Frage : ASA-5505: VPN Pakete, die nicht zur zweiten äußeren Schnittstelle nachschicken

Ich habe ein ASA-5505, das i-vor kurzem Fabrikzurückstellen.  Ich beabsichtige, es als Brandmauer Interneteinfassung meines Büros und VPN Vorrichtung, als Teil einer Verschiebung zu einem neuen ISP zu verwenden.  Ich versuche, zwei nichtstandardisierte (d.h. Sachen gewohnt ich nicht zu zu tun), Sachen mit der neuen Vorrichtung, die zu tun, die ich sollte möglich sein verstehe:

1

I möchten ein drittes Vlan (DMZ Schnittstelle) verwenden um an das alte ISP anzuschließen (nicht für Failover), also kann ich das vorhandene VPNs laufen lassen und Übergang sie zur neuen Schnittstelle, im Laufe der Zeit.

2

I wünschen zu hairpin/NAT das alte, Strecke LAN-non-RFC1918 auf der inneren Schnittstelle (192.14.14.0 /24) zu einem neuen Teilnetze (172.16.0.0 /24), also kann ich von der nichtstandardisierten IP-Strecke schließlich gereinigt werden, aber erlaube mir, Klienteneinstellungen abzuwandern, die ich während des Übergang period

im Augenblick verfehlt haben kann, ich kann nur verwenden Paket-verfolgen CLI-Befehl, die verschiedenen Richtlinien zu prüfen, bevor ich in körperliches testing.

Access auf externe Adressen umziehen kann scheine, richtig zu fließen, wie das Hairpinning tut, aber Erscheinen Paket-verfolgen ein Tropfen für den Verkehr, der die VPN range.

Redacted Config, Versionsinfo zusammenbringt und Paketspurenresultate angebracht werden.  Die Fragen sind:

1

Can jedermann sehen, warum der VPN Verkehr gezeigt wird, wie in gefallen von 172.16.1.100 zu 192.15.15.20 Paket-verfolgen -- ist es, gerade weil der VPN Tunnel nicht up/is erreichendes „VPN“ in Paket-verfolgen so nah ist, wie ich erhalten kann, bis es physikalisch gekabelt ist?

Thanks im Voraus…

J.

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: 31: 32: 33: 34: 35: 6: 37: 38: 39: 40: 41: 42: 43: 44: 45: 46: 47: 48: 49: 50: 51: 52: 53: 54: 55: 56: 57: 58: 59: 60: 61: 62: 63: 64: 65: 66: 67: 68: 69: 70: 71: 72: 73: 74: 75: 76: 77: 78: 79: 80: 81: 82: 83: 84: 85: 86: 87: 88: 89: 90: 91: 92: 93: 94: 95: 96: 97: 98: 99: 100: 101: 102: 103: 104: 105: 106: 107: 108: 109: 110: 111: 112: 113: 114: 115: 116: 117: 118: 119: 120: 121: 122: 123: 124: 125: 126: 127: 128: 129: 130: 131: 132: 133: 134: 135: 136: 137: 138: 139: 140: 141: 142: 143: 144: 145: 146: 147: 148: 149: 150: 151: 152: 153: 154: 155: 156: 157: 158: 159: 160: 161: 162: 163: 164: 165: 166: 167: 168: 169: 170: 171: 172: 173: 174: 175: 176: 177: 178: 179: 180: 181: 182: 183: 184: 185: 186: 187: 188: 189: 190: 191: 192: 193: 194: 195: 196: 197: 198: 199: 200: 201: 202: 203: 204: 205: 206: 207: 208: 209: 210: 211: 212: 213: 214: 215: 216: 217: 218: 219: 220: 221: 222: 223: 224: 225: 226: 227: 228: 229: 230: 231: 232: 233: 234: 235: 236: 237: 238: 239: 240: 241: 242: 243: 244: 245: 246: 247: 248: 249: 250: 251: 252: 253: 254: 255: 256: 257: 258: 259: 260: 261: 262: 263: 264: 265: 266: 267: 268: 269: 270: 271: 272: 273: 274: 275: 276: 277: 278: 279: 280: 281: 282: 283: 284: 285: 286: 287: 288: 289: 290: 291: 292: 293: 294: 295: 296: 297: 298: 299: 300: 301: 302: 303: 304: 305: 306: 307: 308: 309: 310: 311: 312: 313: 314: 315: 316: 317: 318: 319: 320: 321: 322: 323: 324: 325: 326: 327: 328: 329: 330: 331: 332: 333: 334: 335: 336: 337: 338: 339: 340: 341: 342: 343: 344: 345: 346: 347: 348: 349: 350: 351: 352: 353: 354: 355: 356: 357: 358: 359: 360: 361: 362: 363: 364: 365: 366: 367: 368: 369: 370: 371: 372: 373: 374: 375: 376: 377: 378: 379: 380: 381: 382: 383: 384: 385: 386: 387: 388: 389: 390: 391: 392: 393: 394: 395: 396: 397: 398: 399: 400: 401: 402: 403: 404: 405: 406: 407: 408: 409: 410: 411: 412: 413: 414: 415: 416: 417: 418: 419: 420: 421: 422: 423: 424: 425: 426: 427: 428: 429: 430: 431: 432: 433: 434: 435: 436: 437: 438: 439: 440: 441: 442: 443: 444: 445: 446: 447: 448: 449: 450: 451: 452: 453: 454: 455: 456: 457: 458: 459: 460: 461: 462: 463: 464: 465: 466: 467: 468: 469: 470: 471: 472: 473: 474: 475: 476: 477: 478: 479: 480: 481: 482: 483: 484: 485: 486: 487: 488: 489: 490: 491: 492: 493: 494: 495: 496: 497: 498: 499: 500: 501: 502: 503: 504: 505: 506: 507: 508: 509: 510: 511: 512: 513: 514: 515: 516: 517: 518: 519: 520: 521: 522: 523: 524: 525: 526: 527: 528: 529: 530: 531: 532: 533: 534: 535: 536: 537: 538: 539: 540: 541: 542: 543: 544: 545: 546: 547: 548: 549: 550: 551: 552: 553: 554: 555: 556: 557: 558: 559: 560: 561: 562: 563: 564: 565: 566: 567: 568: 569: 570: 571: 572: 573: 574: 575: 576: 577: 578: 579: 580: 581: 582: 583: 584: 585: 586: 587: 588: 589: 590: 591: 592: 593: 594: 595: 596: 597: 598: 599: 600: 601: 602: 603: 604: 605: 606: 607: 608: 609: 610: 611: 612: 613: 614: 615: 616: 617: 618: 619: 620: 621: 622: 623: 624: 625: 626: 627: 628: 629: 630: 631: 632: 633: 634: 635: 636: 637: 638: 639: 640: 641: 642: 643: 644: 645:

ciscoasa (Config) # SHver Cisco-anpassungsfähige Sicherheits-Gerätesoftware-Version 8.2 (2) Vorrichtungs-Manager-Version 6.2 (5) 53 Kompiliert auf 14:19 Montag-11-Jan-10 durch Erbauer Systemsbildakte ist „disk0: /asa822-k8.bin“ Configakte an der Aufladung war „StartConfig“ ciscoasa herauf 24 Minuten 53 sek Hardware: ASA5505, 256 MBRAM, CPU Geode 500 MHZ Interner ATA kompakter Blitz, 128MB BIOS grelles M50FW080 @ 0xffe00000, 1024KB VerschlüsselungHardwareeinheit: Bordgaspedal Cisco-ASA-5505 (Neuausgabe 0x0) Aufladungsmikrobefehl: CN1000-MC-BOOT-2.00 SSL/IKE Mikrobefehl: CNLite-MC-SSLm-PLUS-2.03 IPSec Mikrobefehl: CNlite-MC-IPSECm-MAIN-2.04 0: Int: Internal-Data0/0: Adresse ist 001e.7aac.3ca3, irq 11 1: Ext.: Ethernet0/0: Adresse ist 001e.7aac.3c9b, irq 255 2: Ext.: Ethernet0/1: Adresse ist 001e.7aac.3c9c, irq 255 3: Ext.: Ethernet0/2: Adresse ist 001e.7aac.3c9d, irq 255 4: Ext.: Ethernet0/3: Adresse ist 001e.7aac.3c9e, irq 255 5: Ext.: Ethernet0/4: Adresse ist 001e.7aac.3c9f, irq 255 6: Ext.: Ethernet0/5: Adresse ist 001e.7aac.3ca0, irq 255 7: Ext.: Ethernet0/6: Adresse ist 001e.7aac.3ca1, irq 255 8: Ext.: Ethernet0/7: Adresse ist 001e.7aac.3ca2, irq 255 9: Int: Internal-Data0/1: Adresse ist 0000.0003.0002, irq 255 10: Int: Nicht verwendet: irq 255 11: Int: Nicht verwendet: irq 255 Genehmigte Eigenschaften für diese Plattform: Maximale körperliche Schnittstellen: 8 VLANs: 3, DMZ eingeschränkt Innere Wirte: Unbegrenzt Failover: Untauglich VPN-DES: Ermöglicht VPN-3DES-AES: Ermöglicht Gleiche SSL-VPN: 2 Gesamt-VPN Gleiche: 10 Doppel-ISPs: Untauglich VLAN Stamm-Häfen: 0 Geteilte Lizenz: Untauglich AnyConnect für Mobile: Untauglich AnyConnect für Telefon Cisco-VPN: Untauglich AnyConnect Wesensmerkmale: Untauglich Vorgerückte Endpunkt-Einschätzung: Untauglich Uc-Telefon-Vollmacht-Lernabschnitte: 2 Gesamt-UC-Vollmacht-Lernabschnitte: 2 Botnet Verkehrs-Filter: Untauglich Diese Plattform hat eine niedrige Lizenz. Seriennummer: JMX1151Z0M2 Laufender Aktivierungs-Schlüssel: 0xcb3a555b 0x00a9f0ce 0xfc53cd14 0xa52820cc 0x492b92b3 Konfigurationsregister ist 0x1 Konfigurationslast modified durch enable_15 am 18:49: 48.849 UTC Tue 6. Juli 2010 ciscoasa (Config) # SHdurchlauf : Gespeichert : ASA-Version 8.2 (2) ! Terminalbreite 120 hostname ciscoasa dem verschlüsselten Kennwort T6L9kwXy8yD66Ci8 ermöglichen Passwd 2KFQnbNIdI.2KYOU verschlüsselt Namen ! Schnittstelle Vlan1 nameif nach innen Sicherheitniveau 100 IP address 172.16.0.10 255.255.252.0 ! Schnittstelle Vlan2 nameif draußen Sicherheitniveau 0 IP address 213.x.x.8 255.255.255.0 ! Schnittstelle Vlan3 keine Vorwärtsschnittstelle Vlan2 nameif outside_old Sicherheitniveau 0 IP address 62.x.x.159 255.255.255.128 ! Schnittstelle Ethernet0/0 Switchportzugang vlan 2 ! Schnittstelle Ethernet0/1 Switchportzugang vlan 3 ! Schnittstelle Ethernet0/2 Beschreibung AUFGEHOBEN Abschaltung ! Schnittstelle Ethernet0/3 Beschreibung AUFGEHOBEN Abschaltung ! Schnittstelle Ethernet0/4 ! Schnittstelle Ethernet0/5 ! Schnittstelle Ethernet0/6 ! Schnittstelle Ethernet0/7 ! Aufladungssystem disk0: /asa822-k8.bin ftp-Moduspassives Gleich-Sicherheitverkehr Erlaubnis Intra-schnittstelle Zugangliste N0_INSIDE Anmerkung Eintragungen in dieser Liste sind von NAT ausgenommen Zugangliste N0_INSIDE verlängerte Erlaubnis-IP 172.16.0.0 255.255.252.0 192.15.15.0 255.255.255.0 Zugangliste AG_OUTSIDE_IN Anmerkung Verkehr ließ in die äußere Schnittstelle Zugangliste AG_OUTSIDE_IN verlängertes Erlaubnis-ICMP, das irgendwie irgendein ist Zugangliste AG_INSIDE_IN Anmerkung Verkehr ließ in die innere Schnittstelle Zugangliste AG_INSIDE_IN verlängerte Erlaubnis-TCP jedes mögliches Wirts-192.14.14.20 eq smtp Zugangliste AG_INSIDE_IN verlängerte Erlaubnis-TCP jedes mögliches Wirt 80.x.x.52 eq smtp die erweiterte Zugangliste AG_INSIDE_IN verweigern TCP jedes mögliches irgendein eq smtp Zugangliste AG_INSIDE_IN verlängertes Erlaubnis-IP, das irgendwie irgendein ist Zugangliste AG_OUTOLD_IN Anmerkung Verkehr ließ in die outside_old Schnittstelle Zugangliste AG_OUTOLD_IN verlängertes Erlaubnis-ICMP, das irgendwie irgendein ist Zugangliste VPN_GATESHEAD Verkehr der Anmerkung VPN to/from Gateshead Büro Zugangliste VPN_GATESHEAD verlängerte Erlaubnis-IP 172.16.0.0 255.255.252.0 192.15.15.0 255.255.255.0 Pagerlinien 22 loggenasdm informierend MTU innerhalb 1500 MTU außerhalb 1500 MTU outside_old 1500 ICMP unerreichbare Ratebegrenzung 1 Berstengröße 1 asdm Bild disk0: /asdm-625-53.bin keine asdm Geschichte ermöglichen arp-Abschaltung 14400 globale (nach innen) Schnittstelle 10 globale (draußen) Schnittstelle 10 globale (outside_old) Schnittstelle 10 nationale (nach innen) 0 Zugangliste N0_INSIDE nationales (nach innen) 10 0.0.0.0 0.0.0.0 statisches (nach innen, nach innen) 192.14.14.0 172.16.0.0 netmask 255.255.255.0 statisches (nach innen, outside_old) 192.14.14.0 172.16.0.0 netmask 255.255.255.0 Zuganggruppe AG_INSIDE_IN in der Schnittstelle nach innen Zuganggruppe AG_OUTSIDE_IN in der Schnittstelle draußen Zuganggruppe AG_OUTOLD_IN im Schnittstelle outside_old Weg äußeres 0.0.0.0 0.0.0.0 213.x.x.1 1 Weg outside_old 192.15.15.0 255.255.255.0 62.x.x.254 1 TIMEOUTxlate 3:00: 00 TIMEOUTanschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02 TIMEOUTsunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00 TIMEOUTSchlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00 TIMEOUTc$nippen-provisorischmittel 0:02: 00 uauth 0:05: Absolutes 00 TIMEOUTc$tcp-vollmachtwiederversammlung 0:01: 00 DfltAccessPolicy dynamisch-Zugang-Politik-notieren HTTP-Bediener ermöglichen HTTP 172.16.0.0 255.255.252.0 nach innen keine SNMPbediener Position kein SNMPbediener Kontakt SNMPbediener ermöglichen Blockiersnmp-Authentisierungsverbindung linkdown coldstart Schlüsselipsec umwandeln-stellte ESP-AES256-MD5 esp-aes-256 esp-md5-hmac ein Schlüsselipsec umwandeln-stellte ESP-3DES-MD5 esp-3des esp-md5-hmac ein Schlüsselipsec umwandeln-stellte ESP-AES256-SHA esp-aes-256 esp-sha-hmac ein Schlüsselipsec umwandeln-stellte ESP-3DES-SHA esp-3des esp-sha-hmac ein Schlüsselipsec Sicherheitverbindung Lebenszeit unterstützt 28800 Schlüsselipsec Sicherheitverbindung Lebenszeitkilobytes 4608000 Schlüsselgleichadresse VPN_GATESHEAD des diagramms CM_OUTOLD 10 Schlüsseldiagramm CM_OUTOLD 10 gesetzte pfs Schlüsselgesetzter Gleicher 82.x.x.219 des diagramms CM_OUTOLD 10 Schlüsselsatz des diagramms CM_OUTOLD 10 umwandeln-stellte ESP-AES256-MD5 ein Schlüsseldiagramm CM_OUTOLD 10 unterstützt gesetzte Sicherheitverbindung Lebenszeit 3600 Schlüsseloutside_old Schnittstelle des diagramms CM_OUTOLD Schlüsselisakmp Identitätsadresse Schlüsselisakmp ermöglichen outside_old Schlüsselisakmp Politik 10 Authentisierung Voranteil Verschlüsselung aes-256 Durcheinander md5 Gruppe 5 Lebenszeit 28800 Schlüsselisakmp Ipsec-übertCP Hafen 10000 telnet 172.16.0.0 255.255.252.0 nach innen telnet-Abschaltung 5 ssh Abschaltung 5 Konsolenabschaltung 0 dhcpd auto_config draußen ! Drohungabfragung Grundlegenddrohung Drohungabfragung Statistiken Zugangliste keine Drohungabfragung Statistiken TCP-fangen ab webvpn Tunnelgruppe DefaultL2LGroup ipsec-schreibt zu Wiederholung 2 der isakmp Keepalive-Schwelle 120 Tunnelgruppe DefaultRAGroup ipsec-schreibt zu Wiederholung 2 der isakmp Keepalive-Schwelle 120 Tunnelgruppe 82.163.120.219-Art ipsec-l2l Tunnelgruppe 82.163.120.219 ipsec-schreibt zu Vor-teilenschlüssel ***** ! Kategoriediagramm inspection_default Gleiches Zurückfallen-Kontrolleverkehr ! ! Politikdiagramm Art kontrollieren DNS preset_dns_map Parameter Mitteilunglänge Maximum 512 Politikdiagramm global_policy Kategorie inspection_default DNS preset_dns_map kontrollieren ftp kontrollieren h323 h225 kontrollieren ras h323 kontrollieren Rsh kontrollieren rtsp kontrollieren esmtp kontrollieren sqlnet kontrollieren dünnes kontrollieren sunrpc kontrollieren xdmcp kontrollieren Schlückchen kontrollieren Netbios kontrollieren tftp kontrollieren IPwahlen kontrollieren ! Servicepolitik global_policy global sofortiger hostnamezusammenhang Benennenhaus Profil CiscoTAC-1 kein Active Zieladresse-HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService Zieladresse-eMail [email protected] Bestimmungsort Transportierenmethode HTTP Unterzeichnen-zu-Alarm-gruppe Diagnose Unterzeichnen-zu-Alarm-gruppe Umwelt periodische Monatszeitschrift des Unterzeichnen-zu-Alarm-gruppe Warenbestands periodische Monatszeitschrift der Unterzeichnen-zu-Alarm-gruppe Konfiguration periodische Tageszeitung der Unterzeichnen-zu-Alarm-gruppe Fernmessung Cryptochecksum: cf43aed8a7a87ca9205c2faffb0567c1 : Ende ciscoasa (Config) # Paket-verfolgen innen inneres TCP 172.16.1.100 43563 1.2.3.4 WWW det Phase: 1 Art: FLOW-LOOKUP Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Fand keinen zusammenpassenden Fluss und verursachte einen neuen Fluss Phase: 2 Art: ROUTE-LOOKUP Formationsglied: Eingang Resultat: GEWÄHREN Config: Zusätzliche Information: in 0.0.0.0 0.0.0.0 draußen Phase: 3 Art: ACCESS-LIST Formationsglied: Maschinenbordbuch Resultat: GEWÄHREN Config: Zuganggruppe AG_INSIDE_IN in der Schnittstelle nach innen Zugangliste AG_INSIDE_IN verlängertes Erlaubnis-IP, das irgendwie irgendein ist Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81ee740 priority=12, domain=permit, deny=false hits=5, user_data=0xd64d2b40, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 4 Art: IP-OPTIONS Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd8135a08 priority=0, domain=inspect-ip-options, deny=true hits=49, user_data=0x0, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 5 Art: NAT Formationsglied: Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP innerhalb irgendeiner Außenseite irgendwie dynamische Übersetzung, zum 10 zu vereinigen (213.48.16.8 [Schnittstelle KLAPS]) translate_hits = 2, untranslate_hits = 0 Zusätzliche Information: Dynamisch 172.16.1.100 /43563 bis 213.48.16.8 /61556 using netmask 255.255.255.255 übersetzen Fluss gegründete Nachschlagenertragrichtlinie nachschicken: in id=0xd81ebb58 priority=1, domain=nat, deny=false hits=2, user_data=0xd81eba98, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 6 Art: NAT Formationsglied: Wirtbegrenzungen Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP-Innere irgendwie innerhalb irgendwelcher dynamische Übersetzung, zum 10 zu vereinigen (172.16.0.10 [Schnittstelle KLAPS]) translate_hits = 3, untranslate_hits = 0 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81eb6a8 priority=1, domain=host, deny=false hits=33, user_data=0xd81eb290, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 7 Art: IP-OPTIONS Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Rückfluß gründete Nachschlagenertragrichtlinie: in id=0xd8186830 priority=0, domain=inspect-ip-options, deny=true hits=2, user_data=0x0, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 8 Art: FLOW-CREATION Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Der neue Fluss, der mit Identifikation 20 verursacht wurde, Paket lieferte an folgendem Modul aus Modulinformationen für Vorwärtsfluß… snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_tcp_normalizer snp_fp_translate snp_fp_adjacency snp_fp_fragment snp_ifc_stat Modulinformationen für Rückfluß… snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_translate snp_fp_tcp_normalizer snp_fp_adjacency snp_fp_fragment snp_ifc_stat Resultat: Eingangschnittstelle: nach innen Eingangstatus: herauf Eingang-Liniestatus: herauf Ausgangschnittstelle: draußen Ausgangstatus: herauf Ausgang-Liniestatus: herauf Tätigkeit: gewähren ciscoasa (Config) # Paket-verfolgen innen inneres TCP 172.16.1.100 43563 1.2.3.4 WWW det Phase: 1 Art: FLOW-LOOKUP Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Fand keinen zusammenpassenden Fluss und verursachte einen neuen Fluss Phase: 2 Art: UN-NAT Formationsglied: statisch Resultat: GEWÄHREN Config: statisches (nach innen, nach innen) 192.14.14.0 172.16.0.0 netmask 255.255.255.0 Gleich-IP innerhalb 172.16.0.0 255.255.255.0 innerhalb irgendwelcher statische Übersetzung zu 192.14.14.0 translate_hits = 0, untranslate_hits = 7 Zusätzliche Information: NAT leiten zur Ausgangschnittstelle nach innen um Untranslate 192.14.14.0 /0 bis 172.16.0.0 /0 using netmask 255.255.255.0 Phase: 3 Art: ACCESS-LIST Formationsglied: Maschinenbordbuch Resultat: GEWÄHREN Config: Zuganggruppe AG_INSIDE_IN in der Schnittstelle nach innen Zugangliste AG_INSIDE_IN verlängertes Erlaubnis-IP, das irgendwie irgendein ist Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81ee740 priority=12, domain=permit, deny=false hits=6, user_data=0xd64d2b40, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 4 Art: IP-OPTIONS Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd8135a08 priority=0, domain=inspect-ip-options, deny=true hits=50, user_data=0x0, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 5 Art: NAT Formationsglied: Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP-Innere irgendwie innerhalb irgendwelcher dynamische Übersetzung, zum 10 zu vereinigen (172.16.0.10 [Schnittstelle KLAPS]) translate_hits = 4, untranslate_hits = 0 Zusätzliche Information: Dynamisch 172.16.1.100 /43563 bis 172.16.0.10 /25517 using netmask 255.255.255.255 übersetzen Fluss gegründete Nachschlagenertragrichtlinie nachschicken: in id=0xd81eb350 priority=1, domain=nat, deny=false hits=4, user_data=0xd81eb290, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 6 Art: NAT Formationsglied: Wirtbegrenzungen Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP-Innere irgendwie innerhalb irgendwelcher dynamische Übersetzung, zum 10 zu vereinigen (172.16.0.10 [Schnittstelle KLAPS]) translate_hits = 4, untranslate_hits = 0 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81eb6a8 priority=1, domain=host, deny=false hits=34, user_data=0xd81eb290, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 7 Art: NAT Formationsglied: rpf-überprüfen Resultat: GEWÄHREN Config: statisches (nach innen, nach innen) 192.14.14.0 172.16.0.0 netmask 255.255.255.0 Gleich-IP innerhalb 172.16.0.0 255.255.255.0 innerhalb irgendwelcher statische Übersetzung zu 192.14.14.0 translate_hits = 0, untranslate_hits = 7 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: heraus id=0xd81efdb8, priority=5, domain=nat-reverse, deny=false hits=4, user_data=0xd81efb68, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 172.16.0.0, mask= 255.255.255.0, port=0, dscp=0x0 Phase: 8 Art: NAT Formationsglied: Wirtbegrenzungen Resultat: GEWÄHREN Config: statisches (nach innen, nach innen) 192.14.14.0 172.16.0.0 netmask 255.255.255.0 Gleich-IP innerhalb 172.16.0.0 255.255.255.0 innerhalb irgendwelcher statische Übersetzung zu 192.14.14.0 translate_hits = 0, untranslate_hits = 7 Zusätzliche Information: Rückfluß gründete Nachschlagenertragrichtlinie: in id=0xd81efe50 priority=5, domain=host, deny=false hits=7, user_data=0xd81efb68, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 172.16.0.0, mask= 255.255.255.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 9 Art: IP-OPTIONS Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Rückfluß gründete Nachschlagenertragrichtlinie: in id=0xd8135a08 priority=0, domain=inspect-ip-options, deny=true hits=52, user_data=0x0, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 10 Art: FLOW-CREATION Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Der neue Fluss, der mit Identifikation 21 verursacht wurde, Paket lieferte an folgendem Modul aus Modulinformationen für Vorwärtsfluß… snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_tcp_normalizer snp_fp_translate snp_fp_adjacency snp_fp_fragment snp_ifc_stat Modulinformationen für Rückfluß… snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_translate snp_fp_tcp_normalizer snp_fp_adjacency snp_fp_fragment snp_ifc_stat Resultat: Eingangschnittstelle: nach innen Eingangstatus: herauf Eingang-Liniestatus: herauf Ausgangschnittstelle: nach innen Ausgangstatus: herauf Ausgang-Liniestatus: herauf Tätigkeit: gewähren ciscoasa (Config) # Paket-verfolgen innen inneres TCP 172.16.1.100 43563 192.15.15.20 WWW det Phase: 1 Art: FLOW-LOOKUP Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Fand keinen zusammenpassenden Fluss und verursachte einen neuen Fluss Phase: 2 Art: ROUTE-LOOKUP Formationsglied: Eingang Resultat: GEWÄHREN Config: Zusätzliche Information: 192.15.15.0 255.255.255.0 im outside_old Phase: 3 Art: ACCESS-LIST Formationsglied: Maschinenbordbuch Resultat: GEWÄHREN Config: Zuganggruppe AG_INSIDE_IN in der Schnittstelle nach innen Zugangliste AG_INSIDE_IN verlängertes Erlaubnis-IP, das irgendwie irgendein ist Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81ee740 priority=12, domain=permit, deny=false hits=7, user_data=0xd64d2b40, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 4 Art: IP-OPTIONS Formationsglied: Resultat: GEWÄHREN Config: Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd8135a08 priority=0, domain=inspect-ip-options, deny=true hits=52, user_data=0x0, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 5 Art: NAT-EXEMPT Formationsglied: Resultat: GEWÄHREN Config: IP innerhalb 172.16.0.0 255.255.252.0 des outside_old 192.15.15.0 255.255.255.0 zusammenbringen NAT ausgenommen translate_hits = 3, untranslate_hits = 0 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81ea858 priority=6, domain=nat-exempt, deny=false hits=3, user_data=0xd81ea798, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src ip= 172.16.0.0, mask= 255.255.252.0, port=0 dst ip= 192.15.15.0, mask= 255.255.255.0, port=0, dscp=0x0 Phase: 6 Art: NAT Formationsglied: Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP innerhalb irgendeines outside_old irgendwie dynamische Übersetzung, zum 10 zu vereinigen (62.253.200.159 [Schnittstelle KLAPS]) translate_hits = 0, untranslate_hits = 0 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81ec360 priority=1, domain=nat, deny=false hits=3, user_data=0xd81ec2a0, cs_id=0x0, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 7 Art: NAT Formationsglied: Wirtbegrenzungen Resultat: GEWÄHREN Config: nationales (nach innen) 10 0.0.0.0 0.0.0.0 Gleich-IP-Innere irgendwie innerhalb irgendwelcher dynamische Übersetzung, zum 10 zu vereinigen (172.16.0.10 [Schnittstelle KLAPS]) translate_hits = 4, untranslate_hits = 0 Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: in id=0xd81eb6a8 priority=1, domain=host, deny=false hits=35, user_data=0xd81eb290, cs_id=0x0, Rückseite, flags=0x0, protocol=0 src ip= 0.0.0.0, mask= 0.0.0.0, port=0 dst ip= 0.0.0.0, mask= 0.0.0.0, port=0, dscp=0x0 Phase: 8 Art: VPN Formationsglied: verschlüsseln Resultat: TROPFEN Config: Zusätzliche Information: Vorwärtsfluß gründete Nachschlagenertragrichtlinie: heraus id=0xd820c318, priority=70, domain=encrypt, deny=false hits=3, user_data=0x0, cs_id=0xd820be50, Rückseite, flags=0x0, protocol=0 src ip= 172.16.0.0, mask= 255.255.252.0, port=0 dst ip= 192.15.15.0, mask= 255.255.255.0, port=0, dscp=0x0 Resultat: Eingangschnittstelle: nach innen Eingangstatus: herauf Eingang-Liniestatus: herauf Ausgangschnittstelle: outside_old Ausgangstatus: herauf Ausgang-Liniestatus: herauf Tätigkeit: Tropfen Tropfen-Grund: (Acltropfen) Fluss wird durch zusammengebaute Richtlinie verweigert ciscoasa (Config) # SHxlate 2 gebräuchlich, 4 verwendet Globales 192.14.14.0-Einheimisches 172.16.0.0 Globales 192.14.14.0-Einheimisches 172.16.0.0

Antwort : ASA-5505: VPN Pakete, die nicht zur zweiten äußeren Schnittstelle nachschicken

Angenommen, ich scheine, Sie weg erschrocken zu haben und dass ich aus Zeit heraus lief, entschied mich ich, das Hairpinning fallenzulassen, bis beide Aufstellungsorte eine ASA laufen lassen.  Dass Weise ich mehr einer Fightingwahrscheinlichkeit mit der Wegewahl als ich haben, wurden mit der gegenwärtigen Vorrichtung der Direktübertragung SOHO.

Um meine eigene Frage, betreffend die zweite Schnittstelle zu beantworten, musste ich Wege für den Fern-LAN (den hinzufügen ich hatte) und der Ferngleiche (der ich fehlte), beide zur outside_old Schnittstelle zwingend.

    Weg outside_old 192.15.15.0 255.255.255.0 62.x.x.254
    Weg outside_old 82.x.x.219 255.255.255.255 62.x.x.254