) icmp (src ipaddr) 8 0 (dst ipaddr) detailed
・tcpの場合
 # packet-tracer input (着信I/F名) tcp (src ipaddr) (dst ipaddr) (dst port) detailed

packet-tracerの出力上でResult: が"ALLOW"となっておらず"Drop"となっていた場合、
その処理フローでDropされている事が判断できるので、問題のアタリがつけられるかと思います。
0 いいね!

解決策を見る
S.Nara
Level 1
Level 1
shimenoyに対する応答

‎2018-12-25 10:16 AM

Shimenoyさん

 

ご回答ありがとうございます。

早速、試してみています。

ASAではCLIでもGUIでもPacket Tracerがあるので両方で試しています。

 

同じ送信元、同じ宛先、同じプロトコルなのにCLIではすべてAllow表示しか

ないですが、GUI上のものではAccess RulesでDropされているとの表示でした。

内容としてはACLについてはACL Manager上でIP-Secのポリシーを定義しているにも

かかわらず、他のポリシーが適用されてDropしているという結果になっています。

 

Site-to-SiteにあるACL ManagerとFireWallになるAccess Rulesに定義されている

ものについて、別物と考えたほうがいいのでしょうか。

それともAccess Rules上で処理させる順番を完全に明示する必要があるのでしょうか?

 

ちなみにSite-to-SiteのACL Manager上には双方のネットワークアドレス単位で

ServiceはIPで指定しています。

 

ASAについてはBeginnerですので、色々お尋ねしますが、よろしくお願いいたします。

0 いいね!

解決策を見る
shimenoy
Spotlight
Spotlight
S.Naraに対する応答

‎2018-12-25 11:15 AM

 Site-to-SiteにあるACL ManagerとFireWallになるAccess Rulesに定義されている

ものについて、別物と考えたほうがいいのでしょうか。

crypto mapに適用するような(場合によってはsplit-tunnelやvpn-filterもありますが、使っていたりしますか?)ACLと、interfaceに適用するAccess Rulesは別物と考えたほうが良いはずです。

 

なので、Access Rulesの他のポリシーが適用されてDropしている・・・という状況であれば、そのDropされているエントリよりも先に処理されるような形で追加し、試してみてはいかがでしょうか。

# それでもNGであれば、差支えない範囲で関連する設定部分が見てみたいところです

0 いいね!

解決策を見る
S.Nara
Level 1
Level 1
shimenoyに対する応答

‎2018-12-26 10:09 AM

Shimenoyさん

 

ご返信ありがとうございます。

 

当方で明示的にIn-OutでFireWallポリシーに追加してみたりしていますが、

結果としては変わりない状況です。

ASAにはDMZを設けており、DMZ内のVPN装置から別の箇所とSite-to-SiiteVPNを張っています。

(このVPN装置については、こちらの管理ではないので手を触れられません。)

 

PacketTracerを内部NWから本来の目的先に対して行うとDMZ→Outへのポリシーが

DenyになっているとMSGが返ってきます。

何故、DMZが関係してくるのかがわからず仕舞です。

ご参考になるかわかりませんが、マスキングをしたCFGを添付しました。

ご確認してみていただければ幸いです。

 

よろしくお願いいたします。

ファイルをプレビュー
26 KB
0 いいね!

解決策を見る
shimenoy
Spotlight
Spotlight
S.Naraに対する応答

‎2018-12-26 12:01 PM

PacketTracerを内部NWから本来の目的先に対して行うとDMZ→Outへのポリシーが

DenyになっているとMSGが返ってきます。

小出しで申し訳ないのですが、この時のpacket-tracerの指定をどうしているのかと、その返ってきたMSGを共有頂けませんでしょうか。(packet-tracerはできれば全部の内容が判る形がありがたいです。マスキングされてても問題ありません)

0 いいね!

解決策を見る
S.Nara
Level 1
Level 1
shimenoyに対する応答

‎2018-12-26 12:39 PM

改めて行ってみました。

Pckaer Tracer上のInterfaceの指定がDMZになっていたことによるものであり、

これをInsideに変更したところ、エラーはなくなりました。

大変失礼しました。

 

しかしながら、実際の送信元ホストからTracerouteを実行しますと、

以下のようになってしまいます。(4からは繰り返し表示なので省略。)

---------------------------------

172.16.15.2 へのルートをトレースしています。経由するホップ数は最大 30 です

  1    <1 ms    <1 ms    <1 ms  192.168.4.1
  2     *        *        *     要求がタイムアウトしました。
  3     *        *        *     要求がタイムアウトしました。

---------------------------------

 

同じ経路を使って、www.cisco.comへのTracerouteを行うと宛先までのトレースを

確認することが出来ます。

ASAのInsude側にあるL3SWのDefaultGatewayはASAのInside I/Fを指定しています。

 

「ASA側のルーティング指定なのか?」とみていますが、相変わらずです。

 

よろしくお願いいたします。

 

0 いいね!

解決策を見る
shimenoy
Spotlight
Spotlight
S.Naraに対する応答

‎2018-12-26 12:54 PM ‎2018-12-26 12:56 PM 更新

恐らくですがNATの処理順序の問題で、頂いたconfig上の
> nat (inside,outside) source dynamic any interface
よりも
> nat (inside,outside) source static xxxx xxxx destination static msc7b msc7b
こちらを先にすると解決するのではないかと思います。

以下が参考になりそうです。
●ASA: NATルールタイプ別の処理の違いと 設定例
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-nat%E3%83%AB%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E5%88%A5%E3%81%AE%E5%87%A6%E7%90%86%E3%81%AE%E9...

解決策を見る
S.Nara
Level 1
Level 1
shimenoyに対する応答

‎2018-12-27 10:16 AM

いただきました内容を基にして設定変更し、確認をしましたところ

問題が解決することが出来ました。

FireWallの適用順には気を配っていたのですが、NAT Rulesまでは

目が届いておりませんでした。

 

本当に助かりました。

ありがとうございました。

 

また、何かありましたら質問するかもしれませんが、よろしくお願いいたします。

0 いいね!
Customers Also Viewed These Support Documents