Whistleblower 45 Geschrieben 16. Mai 2007 Melden Teilen Geschrieben 16. Mai 2007 Hallo zusammen, Hab mal wieder eine Problemstellung, die irgendwie mit dem Thema ip inspect /CBAC oder MTU-Size zusammenhängt. Ähnlich wie bei meinem letzten Thread: http://www.mcseboard.de/cisco-forum-allgemein-38/probleme-http-grundlagen-ip-inspect-112531.html Diesmal ist das Problem folgendes: 2 Locations sind via IPSec-VPN verbunden In der Location A steht ein Webserver, der sowohl intern als auch von extern erreichbar sein soll. Zugriff vom eigenen LAN A ist in Ordnung, Zugriff vom Internet ebenso. Wenn ich vom anderen LAN B draufgehen will, bekomme ich ein Timeout. "show ip inspect sessions" zeigt dann Half-Open Sessions hierfür an. Woran kann's liegen? IP inspect ist z.Zt. nur auf den externen Schnittstellen aktiv, insofern dürfte der http-Traffic da nicht zerlegt werden. Allerdings stimmen die MTU/MSS-Angaben nicht überein, wie ich gerade noch mal festgestellt habe. LAN A = MSS=1350, LAN B = 1452 Muss ich bei Gelegenheit dann anpassen, hatte ich gestern auch schon versucht (beide auf 1350), allerdings mit dem Ergebnis, dass von LAN B auch kein Internetzugriff mehr möglich war. Vermutlich muss ich hier erstmal die Sessions clearen, bevor die neue MSS greift?? Die MTU habe ich jeweils nicht angegeben, da sie automatisch vom Provider zugewiesen werden sollte... Gibts eine optimale Vorgehensweise, wenn man mit diesen Werten "rumspielt", damit man auch wirklich dann mit den neuen Einstellungen testet? Erstmal ip inspect komplett aus, dann MSS anpassen, evtl. weitere Schritte (Sessions clearen?), dann ip inspect an, und dann testen? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 16. Mai 2007 Autor Melden Teilen Geschrieben 16. Mai 2007 Hm, hat keiner eine Idee? Hab jetzt mal die Konfig glattgezogen, auf beiden Seiten ist für das VLAN-Interface MSS=1300 konfiguriert. Trotzdem leider keine Besserung, und das Problem tritt auf beiden Seiten auf. Sprich egal, auf welcher Seite ein Web-Server steht, man kommt von der jeweils anderen Seite nicht drauf... :-( Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 17. Mai 2007 Melden Teilen Geschrieben 17. Mai 2007 Hi, wie wärs mit mitsniffern? Meist sind es MTU Probleme, daß vieleicht in irgendeinem Paket DF gesetzt ist und dieses Paket wird nicht übertragen. Setz doch mal auf einem Rechner die MTU runter und probier es dann. Gruß Robby Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 17. Mai 2007 Autor Melden Teilen Geschrieben 17. Mai 2007 Hi Robby, gesniffert habe ich auch schon, MTU-Size auf dem Rechner ist auch schon auf 1300 heruntergesetzt. Allerdings will ich nicht auf sämtlichen Clients die MTU herunterdrehen, sondern das ganze lieber mit MSS bzw. PMTU lösen... Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 17. Mai 2007 Melden Teilen Geschrieben 17. Mai 2007 werden ICMP unreachables von der Firewall gefiltert? /#9370 Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 18. Mai 2007 Autor Melden Teilen Geschrieben 18. Mai 2007 werden ICMP unreachables von der Firewall gefiltert? Hi, nein, werden durchgelassen. Anbei mal Auszüge der Config, vielleicht findet sich ja irgendwo ein Fehler...: Lokation A: [..] ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 skinny ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 sip ip inspect name ethernet_0 pptp ip tcp synwait-time 10 ip tftp source-interface Vlan1 [..] interface FastEthernet4 no ip address ip nat outside no ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface Vlan1 description internesLAN ip address 10.10.1.1 255.255.0.0 ip access-group inside_rule out no ip proxy-arp ip accounting output-packets ip accounting access-violations ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat inside ip virtual-reassembly no ip route-cache cef no ip route-cache ip tcp adjust-mss 1300 no ip mroute-cache [..] interface Dialer1 description T-OnlineDSL [..] ip access-group outside_rule in no ip redirects no ip proxy-arp ip mtu 1492 ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp [...] crypto map staticmap [..] ip nat source static tcp 10.10.0.0 1723 interface Dialer1 1723 ip nat inside source static tcp 10.10.1.100 80 interface Dialer1 80 ip nat inside source static tcp 10.10.1.100 21 interface Dialer1 21 ip nat inside source route-map route_map1 interface Dialer1 overload [..] ip access-list extended NAT_rule remark ### NAT-Ausnahmen ### deny ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 remark NAT-Ausnahme VPN-Clients deny ip 10.10.0.0 0.0.255.255 192.168.10.0 0.0.0.255 deny ip 10.10.0.0 0.0.255.255 192.168.11.0 0.0.0.255 remark Alles andere NAT permit ip 10.10.0.0 0.0.255.255 any [..] ip access-list extended inside_rule remark Traffic_Lokation_B permit ip 172.16.0.0 0.0.255.255 any remark VPN-Clients permit ip 192.168.10.0 0.0.0.255 any permit ip 192.168.11.0 0.0.0.255 any remark www_ftp permit tcp any host 10.10.1.100 eq www permit tcp any host 10.10.1.100 eq 443 permit tcp any host 10.10.1.100 eq ftp permit icmp any any [..] ip access-list extended outside_rule remark ### Externe Zugriffe ### permit udp host 192.53.103.104 eq ntp host x.x.x.x eq ntp permit udp host 192.53.103.108 eq ntp host x.x.x.x eq ntp permit gre any any permit udp any eq domain host x.x.x.x permit ahp host y.y.y.y host x.x.x.x permit esp host y.y.y.y host x.x.x.x permit udp host y.y.y.y host x.x.x.x eq isakmp permit udp host y.y.y.y host x.x.x.x eq non500-isakmp permit tcp any host x.x.x.x eq www permit tcp any host x.x.x.x eq 443 permit tcp any host x.x.x.x eq ftp remark ### IPSec Rule ### permit ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 permit ip 192.168.10.0 0.0.0.255 10.10.0.0 0.0.255.255 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255 deny ip 10.10.0.0 0.0.255.255 any permit icmp any host x.x.x.x echo-reply permit icmp any host x.x.x.x time-exceeded permit icmp any host x.x.x.x unreachable deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log Lokation B folgt... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 18. Mai 2007 Autor Melden Teilen Geschrieben 18. Mai 2007 Lokation B: [..] ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 skinny ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 sip ip inspect name ethernet_0 pptp ip inspect name ethernet_0 http ip tcp synwait-time 10 ip tftp source-interface Vlan1 [..] ! interface FastEthernet4 description WAN_festeIP-DSL ip address y.y.y.0 255.255.255.248 ip access-group inet_incoming in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat outside no ip virtual-reassembly ip route-cache flow speed 100 full-duplex crypto map staticmap ! interface Vlan1 description LAN_inside ip address 172.16.1.1 255.255.0.0 ip access-group vlan_incoming out no ip redirects no ip unreachables no ip proxy-arp ip inspect ethernet_0 in ip inspect ethernet_0 out ip nat inside no ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1300 [..] ip nat inside source route-map route_map_1 interface FastEthernet4 overload ip nat inside source static tcp 172.16.1.10 80 interface FastEthernet4 80 ip nat inside source static tcp 172.16.1.10 443 interface FastEthernet4 443 ! ip access-list extended NAT-Ausnahmen deny ip 172.16.0.0 0.0.255.255 10.10.0.0 0.0.255.255 remark NAT-Ausnahme VPN-Clients deny ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255 deny ip 172.16.0.0 0.0.255.255 192.168.11.0 0.0.0.255 remark Alles andere NAT permit ip 172.16.0.0 0.0.255.255 any [..] ip access-list extended inet_incoming permit udp host 192.53.103.104 eq ntp host y.y.y.y eq ntp permit udp host 192.53.103.108 eq ntp host y.y.y.y eq ntp permit gre any any permit udp host a.b.c.d eq domain host y.y.y.y permit ahp host x.x.x.x host y.y.y.y permit esp host x.x.x.x host y.y.y.y permit udp host x.x.x.x host y.y.y.y eq isakmp permit udp host x.x.x.x host y.y.y.y eq non500-isakmp permit tcp any host y.y.y.y eq www permit tcp any host y.y.y.y eq 443 remark ### IPSec Rule ### permit ip 10.10.0.0 0.0.255.255 172.16.0.0 0.0.255.255 permit ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255 permit ip 10.10.0.0 0.0.255.255 192.168.11.0 0.0.0.255 deny ip 172.16.0.0 0.0.255.255 any permit icmp any any echo-reply permit icmp any any time-exceeded permit icmp any any unreachable permit icmp any host y.y.y.y echo permit icmp any host y.y.y.y echo-reply permit icmp any host y.y.y.y unreachable deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log [..] ip access-list extended vlan_incoming permit ip 10.10.0.0 0.0.255.255 any remark VPN-Clients permit ip 192.168.10.0 0.0.0.255 any permit ip 192.168.11.0 0.0.0.255 any permit tcp any host 172.16.1.10 eq www permit tcp any host 172.16.1.10 eq 443 ! [..] route-map route_map_1 permit 1 match ip address NAT-Ausnahmen Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 18. Mai 2007 Autor Melden Teilen Geschrieben 18. Mai 2007 Beim Testen habe ich vorgestern allerdings noch ein anderes Problem festgestellt. Sobald ich no ip inspect ethernet_0 konfiguriere, womit ich ja normalerweise ip inspect komplett deaktiviere, komme ich von den Lokationen gar nicht mehr ins Internet, selbst dann nicht, wenn ich mit dieser Konfig die Router neu boote. Meine ACL outside_rule blockt dann den eingehenden http-Verkehr... Also sinngemäß "ACL ouside_rule denied 123.4.5.6 (80) -> x.x.x.x (4023)" Erst, wenn ich ip inspect wieder einrichte und entsprechend auf die Interfaces binde, läuft http wieder...? Ist das ein Bug, oder mache ich da irgendeinen Denkfehler? Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 18. Mai 2007 Melden Teilen Geschrieben 18. Mai 2007 Hallo, Ein paar Anmerkungen zu deiner Config: 1) der Webserver ist 10.10.1.100? Wenn du intern darauf zugreifst, dann auf die private IP Adresse? Das wird nicht funktionieren, da beim static nat keine Ausnahme definiert ist. Das würde auch die half-open Sessions erklären. Ist sonst alles von A nach B und umgekehrt möglich? Siehe auch Configuring a Router IPsec Tunnel Private-to-Private Network with NAT and a Static - Cisco Systems 2) Ich verstehe den Sinn der oubound ACL am Inside Intf nicht. Es wird jeglicher Verkehr von den anderen Standorten erlaubt und der Zugriff auf den Server und der VPN Clients wird mit der ACL am outside Interface geregelt. Ich würde das so machen: interface Dialer1 ip access-group bla in interface Vlan1 ip inspect blabla in Damit wird der Verkehr vom Inside zum Outside inspected und der Antwortverkehr durchgelassen und der Verkehr zum Server wird auch erlaubt. Gehen die VPN Clients direkt ins Internet? Wenn ja, dann das inspect outbound am Dialer1 Interface. 3) Warum ist die MTU am Dialer Interface 1492?.... Ich habe jetzt dsa Beispiel am CCO gesehen, wo es genauso konfiguriert ist. Ich würde das TCP MSS Adjustment einmal weglassen und nur verwenden, wenn das ICMP Error Handling nicht funktioniert. In deinem Fall sollte es einwandfrei funktionieren, da alle Firewalls in deinem Einflussbereich liegen. 4) Beim dynamischen NAT ist keine route-map notwendig - es genügen die denys in der (extended) ACL, in der definiert wird, wer genattet wird. /#9370 Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 19. Mai 2007 Autor Melden Teilen Geschrieben 19. Mai 2007 Hi #9370, hm stimmt, an das Thema NAT habe ich bisher noch gar nicht gedacht - sonst geht ja auch alles (Remotedesktop, Freigaben, VoIP, SIP usw...). Muss ich mal checken! zu 2) sorry - die ACL ist gekürzt! Da fehlen Einträge von Lokation C, die nur auf bestimmte Server Zugriff hat. zu 3) MTU 1492 hatte ich testhalber irgendwann mal eingestellt, weils der Provider so vorgibt, hat aber keinen Einfluss, so wie ichs bisher testen konnte zu 4) Muss ich mir im Detail nochmal anschauen, hatte irgendwann ganz am Anfang mal Probleme mit NAT... Jedenfalls vielen Dank erstmal, jetzt hab ich wieder einige Ansatzpunkte!!! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 21. Mai 2007 Autor Melden Teilen Geschrieben 21. Mai 2007 Hi #9370, 1) der Webserver ist 10.10.1.100? Wenn du intern darauf zugreifst, dann auf die private IP Adresse? Das wird nicht funktionieren, da beim static nat keine Ausnahme definiert ist. Das würde auch die half-open Sessions erklären. Ist sonst alles von A nach B und umgekehrt möglich? Hm, wie definiere ich denn eine Ausnahme für den internen Traffic? Ich blick da grad net ganz durch.... 4) Beim dynamischen NAT ist keine route-map notwendig - es genügen die denys in der (extended) ACL, in der definiert wird, wer genattet wird. /#9370 D.h. ich kann die route-map rausschmeissen, und gebe dann direkt beim NAT die ACL an? EDIT: Habs grad gelesen!!! Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 21. Mai 2007 Melden Teilen Geschrieben 21. Mai 2007 gleich wie für das dynamische NAT. In dem Fall könnte es aber sein ,dass man eine Route-map benötigt - wenn ACLs unterstützt werden, dann verwende diese. "Verbiete" NAT für den Server für Kommunikation mit 10er, 172iger... Adressen. Am besten mal das NAT für den Server rausgeben und testen, ob jetzt der interne Zugriff funktioniert, dann wieder reinkonfigurieren und das NAT anpassen. /#9370 Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 1. August 2007 Autor Melden Teilen Geschrieben 1. August 2007 Moin zusammen, hab mich mal wieder näher mit dem Thema http über den IPSec-Tunnel befasst und festgestellt, dass es kein generelles Problem zu sein scheint. Mit hfs (http file server) funktioniert der Zugriff einwandfrei. Anschließend habe ich einfach mal auf einem Testrechner XAMPP installiert und die ganze Website drauf kopiert. Auf diesen Rechner funzt der Zugriff einwandfrei... Das Problem scheint also woanders zu liegen - werde aber trotzdem nochmal die NAT-Regeln checken. Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 1. August 2007 Autor Melden Teilen Geschrieben 1. August 2007 Ich nehme alles zurück - der Test ging nur, weil kein NAT für den Testrechner aktiv war - Liegt also definitiv an meinen NAT-Regeln... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 1. August 2007 Autor Melden Teilen Geschrieben 1. August 2007 Jaaaaa, es funzt endlich! Habe den static NAT Eintrag mit einer neuen Route-Map verknüpft, die NAT für internen Traffic unterbindet! Supi! Danke an Euch alle! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.