Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RPF Violation bei Statischem NAT Eintrag

Frage Netzwerke Router & Routing

Mitglied: keksdieb

keksdieb (Level 1) - Jetzt verbinden

03.06.2013 um 12:02 Uhr, 2020 Aufrufe, 10 Kommentare

moin moin zusammen,

Bin mal wieder am Cisco Studium und versuch ein statisches NAT für einen DMZ Server einzurichten.
Allerdings hakt es da irgendwie gewaltig...

Die ACL passen soweit, ich bekommen eine Meldung im Syslog, das die Verbindung aufgebaut wird.
01.
6	Jun 03 2013	11:35:57	302013	80.187.107.132	10198	XXX.XXX.XXX.XXX	3389 	 
02.
Built inbound TCP connection 694033 for outside:80.187.107.132/10198 (80.187.107.132/10198) to inside-prod:XXX.XXX.XXX.XXX/3389 (XXX.XXX.XXX.XXX/3389)
Kurz danach kommt dann folgende Meldung im Syslog:
01.
6	Jun 03 2013	11:36:27	302014	80.187.107.132	10198	XXX.XXX.XXX.XXX	3389	Teardown TCP connection 694033 for outside:80.187.107.132/10198 to inside-prod:XXX.XXX.XXX.XX/3389 duration 0:00:30 bytes 0 SYN Timeout
Im Packet Tracer zeigt er mir bei gleichem Beispiel ein RPF Fehler an.

01.
5	Jun 03 2013	11:56:32	305013	XXX.XXX.XXX.XXX	3389			 
02.
Asymmetric NAT rules matched for forward and reverse flows; Connection for tcp src outside:8.8.8.8/4611 dst inside-prod:XXX.XXX.XXX.XXX/3389 denied due to NAT reverse path failure
Die Access listen passen alle, es wird ja auch versucht eine Verbindung aufzubauen. Allerdings scheitert er an der NAT Regel und ich verstehe nicht warum.

Hier der Teil der NAT Config:
01.
object network Test 
02.
 nat (inside-prod,outside) static interface service tcp 3389 3389 
Hoffe, ihr könnt mich erleuchten

Gruß Keksdieb

Mitglied: aqui
03.06.2013, aktualisiert um 12:16 Uhr
Ist zu erwarten ! Hier ist das Warum erklärt:
https://supportforums.cisco.com/thread/1003401
bzw.
https://learningnetwork.cisco.com/thread/39723
Ist jetzt aber etwas ins Blaue geraten da du weder Konfig oder einen Auszug der NAT Konfig hier gepostet hast noch uns mitteilst was für HW (geraten: vermutlich ASA) du verwendest
Bitte warten ..
Mitglied: keksdieb
03.06.2013 um 12:24 Uhr
Bah, Fehler von meiner Seite:

HW = ASA 5510 (Version 8.4)

Config ist etwas lang, da hier mal der NAT Auszug (dachte der kleine Fitzel zum Host reicht ;) ):

01.
nat (inside-prod,outside) source static any any destination static NETWORK_OBJ_Privat NETWORK_OBJ_Privat no-proxy-arp route-lookup description VPN Einwahl  
02.
nat (inside-lab,outside) source static any any destination static Network_Obj_Lab Network_Obj_Lab 
03.
04.
object network Network_Obj-Productiv 
05.
 nat (any,outside) dynamic interface 
06.
object network Network_Obj_Lab 
07.
 nat (any,outside) dynamic interface 
08.
object network Test 
09.
 nat (inside-prod,outside) static interface service tcp 3389 3389  
10.
!
Vielen Dank aqui

Gruß Keksdieb
Bitte warten ..
Mitglied: aqui
03.06.2013 um 13:04 Uhr
Na ja wie oben bei dir das Problem der asymetrischen SNAT und DNAT Sessions. Das musst du beseitigen, dann klappts auch.
Bitte warten ..
Mitglied: keksdieb
03.06.2013, aktualisiert um 14:05 Uhr
Jupp, so hab ich das auch raus gelesen...

Aber dann hab ich das Problem, dass die Arbeitsplatz PC´s nicht mehr ins Internet kommen, da das SNAT ja nicht mehr geht...

Vielen Dank für deine Hilfe

Gruß Keks
Bitte warten ..
Mitglied: keksdieb
03.06.2013 um 14:30 Uhr
Jetzt stehe ich total auf dem Schlauch...

Ich habe die alle NAT Einträge gelöscht und nur noch die Einträge für den Server hinzugefügt.
Allerdings kommt immer noch ein Syn Timeout im Syslog und der Verbindungsaufbau scheitert...

Grml, das NAT in der ASA ist ja mal ein ganz anderer schnack als im normalen Router....
Bitte warten ..
Mitglied: keksdieb
03.06.2013, aktualisiert um 14:47 Uhr
Hier nochmal ein Auszug aus dem Packet Tracer:


packet-tracer input inside-prod tcp 192.168.0.221 3389 8.8.8.8 4711
01.
Phase: 1 
02.
Type: ROUTE-LOOKUP 
03.
Subtype: input 
04.
Result: ALLOW 
05.
Config: 
06.
Additional Information: 
07.
in   0.0.0.0         0.0.0.0         outside 
08.
 
09.
Phase: 2 
10.
Type: ACCESS-LIST 
11.
Subtype: log 
12.
Result: ALLOW 
13.
Config: 
14.
access-group inside-prod_access_in in interface inside-prod 
15.
access-list inside-prod_access_in extended permit ip object Network_Obj-Productiv any log debugging  
16.
Additional Information: 
17.
 
18.
Phase: 3 
19.
Type: IP-OPTIONS 
20.
Subtype:  
21.
Result: ALLOW 
22.
Config: 
23.
Additional Information: 
24.
 
25.
Phase: 4       
26.
Type: NAT 
27.
Subtype:  
28.
Result: ALLOW 
29.
Config: 
30.
object network Test 
31.
 nat (inside-prod,outside) static interface service tcp 3389 3389  
32.
Additional Information: 
33.
Static translate 192.168.0.221/3389 to XXXXXXXX/3389 
34.
 
35.
Phase: 5 
36.
Type: IP-OPTIONS 
37.
Subtype:  
38.
Result: ALLOW 
39.
Config: 
40.
Additional Information: 
41.
 
42.
Phase: 6 
43.
Type: FLOW-CREATION 
44.
Subtype:  
45.
Result: ALLOW 
46.
Config: 
47.
Additional Information: 
48.
New flow created with id 6385, packet dispatched to next module 
49.
               
50.
Result: 
51.
input-interface: inside-prod 
52.
input-status: up 
53.
input-line-status: up 
54.
output-interface: outside 
55.
output-status: up 
56.
output-line-status: up 
57.
Action: allow
Und andere Richtung meckert die ASA:
01.
packet-tracer input outside tcp 8.8.8.8 4711 192.168.0.221 3389 de$ 
02.
 
03.
Phase: 1 
04.
Type: ROUTE-LOOKUP 
05.
Subtype: input 
06.
Result: ALLOW 
07.
Config: 
08.
Additional Information: 
09.
in   192.168.0.0     255.255.255.0   inside-prod 
10.
 
11.
Phase: 2 
12.
Type: ROUTE-LOOKUP 
13.
Subtype: input 
14.
Result: ALLOW 
15.
Config: 
16.
Additional Information: 
17.
in   0.0.0.0         0.0.0.0         outside 
18.
 
19.
Phase: 3 
20.
Type: ACCESS-LIST 
21.
Subtype: log 
22.
Result: ALLOW 
23.
Config: 
24.
access-group outside_access_in in interface outside 
25.
access-list outside_access_in extended permit ip any any log debugging  
26.
Additional Information: 
27.
 Forward Flow based lookup yields rule: 
28.
 in  id=0xad5d5080, priority=13, domain=permit, deny=false 
29.
	hits=591, user_data=0xaa7ce7c0, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 
30.
	src ip/id=0.0.0.0, mask=0.0.0.0, port=0 
31.
	dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
32.
	input_ifc=outside, output_ifc=any 
33.
 
34.
Phase: 4 
35.
Type: IP-OPTIONS 
36.
Subtype:  
37.
Result: ALLOW 
38.
Config: 
39.
Additional Information: 
40.
 Forward Flow based lookup yields rule: 
41.
 in  id=0xad67a060, priority=0, domain=inspect-ip-options, deny=true 
42.
	hits=6228, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 
43.
	src ip/id=0.0.0.0, mask=0.0.0.0, port=0 
44.
	dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
45.
	input_ifc=outside, output_ifc=any 
46.
 
47.
Phase: 5 
48.
Type: VPN 
49.
Subtype: ipsec-tunnel-flow 
50.
Result: ALLOW 
51.
Config:        
52.
Additional Information: 
53.
 Forward Flow based lookup yields rule: 
54.
 in  id=0xacf04f90, priority=13, domain=ipsec-tunnel-flow, deny=true 
55.
	hits=592, user_data=0x0, cs_id=0x0, flags=0x0, protocol=0 
56.
	src ip/id=0.0.0.0, mask=0.0.0.0, port=0 
57.
	dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
58.
	input_ifc=outside, output_ifc=any 
59.
 
60.
Phase: 6 
61.
Type: NAT 
62.
Subtype: rpf-check 
63.
Result: DROP 
64.
Config: 
65.
object network Test 
66.
 nat (inside-prod,outside) static interface service tcp 3389 3389  
67.
Additional Information: 
68.
 Forward Flow based lookup yields rule: 
69.
 out id=0xad5d49f8, priority=6, domain=nat-reverse, deny=false 
70.
	hits=12, user_data=0xadd43660, cs_id=0x0, use_real_addr, flags=0x0, protocol=6 
71.
	src ip/id=0.0.0.0, mask=0.0.0.0, port=0 
72.
	dst ip/id=192.168.0.221, mask=255.255.255.255, port=3389, dscp=0x0 
73.
	input_ifc=outside, output_ifc=inside-prod 
74.
 
75.
Result:        
76.
input-interface: outside 
77.
input-status: up 
78.
input-line-status: up 
79.
output-interface: inside-prod 
80.
output-status: up 
81.
output-line-status: up 
82.
Action: drop 
83.
Drop-reason: (acl-drop) Flow is denied by configured rule
Da jetzt nur die eine NAT Regel da ist, kann RFP doch gar nicht mehr stimmen, oder sehe ich das falsch?

Gruß und danke für eure Geduld...

Keks
Bitte warten ..
Mitglied: aqui
03.06.2013 um 17:16 Uhr
Für die Arbeitsplatz Rechner nimmt man in der Regel ja auch einen Pool oder noch besser Port Adress Translation (PAT)
SNAT macht man nur für Server.
Wenn du das sauber trennst muss es funktionieren.
Bitte warten ..
Mitglied: keksdieb
03.06.2013 um 19:11 Uhr
Hmm,

wie meinst du das mit dem Pool? Das verstehe ich nicht so ganz (kann auch an der späten Stunde liegen)

Gruß Keks
Bitte warten ..
Mitglied: keksdieb
03.06.2013 um 19:30 Uhr
Okay, das mit dem Pool würde ich gerne wissen, aber nachdem der Serveradmin die FW abgeschaltet hat läuft es...


grml grml.

Gruß Keks
Bitte warten ..
Mitglied: keksdieb
04.06.2013 um 09:47 Uhr
Also, es funktioniert nach abgeschalteter Firewall (auf dem RDP Server) mit dem NAT.

Für die Fehlersuche habe ich den packet-Tracer genommen, allerdings anders als in meinem Unwissenden Beispiel oben:

Befehl auf der ASA
01.
packet-tracer input "outside-interface" "protocol" "externe ip" "externer port" "eigene öffentliche IP" "weitergeleiteter Port"
In meinem Beispiel sa das dann so aus:
01.
packet-tracer input outside tcp 8.8.8.8 11234 123.456.789.123 3389 
02.
  
03.
  
04.
Phase: 1 
05.
Type: UN-NAT 
06.
Subtype: static 
07.
Result: ALLOW 
08.
Config: 
09.
object network Network_Obj_RDP 
10.
nat (inside-prod,outside) static interface service tcp 3389 3389 
11.
Additional Information: 
12.
NAT divert to egress interface inside-prod 
13.
Untranslate 123.456.789.123/3389 to 192.168.0.220/3389 
14.
  
15.
  
16.
Phase: 2 
17.
Type: ROUTE-LOOKUP 
18.
Subtype: input 
19.
Result: ALLOW 
20.
Config: 
21.
Additional Information: 
22.
in   0.0.0.0         0.0.0.0         outside 
23.
  
24.
  
25.
Phase: 3 
26.
Type: ACCESS-LIST 
27.
Subtype: log 
28.
Result: ALLOW 
29.
Config: 
30.
access-group outside-in in interface outside 
31.
access-list outside-in extended permit tcp any object Network_Obj_RDP eq 3389 log debugging 
32.
Additional Information: 
33.
  
34.
  
35.
Phase: 4 
36.
Type: IP-OPTIONS 
37.
Subtype: 
38.
Result: ALLOW 
39.
Config: 
40.
Additional Information: 
41.
  
42.
  
43.
Phase: 5 
44.
Type: VPN 
45.
Subtype: ipsec-tunnel-flow 
46.
Result: ALLOW 
47.
Config: 
48.
Additional Information: 
49.
  
50.
  
51.
Phase: 6 
52.
Type: NAT 
53.
Subtype: rpf-check 
54.
Result: ALLOW 
55.
Config: 
56.
object network Network_Obj_RDP 
57.
nat (inside-prod,outside) static interface service tcp 3389 3389 
58.
Additional Information: 
59.
  
60.
  
61.
Phase: 7 
62.
Type: USER-STATISTICS 
63.
Subtype: user-statistics 
64.
Result: ALLOW 
65.
Config: 
66.
Additional Information: 
67.
  
68.
  
69.
Phase: 8 
70.
Type: IP-OPTIONS 
71.
Subtype: 
72.
Result: ALLOW 
73.
Config: 
74.
Additional Information: 
75.
  
76.
  
77.
Phase: 9 
78.
Type: USER-STATISTICS 
79.
Subtype: user-statistics 
80.
Result: ALLOW 
81.
Config: 
82.
Additional Information: 
83.
  
84.
  
85.
Phase: 10     
86.
Type: FLOW-CREATION 
87.
Subtype: 
88.
Result: ALLOW 
89.
Config: 
90.
Additional Information: 
91.
New flow created with id 959, packet dispatched to next module 
92.
  
93.
  
94.
Result: 
95.
input-interface: outside 
96.
input-status: up 
97.
input-line-status: up 
98.
output-interface: inside-prod 
99.
output-status: up 
100.
output-line-status: up 
101.
Action: allow
Es werden alle Phasen des Verbindungsaufbaus beschrieben.

In Phase 1 wird die öffentliche IP Adresse (123.456.789.123 in die lokale umgewandelt (192.168.0.220).
In Phase 6 wird dann überprüft ob der Weg zurück auch richtig ist (RPF - Reverse Path Fail)

Dazwischen sieht man die einzelnen anderen Schritte, wie in Phase 3 das "abklappern" der ACL.

Im ersten Step habe ich selber einen RPF Violation verursacht, weil ich den Packet Tracer mit den falschen Parametern gestartet habe:
01.
packet-tracer input outside tcp 8.8.8.8 4567 192.168.0.220 3389 
02.
 
Es macht natürlich keinen Sinn, eine interne Adresse auf dem Outside Interface zu übersetzen....

Das Ergebnis:
01.
Phase: 1 
02.
Type: ROUTE-LOOKUP 
03.
Subtype: input 
04.
Result: ALLOW 
05.
Config: 
06.
Additional Information: 
07.
in   192.168.0.0     255.255.255.0   inside-prod 
08.
  
09.
  
10.
Phase: 2 
11.
Type: ROUTE-LOOKUP 
12.
Subtype: input 
13.
Result: ALLOW 
14.
Config: 
15.
Additional Information: 
16.
in   0.0.0.0         0.0.0.0         outside 
17.
  
18.
  
19.
Phase: 3 
20.
Type: ACCESS-LIST 
21.
Subtype: log 
22.
Result: ALLOW 
23.
Config: 
24.
access-group outside-in in interface outside 
25.
access-list outside-in extended permit tcp any object Network_Obj_RDP eq 3389 log debugging 
26.
Additional Information: 
27.
  
28.
Phase: 4 
29.
Type: IP-OPTIONS 
30.
Subtype: 
31.
Result: ALLOW 
32.
Config: 
33.
Additional Information: 
34.
  
35.
  
36.
Phase: 5 
37.
Type: VPN 
38.
Subtype: ipsec-tunnel-flow 
39.
Result: ALLOW 
40.
Config: 
41.
Additional Information: 
42.
  
43.
  
44.
Phase: 6 
45.
Type: NAT 
46.
Subtype: rpf-check 
47.
Result: DROP 
48.
Config: 
49.
object network Network_Obj_RDP 
50.
nat (inside-prod,outside) static interface service tcp 3389 3389 
51.
Additional Information: 
52.
  
53.
  
54.
Result:       
55.
input-interface: outside 
56.
input-status: up 
57.
input-line-status: up 
58.
output-interface: inside-prod 
59.
output-status: up 
60.
output-line-status: up 
61.
Action: drop 
62.
Drop-reason: (acl-drop) Flow is denied by configured rule
In Phase 6 kann man sehen, wie die Übersetzung versucht wird.
Es wird also nicht die interne Adresse nach aussen übersetzt, sondern die externe Adresse nach innen, wenn man den Fehler korrigiert hat, klappt es auch mit dem Verständnis für die NAT Einträge auf der ASA...

Ach ja, die Statischen NAT Einträge habe ich in der Reihenfolge nach oben gesetzt und die dynamischen NAT/PAT Einträge über die Network Objects angelegt. (ich glaube, dass ist es, was aqui mit Pools meint, bin mir aber nicht ganz sicher).

Die komplette NAT Konfig sieht jetzt so aus:
01.
nat (inside-prod,outside) source static Network_Obj_RDP interface service RDP RDP 
02.
nat (inside-prod,outside) source static any any destination static NETWORK_OBJ_192.168.0.96_28 NETWORK_OBJ_192.168.0.96_28 no-proxy-arp route-lookup description VPN Einwahl  
03.
04.
object network Network_Obj-Productiv 
05.
 nat (inside-prod,outside) dynamic interface 
06.
!
Vielen Dank an aqui für die Unterstützung und vor allem für die Geduld!
Das Supportforum von Cisco hat auch noch Schützenhilfe geleistet (https://supportforums.cisco.com).

Gruß Keksdieb
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Internet Domänen
gelöst Domain Host Eintrag In Richtfunk Netz (7)

Frage von Betact zum Thema Internet Domänen ...

Voice over IP
Voip hinter NAT (10)

Frage von Windows10Gegner zum Thema Voice over IP ...

DNS
gelöst Kann wpad Eintrag nicht erstellen (3)

Frage von Ex0r2k16 zum Thema DNS ...

Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (17)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...