[RISOLTO] ASA 5505 / PIX 506 instradamento connessioni

[X_Ch4n]

buonasera a tutti,
so che il topic che ho inserito e' molto vago, ma non sapevo come altro descrivere il mio problema.

In sostanza io ho 1 asa 5510 (192.168.0.1) e un pix 506 (192.168.0.253). Il pix si occupa di una VPN con un nostro partner, la vpn funziona correttamente. l'asa si occupa di gestire la vpn l2l tra la nostra sede master e una sede remota; inoltre inoltra (scusate il gioco di parole) il traffico verso l'esterno.
Tutti i pc della rete 192.168.0.x hanno 192.168.0.1 come default gw. Quello che non riesco a capire e' come devo spiegare all'asa che deve fare il routing di tutte le connessioni dalla mia LAN a un host della VPN Partner (123.456.789.1) verso il pix.
Pensavo mi bastasse un banale

Codice: Seleziona tutto

route inside 123.456.789.1 255.255.255.255 192.168.0.253 1

ma non e' cosi'.
dal log dell'asa riesco a vedere il seguente errore:

• Inbound TCP connection denied from 192.168.0.86/8653 to 123.456.789.1/23 flags SYN on interface inside

che mi suggerisce che c'e' un'access-list o qualcosa del genere che sta droppando la mia connessione, il problema e' che non riesco a capire cosa.... potreste aiutarmi?

Questo lo sh run dell'asa

Codice: Seleziona tutto

Grazie a chiunque vorra' aiutarmi.

[Rizio]

Non vedo applicata l'acl Partner da nessuna parte.
Prova ad aggiungere la regola di Partner all'acl proxy-redirect che hai applicato all'inside. Imho ti dovrebbe bastare solo quella

Rizio

[X_Ch4n]

niente da fare.
Adesso in effetti ho modificato un po il layout: il pix ha la outside collegata al router e la inside, con ip 192.168.100.253, collegata alla ethernet 0/2 dell'asa.

Sull'asa ho creato la vlan3, assegnato la porta eth e ho dato l'ip 192.168.100.1.
Risultato: dall'asa riesco a pingare il pix ma dalla mia rete 192.168.0.0/24 no.

Codice: Seleziona tutto

[Rizio]

Secondo me c'è ancora qualcosa che tocca qui

Codice: Seleziona tutto

access-group vpn-pix in interface vpn_pix

Non ho visto nessuna interfaccia di nome "vpn_pix" mentre l'access-group è applicato lì.

Btw guardando le acl mi sembra tu ti stia incartando un pò, mi dà l'idea di "roba" attorcigliata su se stessa. Hai messo un paio di deny dopo delle permit e prima di un permit all..... non sò, diciamo che con la mia (in)esperienza faccio fatica a leggerlo bene, mettiamola così.

Venendo al problema può essere che il pix non risponda la ping? Prova a cercare in rete come aprire il ping sul pix e verifica che il problema non sia solo li.

Rizio

[X_Ch4n]

il pix risponde al ping... adesso!!

[X_Ch4n]

Niente... non ne posso +!!!
Vorrei soltanto che il mio ASA 5505 instradasse le connessioni dalla mia rete (192.168.0.x/24) verso un determinato host (123.456.789.1/32) attraverso il PIX (collegato alla eth 0/2 dell'asa e avente ip 192.168.100.253).

Il pix e' gia configurato per tenere su una VPN con l'host che voglio raggiungere, ma non riesco a capire perche' dalla mia rete non posso raggiungere l'host.

Aiutooooooooooooooo

Questa e' la topologia attuale:
[img]http:/[/img]

e queste le configurazioni di ASA e PIX

[X_Ch4n]

Dalla config. del tuo asa tutti i pacchetti destinati a reti esterne sono destinala alla def route, quindi non arrivano al pix.
Prova e dicci come va.

Ciao, grazie per la risposta.
La route di cui parli tu c'e' gia'. Nella conf dell'asa dopo la riga

Codice: Seleziona tutto

route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1

c'e' la riga

Codice: Seleziona tutto

route vpn_pix 123.456.789.1 255.255.255.255 192.168.100.253

dove vpn_pix e' l'interfaccia dell'asa al quale e' collegato il pix

[X_Ch4n]

tra l'altro sia ping che tracert dalla rete verso il pix funzionano correttamente. sigh...

[X_Ch4n]

Se colleghi un pc direttamente al pix riesci a raggiungere l'host 123.456..... ?

si

Sull'asa (scusa ma non ho modo di riguardare le conf nel dettaglio) quando fai uscire i pacchetti dall'interfaccia vpn.... vengono nattati in 192.168.100.x?

io nn ho dato alcuna regola per il natting, mi serve solo che l'asa giri la connessione dalla rete al pix e poi il pix fa il resto verso l'host in vpn

Hai provato a fare un trace al 123.456.789.1 da un host della rete interna all'asa? dove si ferma?

non posso, l'host in vpn non e' pingabile. Ho fatto un packet-trace dall'asa e ho simulato la partenza dall'host della mia lan e l'arrivo all'host in vpn: l'asa risponde che e' tutto ok, non c'e' alcun drop nel mezzo.

Nel tuo pix tra le rotte c'è inserita (credo erroneamente) questa:
Code:
route inside 192.168.1.0 255.255.255.0 192.168.0.1 1

Questa in effetti dovrebbe starci, perche' io ho un'altra sede remota (192.168.1.0/24, collegata in vpn con l'asa). Anche questa rete dovra' raggiungere l'host 123.456...., ma a questo ci pensero' dopo, quando avro' raggiunto l'host dalla mia sede principale.

quando invece (secondo il tuo schema) dovrebbe esserci questa:
Code:
route inside 192.168.0.0 255.255.255.0 192.168.100.1 1

Questa la provo subito, e ti faccio sapere.

Grazie tante della tua disponibilita'

[X_Ch4n]

Quote:
quando invece (secondo il tuo schema) dovrebbe esserci questa:
Code:
route inside 192.168.0.0 255.255.255.0 192.168.100.1 1

Questa la provo subito, e ti faccio sapere.

SSSSSiiiiiiiiiiiiiiiiiiiiiii, sono un idiota, lo ammetto, il problema era proprio questo!!

Bene, ora posso raggiungere l'host sulla vpn dalla mia rete 192.168.0.x/24, a questo punto devo rendere raggiungibile lo stesso host anche dall'altra mia rete 192.168.1.x/24.

Ho gia' modificato sul pix le regole di routing, faccio subito una prova e ti aggiorno.

... intanto ti sono debitore di svariati caffe!!

[X_Ch4n]

Se sistemi le rotte vedrai che non dovresti avere problemi nemmeno con l'altra sede...

Purtroppo non va....
ho inserito nel pix la route per raggiungere la sede remota, ma niente....

[X_Ch4n]

and now ladies and gentlemen... it works great!!

Alla fine ho trovato il bandolo della matassa: andavano sistemate alcune access-list sia sul pix, che sull'asa della sede master che sull'asa della sede remota.

Grazie a tutti davvero, e grazie tante ad Emiliano per la sua disponibilita'... a buon rendere (spero)...