AS
Крипто мап не совпадает ?
между пирами?
Size: a a a
2020 August 17
f
Йеп
AS
совпадает.. туннель между ASA и Palo если это важно
f
Можно ещё sh asp-drop посмотреть выявить тип трафика
f
Попробовать
M
я пожалуй подключусь тоже, мы вместе с Алексеем исследуем эту проблему.
Суть в чем: есть l2l туннель с партнером, с нашей стороны asa с их palo-alto. Сегодня они обратились с тем, что в выходные перестал ходить трафик от их сервисов к нашим. В логах внутри сети у нас видно, что с пятницы 21-40 мск трафик перестал попадать во внутрь.
Собственно ipsec sa установлено с ними, ikev2 sa соответственно тоже, crypto map и crypto acl в порядке. Сброс sa для ipsec и ike не давал результата. Со стороны партнера видно, что от них трафик в туннель вроде как уходит, enc packets растут, decap нет. С нашей стороны наоборт:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 845, #pkts decrypt: 845, #pkts verify: 845
#pkts compressed: 0, #pkts decompressed: 0
начали проверять конфигурацию, nat в порядке, роутинг в порядке. Capture на асашке показывает, что из инсайда трафик уходит, обратно нет, счетчики encrypt packets не растут. Пересоздание крипто карты, туннельной группы и прочего связанного не дает результата.
при отработке packet tracerом видно следующее:
Phase: 8
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
стучусь к партнеру уже от себя (nat и доступы в crypto acl имеются) - все также, в capture вижу что мой комп доходит до асы, но дальше глухо.
такое чувство что asa не заворачивает в туннель трафик нужный.
почему пакет трейсер показывает такой дроп ризан пока для нас загадка.
Вот и решили обратиться сюда, может кто сталкивался с подобнымой ситуацией.
Суть в чем: есть l2l туннель с партнером, с нашей стороны asa с их palo-alto. Сегодня они обратились с тем, что в выходные перестал ходить трафик от их сервисов к нашим. В логах внутри сети у нас видно, что с пятницы 21-40 мск трафик перестал попадать во внутрь.
Собственно ipsec sa установлено с ними, ikev2 sa соответственно тоже, crypto map и crypto acl в порядке. Сброс sa для ipsec и ike не давал результата. Со стороны партнера видно, что от них трафик в туннель вроде как уходит, enc packets растут, decap нет. С нашей стороны наоборт:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 845, #pkts decrypt: 845, #pkts verify: 845
#pkts compressed: 0, #pkts decompressed: 0
начали проверять конфигурацию, nat в порядке, роутинг в порядке. Capture на асашке показывает, что из инсайда трафик уходит, обратно нет, счетчики encrypt packets не растут. Пересоздание крипто карты, туннельной группы и прочего связанного не дает результата.
при отработке packet tracerом видно следующее:
Phase: 8
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
стучусь к партнеру уже от себя (nat и доступы в crypto acl имеются) - все также, в capture вижу что мой комп доходит до асы, но дальше глухо.
такое чувство что asa не заворачивает в туннель трафик нужный.
почему пакет трейсер показывает такой дроп ризан пока для нас загадка.
Вот и решили обратиться сюда, может кто сталкивался с подобнымой ситуацией.
PG
Перепроверьте крипто acl
PG
Vpn drop, мне кажется, если должно заворачиваться в впн, но туннеля нет
PG
То есть с точки зрения asa имеющиеся туннели не подходят, а другой не строится
PG
Посмотрите 2 фазу, траффик селекторы точно правильные?
PG
Может, с их стороны кто сети суммировал в них
NK
Если-бы не милая инфографика, то я бы смело прошёл мимо. Но визуал порешал.
Так что если вам не чужда тема, как корректно душить поды в кубере, то смело читайте.
https://learnk8s.io/graceful-shutdown
Так что если вам не чужда тема, как корректно душить поды в кубере, то смело читайте.
https://learnk8s.io/graceful-shutdown
PG
я пожалуй подключусь тоже, мы вместе с Алексеем исследуем эту проблему.
Суть в чем: есть l2l туннель с партнером, с нашей стороны asa с их palo-alto. Сегодня они обратились с тем, что в выходные перестал ходить трафик от их сервисов к нашим. В логах внутри сети у нас видно, что с пятницы 21-40 мск трафик перестал попадать во внутрь.
Собственно ipsec sa установлено с ними, ikev2 sa соответственно тоже, crypto map и crypto acl в порядке. Сброс sa для ipsec и ike не давал результата. Со стороны партнера видно, что от них трафик в туннель вроде как уходит, enc packets растут, decap нет. С нашей стороны наоборт:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 845, #pkts decrypt: 845, #pkts verify: 845
#pkts compressed: 0, #pkts decompressed: 0
начали проверять конфигурацию, nat в порядке, роутинг в порядке. Capture на асашке показывает, что из инсайда трафик уходит, обратно нет, счетчики encrypt packets не растут. Пересоздание крипто карты, туннельной группы и прочего связанного не дает результата.
при отработке packet tracerом видно следующее:
Phase: 8
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
стучусь к партнеру уже от себя (nat и доступы в crypto acl имеются) - все также, в capture вижу что мой комп доходит до асы, но дальше глухо.
такое чувство что asa не заворачивает в туннель трафик нужный.
почему пакет трейсер показывает такой дроп ризан пока для нас загадка.
Вот и решили обратиться сюда, может кто сталкивался с подобнымой ситуацией.
Суть в чем: есть l2l туннель с партнером, с нашей стороны asa с их palo-alto. Сегодня они обратились с тем, что в выходные перестал ходить трафик от их сервисов к нашим. В логах внутри сети у нас видно, что с пятницы 21-40 мск трафик перестал попадать во внутрь.
Собственно ipsec sa установлено с ними, ikev2 sa соответственно тоже, crypto map и crypto acl в порядке. Сброс sa для ipsec и ike не давал результата. Со стороны партнера видно, что от них трафик в туннель вроде как уходит, enc packets растут, decap нет. С нашей стороны наоборт:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 845, #pkts decrypt: 845, #pkts verify: 845
#pkts compressed: 0, #pkts decompressed: 0
начали проверять конфигурацию, nat в порядке, роутинг в порядке. Capture на асашке показывает, что из инсайда трафик уходит, обратно нет, счетчики encrypt packets не растут. Пересоздание крипто карты, туннельной группы и прочего связанного не дает результата.
при отработке packet tracerом видно следующее:
Phase: 8
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
стучусь к партнеру уже от себя (nat и доступы в crypto acl имеются) - все также, в capture вижу что мой комп доходит до асы, но дальше глухо.
такое чувство что asa не заворачивает в туннель трафик нужный.
почему пакет трейсер показывает такой дроп ризан пока для нас загадка.
Вот и решили обратиться сюда, может кто сталкивался с подобнымой ситуацией.
ну как там, завелось?
M
ну как там, завелось?
Пока нет
PG
Пока нет
show crypto ikev2 sa
M
show crypto ikev2 sa
я тут заметил еще один нюанс, что когда я от себя пытаюсь постучаться на ip в encryption domain партнера, и в это время на asa смотрю show xlate | i *myip pc* то при телнете на любой порт пусто. при этом на асашке настроен static nat который должен натить мою подсетку в один ip адрес, который указал в crypto acl. Связано ли это и нормальное это поведение, не могу понять
M
по поводу ike sa и ipsec sa они установлены, или ты хочешь конктерную дату какую-то из вывода?
PG
траффик селекторы
M
траффик селекторы
show crypto ikev2 sa detail | begin *partner ip *
3103536283 *asa outside ip*/500 *partner peer ip*/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/5355 sec
Session-id: 110142
Status Description: Negotiation done
Local spi: 8B752479DD9282B0 Remote spi: D185E6D176FCF362
Local id: **
Remote id: *remote id*
Local req mess id: 535 Remote req mess id: 576
Local next mess id: 535 Remote next mess id: 576
Local req queued: 535 Remote req queued: 576
Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 5
NAT-T is not detected
Child sa: local selector *my crypto domain ip*/0 - *my crypto domain ip*/65535
remote selector *remote crypto domain ip*/0 - *remote crypto domain ip*/65535
ESP spi in/out: 0xc6e60220/0xc494897d
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
3103536283 *asa outside ip*/500 *partner peer ip*/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/5355 sec
Session-id: 110142
Status Description: Negotiation done
Local spi: 8B752479DD9282B0 Remote spi: D185E6D176FCF362
Local id: **
Remote id: *remote id*
Local req mess id: 535 Remote req mess id: 576
Local next mess id: 535 Remote next mess id: 576
Local req queued: 535 Remote req queued: 576
Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 5
NAT-T is not detected
Child sa: local selector *my crypto domain ip*/0 - *my crypto domain ip*/65535
remote selector *remote crypto domain ip*/0 - *remote crypto domain ip*/65535
ESP spi in/out: 0xc6e60220/0xc494897d
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
PG
то есть если слать трафик с source из my crypto domain ip в remote crypto domain ip, то он умирает на 8 шаге в packet-tracer?
а NAT тут как замешан?
а NAT тут как замешан?