трафик SNMP не проходит через туннель IPSEC VPN (ASA к ISR)
-
Простите, если я что-то упустил, но у меня возникла проблема: я не могу опрашивать SNMP через туннель S2S. Появляется сообщение «нет данных» или «пустое свойство». Один конец туннеля — ASA, а другой — ISR 4k. Весь остальной трафик (который я обычно вижу) проходит нормально. Брандмауэры не являются моей сильной стороной, но я выполняю только базовую проверку на стороне ASA (без ACL интерфейса, только с использованием уровней безопасности inside/outside), а на стороне ISR у меня установлен довольно базовый ZBFW. В основном он настроен на проверку всего. Вот соответствующая конфигурация ISR ZBFW ! Class Maps
class-map type inspect match-all Mgmt-cmap match access-group name Mgmt class-map type inspect match-any Internet-cmap match protocol icmp match protocol tcp match protocol udp match protocol http match protocol https match protocol pop3 match protocol pop3s match protocol smtp match protocol ntp match protocol snmp match protocol snmptrap match protocol ftp match protocol ftps class-map type inspect match-all ICMP-cmap match access-group name ICMP class-map type inspect match-all Inside-Out-Pass-VPN match access-group 102 class-map type inspect match-all Int-Dev-Mgmt match access-group name Int-Dev-Mgmt class-map type inspect match-all Ouside-In-Pass-VPN match access-group 101 class-map type inspect match-all Self-Out-cmap match protocol icmp class-map type inspect match-all IPSEC-cmap match access-group name ISAKMP_IPSEC ! Policy Maps
policy-map type inspect Router-Outside-pmap class type inspect Self-Out-cmap inspect class class-default pass policy-map type inspect Inside-Outside-wVPN-pmap class type inspect ICMP-cmap inspect class type inspect Inside-Out-Pass-VPN pass class type inspect Internet-cmap inspect class type inspect Int-Dev-Mgmt inspect class class-default drop policy-map type inspect Outside-Router-pmap class type inspect ICMP-cmap inspect class type inspect IPSEC-cmap pass class type inspect Mgmt-cmap pass class class-default drop policy-map type inspect outside-inside-pmap class type inspect ICMP-cmap inspect class type inspect Ouside-In-Pass-VPN pass class class-default drop ! Zone config
zone security inside
zone security outside zone-pair security inside-to-outside source inside destination outside service-policy type inspect Inside-Outside-wVPN-pmap zone-pair security outside-to-inside source outside destination inside service-policy type inspect outside-inside-pmap zone-pair security outside-to-router source outside destination self service-policy type inspect Outside-Router-pmap zone-pair security router-to-outside source self destination outside service-policy type inspect Router-Outside-pmap ! Relevant ACLs
ip access-list extended ICMP permit icmp any any echo permit icmp any any echo-reply permit icmp any any traceroute ip access-list extended ISAKMP_IPSEC permit udp any any eq isakmp permit ahp any any permit esp any any permit udp any any eq non500-isakmp ip access-list extended Int-Dev-Mgmt permit udp any any eq ntp permit udp any any eq snmp permit tcp any any eq 22 permit tcp any any eq msrpc ip access-list extended Mgmt permit tcp any any eq 22 ip access-list extended 101 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
ip access-list extended 102 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 ! relevant Interfaces
int gi0/0
ip add 10.0.1.0 255.255.255.0
zone-member security inside
ip nat inside int gi0/1
ip add x.x.x.x 255.255.255.0
zone-member security outside
ip nat outside ! I didn't include the NAT config, but it's a basic overload. All inside traffic overloads to the ip on int gi0/1 (PAT). If it would be helpful I can post that too. А на стороне ASA она довольно простая: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns preset_dns_map inspect h323 h225 inspect h323 ras inspect rsh inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect netbios inspect ip-options inspect ipsec-pass-thru inspect ftp inspect snmp inspect rtsp inspect tftp !
service-policy global_policy global interface GigabitEthernet1/1 nameif outside security-level 0 ip address x.x.x.x 255.255.255.0 !
interface GigabitEthernet1/2 nameif inside security-level 100 ip address 10.100.100.1 255.255.255.0 access-list SITE extended permit ip object-group HQ object-group SITE object-group network SITE network-object 10.0.1.0 255.255.255.0 object-group network HQ network-object 10.0.0.0 255.255.255.0 ! Also doing no-nat to pass it along through the vpn
nat (inside,outside) source static HQ HQ destination static SITE SITE ! pretty run of the mill in the crypto map as well:
crypto map outside_map 20 match address SITE
crypto map outside_map 20 set peer x.x.x.x crypto map outside_map 20 set ikev1 transform-set ESP-AES-256-SHA У меня есть второй сервис L3VPN от ISP, который я могу использовать, и когда я настраиваю его, оба устройства попадают в «внутреннюю» зону ISR, и SNMP работает нормально. На стороне HQ на самом деле нет ZBFW или ACL, поэтому трафик может свободно проходить на этой стороне. Извините, если я что-то важное упустил, пожалуйста, дайте мне знать, если есть другая информация, которая может помочь в диагностике. -
@thebotnistv2
Хорошо, тогда проблема в конфигурации ZBFW для «self» (самого маршрутизатора). Разрешите SNMP в ACL «Mgmt», на который ссылается cmap Mgmt-cmap и который используется парой зон «outside-to-router». -
@thebotnistv2
Что вы опрашиваете? ASA, начиная с версии ASA 9.14 и выше, для безопасного опроса SNMP через VPN между сайтами включает IP-адрес внешнего интерфейса в список доступа криптографической карты как часть конфигурации VPN.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/release/notes/asarn914.html#reference_xqs_mvp_xhb Или вы опрашиваете что-то за ASA? Если да, запустите packet-tracer из CLI, чтобы смоделировать поток трафика, и предоставьте результаты для проверки. -
@Роб Ингрэм
Ах, извините, да, я должен был упомянуть об устройствах опроса за ASA. Точнее говоря, ISR на другом конце туннеля, а за ним несколько катализаторов. -
@thebotnistv2
запустите пакетный трассировщик на ASA из CLI, чтобы смоделировать поток трафика и подтвердить, блокируется ли трафик на ASA. Предоставьте результаты для проверки, если трафик отклоняется. С маршрутизатора ISR трафик проходит NAT? Или вы исключаете трафик через VPN-туннель? Я предполагаю, что весь остальной трафик через туннель работает, и проблема только в snmp? -
@Rob Ingram,
похоже, это проходит через ASA: packet-tracer input inside udp 10.0.0.02 54000 10.0.1.1 161 Phase: 1
Type: ACCESS-LIST
Subtype: Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list Phase: 2
Type: FLOW-LOOKUP
Subtype: Result: ALLOW
Config:
Additional Information:
Found flow with id 12462553, using existing flow Result:
input-interface: inside
input-status: up
input-line-status: up
Action: allow И делает NAT-исключение на ISR, по крайней мере, я так думаю, src IP попадают на другую сторону туннеля так же, как и пришли, но есть NAT над интерфейсом «интернета» для внешнего трафика: ip access-list extended NAT deny ip 10.0.1.0 0.0.255.255 192.168.0.0 0.0.255.255 deny ip 10.0.1.0 0.0.255.255 10.0.0.0 0.255.255.255 deny ip 10.0.1.0 0.0.255.255 172.16.0.0 0.15.255.255 permit ip 10.0.1.0 0.0.255.255 any
!
ip nat inside source list NAT interface GigabitEthernet0/0/1 overload
!
int gi0/1
ip nat outside
! и
@MHM Cisco World
близко, но переверните клиент и сервер: SNMP-сервер > ASA > Туннель > ISR > SNMP-клиент Однако я поговорил с нашей службой поддержки, и, судя по всему, мониторинг SNMP для наших копировальных аппаратов, которые также находятся за ISR, по-прежнему работает нормально, так что проблема, по-видимому, заключается в мониторинге самого ISR через SNMP. Обычно я не смотрю на эти предупреждения, поэтому раньше не замечал этого. Я только что посмотрел немного глубже, и Catalysts, расположенные за ним, также, похоже, получают данные. Я получаю спорадические провалы, но это может быть просто несвязанная потеря пакетов в Интернете. -
Извините, что это заняло столько времени. У меня было несколько конкурирующих проектов, и этот немного отошел на второй план. Я только что добавил свой snmp-сервер в этот Mgmt ACL, и он работает как часы. Несмотря на то, что я защитил vty-линии с помощью группы доступа, я также добавил некоторые конкретные IP-адреса к ssh-доступу в этом ACL, чтобы сканеры не могли обнаружить открытый порт. Еще раз спасибо!
-
Устройство (клиент SNMP) — ASA — туннель — ISR — (сервер SNMP) Я прав? MHM
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти