2018-12-17 03:09 PM
わかる方がいらっしゃれば、教えていただきたいのですが。
現在、ASA5515を使ってIP-Sec接続を構築しています。
対向機器との鍵交換が出来ており、セッションが張れていることは確認済です。
また、ASAのローカルアドレスは社内側を一纏めにしたネットワークアドレス
(192.168.0.0/16)で指定しています。
このときASAの内側I/FにL3SWを設けており、複数のVLANを構築済です。
ASAから対応機器へのPing,Vlanで切っている接続元からcisco.com等の外部接続
は問題ないのですが、IP-Sec宛の確認応答のみがとれていない状況です。
確認していくとASA上でルーティングに関する設定が必要になるのかと思って
みていますが、他社ではトンネルI/Fやポリシー適用等があるようですが、
ASAの場合どうすればいいのかが当方ではわかりかねている状況です。
どのような設定が必要なのかを教えていただけますか?
pdfに簡単な構成図を記載していますので、ご確認くださればと思っております。
よろしくお願いいたします。
解決済! 解決策の投稿を見る。
2018-12-26 12:54 PM 2018-12-26 12:56 PM 更新
恐らくですがNATの処理順序の問題で、頂いたconfig上の
> nat (inside,outside) source dynamic any interface
よりも
> nat (inside,outside) source static xxxx xxxx destination static msc7b msc7b
こちらを先にすると解決するのではないかと思います。
以下が参考になりそうです。
●ASA: NATルールタイプ別の処理の違いと 設定例
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-nat%E3%83%AB%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E5%88%A5%E3%81%AE%E5%87%A6%E7%90%86%E3%81%AE%E9...
2018-12-18 10:25 AM
2018-12-21 01:04 PM
2018-12-25 10:16 AM
Shimenoyさん
ご回答ありがとうございます。
早速、試してみています。
ASAではCLIでもGUIでもPacket Tracerがあるので両方で試しています。
同じ送信元、同じ宛先、同じプロトコルなのにCLIではすべてAllow表示しか
ないですが、GUI上のものではAccess RulesでDropされているとの表示でした。
内容としてはACLについてはACL Manager上でIP-Secのポリシーを定義しているにも
かかわらず、他のポリシーが適用されてDropしているという結果になっています。
Site-to-SiteにあるACL ManagerとFireWallになるAccess Rulesに定義されている
ものについて、別物と考えたほうがいいのでしょうか。
それともAccess Rules上で処理させる順番を完全に明示する必要があるのでしょうか?
ちなみにSite-to-SiteのACL Manager上には双方のネットワークアドレス単位で
ServiceはIPで指定しています。
ASAについてはBeginnerですので、色々お尋ねしますが、よろしくお願いいたします。
2018-12-25 11:15 AM
Site-to-SiteにあるACL ManagerとFireWallになるAccess Rulesに定義されている
ものについて、別物と考えたほうがいいのでしょうか。
crypto mapに適用するような(場合によってはsplit-tunnelやvpn-filterもありますが、使っていたりしますか?)ACLと、interfaceに適用するAccess Rulesは別物と考えたほうが良いはずです。
なので、Access Rulesの他のポリシーが適用されてDropしている・・・という状況であれば、そのDropされているエントリよりも先に処理されるような形で追加し、試してみてはいかがでしょうか。
# それでもNGであれば、差支えない範囲で関連する設定部分が見てみたいところです
2018-12-26 10:09 AM
Shimenoyさん
ご返信ありがとうございます。
当方で明示的にIn-OutでFireWallポリシーに追加してみたりしていますが、
結果としては変わりない状況です。
ASAにはDMZを設けており、DMZ内のVPN装置から別の箇所とSite-to-SiiteVPNを張っています。
(このVPN装置については、こちらの管理ではないので手を触れられません。)
PacketTracerを内部NWから本来の目的先に対して行うとDMZ→Outへのポリシーが
DenyになっているとMSGが返ってきます。
何故、DMZが関係してくるのかがわからず仕舞です。
ご参考になるかわかりませんが、マスキングをしたCFGを添付しました。
ご確認してみていただければ幸いです。
よろしくお願いいたします。
2018-12-26 12:01 PM
PacketTracerを内部NWから本来の目的先に対して行うとDMZ→Outへのポリシーが
DenyになっているとMSGが返ってきます。
小出しで申し訳ないのですが、この時のpacket-tracerの指定をどうしているのかと、その返ってきたMSGを共有頂けませんでしょうか。(packet-tracerはできれば全部の内容が判る形がありがたいです。マスキングされてても問題ありません)
2018-12-26 12:39 PM
改めて行ってみました。
Pckaer Tracer上のInterfaceの指定がDMZになっていたことによるものであり、
これをInsideに変更したところ、エラーはなくなりました。
大変失礼しました。
しかしながら、実際の送信元ホストからTracerouteを実行しますと、
以下のようになってしまいます。(4からは繰り返し表示なので省略。)
---------------------------------
172.16.15.2 へのルートをトレースしています。経由するホップ数は最大 30 です
1 <1 ms <1 ms <1 ms 192.168.4.1
2 * * * 要求がタイムアウトしました。
3 * * * 要求がタイムアウトしました。
---------------------------------
同じ経路を使って、www.cisco.comへのTracerouteを行うと宛先までのトレースを
確認することが出来ます。
ASAのInsude側にあるL3SWのDefaultGatewayはASAのInside I/Fを指定しています。
「ASA側のルーティング指定なのか?」とみていますが、相変わらずです。
よろしくお願いいたします。
2018-12-26 12:54 PM 2018-12-26 12:56 PM 更新
恐らくですがNATの処理順序の問題で、頂いたconfig上の
> nat (inside,outside) source dynamic any interface
よりも
> nat (inside,outside) source static xxxx xxxx destination static msc7b msc7b
こちらを先にすると解決するのではないかと思います。
以下が参考になりそうです。
●ASA: NATルールタイプ別の処理の違いと 設定例
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-nat%E3%83%AB%E3%83%BC%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%97%E5%88%A5%E3%81%AE%E5%87%A6%E7%90%86%E3%81%AE%E9...
2018-12-27 10:16 AM
問題が解決することが出来ました。
FireWallの適用順には気を配っていたのですが、NAT Rulesまでは
目が届いておりませんでした。
本当に助かりました。
ありがとうございました。
また、何かありましたら質問するかもしれませんが、よろしくお願いいたします。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド