Besten,
Ik heb een hersenkraker waar ik even helemaal lost ben. Dit gaat ook helemaal nergens over, ik denk dat ik een bug op de ASA hit.
Aan één kant heb ik een ASA5520, aan de andere kant een fortigate (100D).
Tussen deze twee firewalls lag een VPN tunnel. Aan de ASA kant 10.x.x.x/23 <> 172.x.x.x aan de fortigate kant. Over deze VPN ging management verkeer. Aangezien er nu een laag 2 link is tussen beide firewalls kan de VPN eruit, althans, dat dacht ik maar dat gaat niet van een leien dakje. Wat een eenvoudige actie zou moeten zijn word een achterlijke situatie waarvan ik niet meer weet wat ik ermee moet.
De VPN is er nu totaal uitgesloopt, zowel op de ASA als op de fortigate is er geen VPN meer actief, alle config is ook verwijderd van beide firewalls. Tussen de twee firewalls zit nu een transport VLAN.
Achter de ASA zit 10.x.x.x
Achter de Fortigate zit 172.x.x.x
Het transport vlan is 192.x.x.x (beiden firewalls hebben hier een interface in)
Nu staat op de ASA netjes de route; 172.x.x.x >> 192.0.0.2 (fortigate) en op de fortigate staat netjes 10.x.x.x >> 192.0.0.1 (asa).
Hier tussen zit een bende aan switches wat aan elkaar geknoopt is maar dat is even irrelevant. Op de ASA zie ik de fortigate in de arp tabel dus laag 2 is goed. Ik heb zelfs vanaf de ASA een ping naar de fortigate. Andersom heb ik ook een ping. Ergo; ik heb zelfs vanaf de ASA een ping naar een IP adres in het 172.x.x.x subnet wat achter de fortigate leeft.
Nu komt het interessante gedeelte;
Als ik nu vanaf een host achter de ASA (dus bijvoorbeeld 10.0.0.10) ping naar de fortigate (192.0.0.2) dan krijg ik een reply. Als ik echter naar 172.x.x.x ping, dan krijg ik geen reply terwijl ik dat dus van de ASA wel kan bereiken. De default gateway staat gewoon naar de ASA toe (10.0.0.1) en zoals gezegd staat de route van het 172.x.x.x subnet gewoon richting de fortigate geconfigureerd op de ASA.
Een ping andersom, dus vanaf 172.0.0.10 >> 10.0.0.10 werkt dus logischerwijs ook niet. Als ik dit ga capturen op de INSIDE (10.x.x.x) interface van de ASA krijg ik dit;
172.0.0.10 > 10.0.0.10 Echo
10.0.0.10 > 172.0.0.10 Echo reply
Ik zie dus netjes de Echo binnen komen vanaf het fortigate subnet, en de reply gaat eruit. Als ik echter kijk op de OUTSIDE interface (192.x.x.x) dan zie ik álleen de echo binnen komen, maar niet meer eruit gaan, dus ik krijg een spam van dit;
172.0.0.10 > 10.0.0.10 Echo
172.0.0.10 > 10.0.0.10 Echo
172.0.0.10 > 10.0.0.10 Echo
Op de fortigate capture zie ik dus alleen een echo richting 10.0.0.10 gaan, en er komt niets terug.
Als ik de ping vanaf 10.0.0.10 doe naar 172.0.0.10, dan zie ik op de fortigate ook geen ping binnen komen. Dus het lijkt er heel duidelijk op dat de routering fout gaat van dat 172 subnet.
Het lijkt me dus duidelijk dat de ping op de ASA verloren gaat. Nu ben ik eerder tegen dit soort dingen aangelopen omdat de VPN tunnel met z'n accesslist om te routeren, de route tabel lijkt te overrulen. Maar op dit moment is heel de VPN inclusief de accesslist erop verwijderd. Zowel op de ASA als op de fortigate. Toch gaat het packet verloren dus ik heb stiekem het idee dat ik tegen een bug aan loop, en dat de ASA alsnog het packet over de VPN probeert te routeren terwijl deze niet meer bestaat en alle config eruit is van die VPN.
Iemand hier met ideeen? Of gelijke ervaringen? Een reload van de firewalls is niet erg wenselijk op het moment.
Alvast vriendelijk bedankt !
Edit; ter aanvulling, de ACL voor ICMP wordt gewoon gehit, dus het is ook geen ACL wat in de weg zit;
permit icmp host 10.0.0.10 host 172.0.0.10 echo-reply (hitcnt=781)
En nee, dit zijn niet de echte IP adressen
Dit is de sitatie schets 
Ik heb een hersenkraker waar ik even helemaal lost ben. Dit gaat ook helemaal nergens over, ik denk dat ik een bug op de ASA hit.
Aan één kant heb ik een ASA5520, aan de andere kant een fortigate (100D).
Tussen deze twee firewalls lag een VPN tunnel. Aan de ASA kant 10.x.x.x/23 <> 172.x.x.x aan de fortigate kant. Over deze VPN ging management verkeer. Aangezien er nu een laag 2 link is tussen beide firewalls kan de VPN eruit, althans, dat dacht ik maar dat gaat niet van een leien dakje. Wat een eenvoudige actie zou moeten zijn word een achterlijke situatie waarvan ik niet meer weet wat ik ermee moet.
De VPN is er nu totaal uitgesloopt, zowel op de ASA als op de fortigate is er geen VPN meer actief, alle config is ook verwijderd van beide firewalls. Tussen de twee firewalls zit nu een transport VLAN.
Achter de ASA zit 10.x.x.x
Achter de Fortigate zit 172.x.x.x
Het transport vlan is 192.x.x.x (beiden firewalls hebben hier een interface in)
Nu staat op de ASA netjes de route; 172.x.x.x >> 192.0.0.2 (fortigate) en op de fortigate staat netjes 10.x.x.x >> 192.0.0.1 (asa).
Hier tussen zit een bende aan switches wat aan elkaar geknoopt is maar dat is even irrelevant. Op de ASA zie ik de fortigate in de arp tabel dus laag 2 is goed. Ik heb zelfs vanaf de ASA een ping naar de fortigate. Andersom heb ik ook een ping. Ergo; ik heb zelfs vanaf de ASA een ping naar een IP adres in het 172.x.x.x subnet wat achter de fortigate leeft.
Nu komt het interessante gedeelte;
Als ik nu vanaf een host achter de ASA (dus bijvoorbeeld 10.0.0.10) ping naar de fortigate (192.0.0.2) dan krijg ik een reply. Als ik echter naar 172.x.x.x ping, dan krijg ik geen reply terwijl ik dat dus van de ASA wel kan bereiken. De default gateway staat gewoon naar de ASA toe (10.0.0.1) en zoals gezegd staat de route van het 172.x.x.x subnet gewoon richting de fortigate geconfigureerd op de ASA.
Een ping andersom, dus vanaf 172.0.0.10 >> 10.0.0.10 werkt dus logischerwijs ook niet. Als ik dit ga capturen op de INSIDE (10.x.x.x) interface van de ASA krijg ik dit;
172.0.0.10 > 10.0.0.10 Echo
10.0.0.10 > 172.0.0.10 Echo reply
Ik zie dus netjes de Echo binnen komen vanaf het fortigate subnet, en de reply gaat eruit. Als ik echter kijk op de OUTSIDE interface (192.x.x.x) dan zie ik álleen de echo binnen komen, maar niet meer eruit gaan, dus ik krijg een spam van dit;
172.0.0.10 > 10.0.0.10 Echo
172.0.0.10 > 10.0.0.10 Echo
172.0.0.10 > 10.0.0.10 Echo
Op de fortigate capture zie ik dus alleen een echo richting 10.0.0.10 gaan, en er komt niets terug.
Als ik de ping vanaf 10.0.0.10 doe naar 172.0.0.10, dan zie ik op de fortigate ook geen ping binnen komen. Dus het lijkt er heel duidelijk op dat de routering fout gaat van dat 172 subnet.
Het lijkt me dus duidelijk dat de ping op de ASA verloren gaat. Nu ben ik eerder tegen dit soort dingen aangelopen omdat de VPN tunnel met z'n accesslist om te routeren, de route tabel lijkt te overrulen. Maar op dit moment is heel de VPN inclusief de accesslist erop verwijderd. Zowel op de ASA als op de fortigate. Toch gaat het packet verloren dus ik heb stiekem het idee dat ik tegen een bug aan loop, en dat de ASA alsnog het packet over de VPN probeert te routeren terwijl deze niet meer bestaat en alle config eruit is van die VPN.
Iemand hier met ideeen? Of gelijke ervaringen? Een reload van de firewalls is niet erg wenselijk op het moment.
Alvast vriendelijk bedankt !
Edit; ter aanvulling, de ACL voor ICMP wordt gewoon gehit, dus het is ook geen ACL wat in de weg zit;
permit icmp host 10.0.0.10 host 172.0.0.10 echo-reply (hitcnt=781)
En nee, dit zijn niet de echte IP adressen
Dit is de sitatie schets
[ Voor 3% gewijzigd door wallywally op 02-08-2017 21:49 ]
:strip_icc():strip_exif()/u/1604/60x60.jpg?f=community)
