Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Cisco ASA 5505 (denied due to NAT reverse path failure)

Pagina: 1
Acties:

woensdag 16 april 2014 07:20

Acties:
  • serienummer
  • Registratie: November 2006
  • Laatst online: 30-10 07:07

serienummer

Topicstarter
Hoi,
Ik heb een vraag voor de firewall beheerders onder ons :-)
Mijn wens was een VPN verbinding opzetten met mijn huis netwerk.
Dit was niet mogelijk omdat de Ziggo modem (Ubee) dit tegen houd d.m.v. een bug.
Ik heb de modem "transparant" laten zetten en een Cisco ASA5505 ingezet.
Ik ben zover dat alles netjes werkt en ik kan een VPN (IPsec) opzetten naar de ASA.
Wat me nu alleen niet lukt is naar het locale netwerk te surfen.

Ik heb voor de test een oude synology ingezet. Deze heeft het ip address 192.168.1.8
Als ik de VPN (192.168.1.50-60) heb opgezet en ik wil naar de inlogpagina van de synology krijg ik geen verbinding.
In de log zie ik de volgende melding:
5 Apr 16 2014 06:49:15 305013 192.168.1.50 49893 192.168.1.8 8001 Asymmetric NAT rules matched for forward and reverse flows; Connection for tcp src outside:192.168.1.50/49893(LOCAL\vpntest) dst inside:192.168.1.8/8001 denied due to NAT reverse path failure.

Het probleem is dus de NAT regel. Maar ik kan niet vinden wat ik moet aanpassen om het verkeer de juiste kant op kan sturen.

Ik gebruik de volgende versie`s: ASA 9.1(2) ASDM 7.1(3)

Ik hoop dat een van jullie mij kan helpen.

Alvast bedankt
Groeten
Bavo

[ Voor 2% gewijzigd door serienummer op 16-04-2014 07:22 . Reden: Verduideling van vraagstelling ]

woensdag 16 april 2014 10:40

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 11:25

mbaltus

ik gok dat je nog een NAT exempt voor je VPN tunnel moet opzetten. Maar zonder een posting van de config kan ik dat verder niet bepalen.

[ Voor 0% gewijzigd door mbaltus op 16-04-2014 10:42 . Reden: typo ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

woensdag 16 april 2014 14:00

Acties:
  • serienummer
  • Registratie: November 2006
  • Laatst online: 30-10 07:07

serienummer

Topicstarter
Hoi mbaltus,
Dat zou inderdaad heel goed kunnen. Ik zou alleen niet weten hoe ik deze erbij moet zetten..
De configuratie is 95% via ASDM gedaan
Hierbij de configuratie: (Ik heb een aantal onbelangrijke zaken eruit gehaald)


ip local pool RA_VPN_POOL 192.168.1.50-192.168.1.60 mask 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns domain-lookup outside
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network NETWORK_OBJ_192.168.1.16_28
subnet 192.168.1.16 255.255.255.240
object network ASA5505
host 192.168.1.1
object network RA_VPN
range 192.168.1.50 192.168.1.60
description DHCP pool for RA_VPN
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in remark Synology DDNS
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 8888
access-list inside_access_in remark PPTP-VPN Tuimelaar
access-list inside_access_in extended permit gre 192.168.1.0 255.255.255.0 any
access-list inside_access_in remark sabnzbd
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq nntp
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list inside_access_in extended permit object-group TCPUDP 192.168.1.0 255.255.255.0 any eq domain
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list inside_access_in remark BoomBeach iPad game
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 9339
access-list inside_access_in remark Top Eleven iPad game
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 1935
access-list inside_access_in remark Strato Mail
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 993
access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq ntp
access-list inside_access_in remark PPTP-VPN naar Tuimelaar
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq pptp
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet
access-list inside_access_in remark HayDay iPad Game
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 8080
access-list inside_access_in remark Strato Mail
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq 587
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-ns
access-list support_splitTunnelAcl standard permit any4
pager lines 24
logging enable
logging asdm informational
logging debug-trace
logging ftp-bufferwrap
mtu inside 1500
mtu outside 1500
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.1.16_28 NETWORK_OBJ_192.168.1.16_28 no-proxy-arp route-lookup
!
object network obj_any
nat (inside,outside) dynamic interface
object network RA_VPN
nat (any,inside) static interface
access-group inside_access_in in interface inside

http server enable
http 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 192.168.50.0 255.255.255.0 outside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside

dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port number-of-rate 3
threat-detection statistics protocol number-of-rate 3
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp server 80.100.207.108 source outside prefer
webvpn
enable outside
group-policy DfltGrpPolicy attributes
dns-server value 8.8.8.8
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
group-policy support internal
group-policy support attributes
dns-server value 8.8.8.8
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value support_splitTunnelAcl
default-domain none
username XXXXXX password QyUC3G0.boOyVlqF encrypted privilege 15
username XXXXXX attributes
service-type admin
username vpntest password Kfw3vj4UbUBAvZfB encrypted privilege 0
username vpntest attributes
vpn-group-policy support
tunnel-group support type remote-access
tunnel-group support general-attributes
address-pool RA_VPN_POOL
default-group-policy support
tunnel-group support ipsec-attributes
ikev1 pre-shared-key *****
!
class-map inspection_default
match default-inspection-traffic

: end

Alvast bedankt voor je hulp

woensdag 16 april 2014 16:24

Acties:
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 30-11 16:34

mash_man02

Waarom doe je NAT in een VPN ??

Je komt toch uit het VPN met een lokaal routable IP ?

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

donderdag 17 april 2014 09:28

Acties:
  • serienummer
  • Registratie: November 2006
  • Laatst online: 30-10 07:07

serienummer

Topicstarter
Ik heb de VPN gemaakt via een wizard. Natuurlijk ben ik ook aan het proberen geweest.
Maar zou dit dan het probleem kunnen zijn?
Ik ga hem verwijderen..

Ik zou ook graag de optie van mbaltus willen proberen (NAT exempt).
Maar deze kan ik niet vinden in asdm.

Waar zou ik deze kunnen vinden?

ALvast bedankt

donderdag 17 april 2014 10:17

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 11:25

mbaltus

De Wizard zou dit automatisch al moeten doen. Heb je de Address Pool reeks voor de VPN aangepast nadat je de wizard hebt doorlopen?
Ik zie namelijk een vergelijkbare NAT regel wel staan, maar die geldt voor een andere IP reeks (192.168.1.16/28 - of in subnet mask termen 255.255.255.240).

Vanaf versie 8.3 bestaat NAT exempt niet meer als term, maar moet je een NAT zonder translatie (no-nat) toevoegen. Volgens mij moet je er zijn als je het volgende toevoegt aan je configuratie.

code:
1
2
3
4

object network network-Inside
 subnet 192.168.1.0 255.255.255.0

nat (inside,outside) source static network-Inside network-Inside destination static RA_VPN RA_VPN no-proxy-arp route-lookup


De opbouw van dit commando is:
code:
1

nat (real interface,mapped interface) source static [real_object] [mapped_object] destination static [real_object] [mapped_object]


Dus je NAT het verkeer op de source van [real_object] naar [mapped_object] met twee keer dezelfde network object "network-Inside". Feitelijk voor je dus geen translatie uit.

Datzelfde doe je op de destination van [real_object] naar [mapped_object] met twee keer dezelfde network object RA_VPN (je eerder gedefinieerde VPN reeks netwerk object).

@mash_man02
mash_man02 schreef op woensdag 16 april 2014 @ 16:24:
Waarom doe je NAT in een VPN ??

Je komt toch uit het VPN met een lokaal routable IP ?
Je doet ook geen NAT, je exempt (of NO-NAT) juist, maar standaard wordt er een NAT translatie voor alles van binnen naar buiten gedaan. Aangezien je RA-VPN ook op je outside interface zit, wordt dit verkeer ook geNAT.:
code:
1

nat (inside,outside) dynamic interface


Om dit ongedaan te maken moet je een NONAT statement toevoegen dat ervoor zorgt dat het verkeer naar je VPN tunnel niet aangepast wordt.

[ Voor 20% gewijzigd door mbaltus op 17-04-2014 10:19 . Reden: toevoeging ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 17 april 2014 18:12

Acties:
  • serienummer
  • Registratie: November 2006
  • Laatst online: 30-10 07:07

serienummer

Topicstarter
Ik ga de ASA morgen even opnieuw inrichten. Even opnieuw beginnen.
Ik heb inderdaad van alles gedaan om het werkend te krijgen..
Dus netjes is het niet meer..
Ik zal meteen je commando meenemen.

Ik zal zeker laten weten hoe het verloopt.

vrijdag 18 april 2014 08:14

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 11:25

mbaltus

Als je m opnieuw inricht en de wizard voor de VPN gebruikt, dan zou het automatisch al goed moeten gaan.
Voor de leerervaring zou je natuurlijk nog een keer kunnen proberen of dit statement nu ook je probleem oplost.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq