ASA5510 VPN NAT Problem: portmap translation creation failed

[shoty 10]

Hi,

 

ich versuche hier gerade an meiner ASA VPN einzurichten, das hat auch alles wunderbar geklappt! Ich kann mich mit meinem VPN Client an der Firewall anmelden und bekomme auch eine IP: 10.24.3.10!

Wenn ich aber nun eine Interne Adresse (10.99.0.8) anpingen möchte, bekomme ich immer die Fehlermeldung:

 

portmap translation creation failed for udp src Outside:10.24.3.10/137 dst NLs:10.24.3.255/137

portmap translation creation failed for icmp src Outside:10.24.3.10 dst DRC_SRV_Inside:10.99.0.8 (type 8, code 0)

 

Hier meine Konfig:

 

ASA Version 8.0(4)3

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list DRC_Server_access_in extended permit ip any any log warnings

access-list NLs_access_in extended permit ip any any log warnings

access-list BT_access_in extended permit icmp any any log warnings

access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.99.1.0 255.25

5.255.240

access-list DRC_SRV_Inside_nat0_outbound extended permit ip any 10.24.3.0 255.25

5.255.0

access-list Outside_access_in extended permit icmp any any log warnings

pager lines 24

mtu Outside 1500

mtu GlobalMP 1500

mtu NLs 1500

mtu DRC_SRV_Inside 1500

ip local pool VPNPool 10.24.3.10-10.24.3.254 mask 255.255.255.0

ip verify reverse-path interface Outside

ip verify reverse-path interface GlobalMP

ip verify reverse-path interface NLs

ip verify reverse-path interface DRC_SRV_Inside

icmp unreachable rate-limit 1 burst-size 1

arp timeout 14400

global (Outside) 1 interface

global (GlobalMP) 1 interface

nat (Outside) 1 10.24.3.0 255.255.255.0 outside

nat (DRC_SRV_Inside) 0 access-list DRC_SRV_Inside_nat0_outbound

nat (DRC_SRV_Inside) 1 0.0.0.0 0.0.0.0

access-group Outside_access_in in interface Outside

access-group BT_access_in in interface GlobalMP

access-group NLs_access_in in interface NLs

access-group DRC_Server_access_in in interface DRC_SRV_Inside

route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1

route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1

route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1

dynamic-access-policy-record DfltAccessPolicy

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map Outside_dyn_map 20 set pfs

crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA

crypto dynamic-map Outside_dyn_map 20 set security-association lifetime seconds

28800

crypto dynamic-map Outside_dyn_map 20 set security-association lifetime kilobyte

s 4608000

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128

-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256

-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life

time seconds 28800

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association life

time kilobytes 4608000

crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map

crypto map Outside_map interface Outside

crypto isakmp enable Outside

crypto isakmp policy 10

X

crypto isakmp ipsec-over-tcp port 10000

telnet timeout 30

ssh timeout 5

console timeout 0

e-rate 200

group-policy xxxxx internal

group-policy xxxxx attributes

dns-server value 10.99.0.20 192.168.250.3

vpn-tunnel-protocol IPSec svc

ip-comp enable

re-xauth enable

group-lock value xxxxxxxx

pfs enable

default-domain value de.xxxxxxxxx.com

vpn-group-policy xxxxxxx

tunnel-group xxxxxxx type remote-access

tunnel-group xxxxxxx general-attributes

address-pool VPNPool

default-group-policy xxxxxxx

tunnel-group xxxxxxx ipsec-attributes

pre-shared-key xxxxxxx

!

class-map global-class

match default-inspection-traffic

!

!

policy-map global-policy

class global-class

inspect ftp

inspect icmp

!

service-policy global-policy global

 

: end

-------

Ich hoffe es kann mir jemand helfen.... THX:D

[blackbox 10]

Das ganze hört sich nach einem Fehler im "NAT" an. Schau dir das ganze mal an - ich bin etwas erstaunt, weil deine NAT0 Regel aus 2 besteht - normalerweise sollte die von <-> an sein und reichen.

 

Kann es sein das die Route "route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1" irgendwie nicht passt - das ganze 10er Netz auf eine 10er Adresse ?

[shoty 10]

hi Blackbox.... danke für die schnelle Antwort....

 

hab die Sache mal mit einer NAT0 Regel getestet, leider kein Erfolg!

 

eigentlich sieht das Routing so aus: (Ich hatte nur nicht so viel Zeichen zum erstellen meiner Anfrage:()

 

route NLs 10.0.0.0 255.0.0.0 10.99.1.2 1

route GlobalMP 10.0.9.17 255.255.255.255 10.24.0.5 1

route GlobalMP 10.13.16.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.13.17.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.13.18.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.13.22.40 255.255.255.255 10.24.0.5 1

route GlobalMP 10.13.22.41 255.255.255.255 10.24.0.5 1

route GlobalMP 10.13.22.47 255.255.255.255 10.24.0.5 1

route GlobalMP 10.13.22.48 255.255.255.255 10.24.0.5 1

route GlobalMP 10.13.22.49 255.255.255.255 10.24.0.5 1

route GlobalMP 10.14.2.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.14.5.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.14.6.33 255.255.255.255 10.24.0.5 1

route GlobalMP 10.14.33.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.15.6.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.19.111.0 255.255.255.0 10.24.0.5 1

route NLs 10.30.1.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.2.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.5.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.6.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.7.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.10.0 255.255.255.192 10.99.1.5 1

route NLs 10.30.52.0 255.255.255.0 10.99.1.5 1

route NLs 10.30.104.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.9.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.85.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.86.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.94.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.97.0 255.255.255.192 10.99.1.5 1

route NLs 10.90.98.0 255.255.255.192 10.99.1.5 1

route NLs 10.91.2.0 255.255.255.192 10.99.1.5 1

route GlobalMP 10.99.2.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.149.10.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.151.0.0 255.255.0.0 10.24.0.5 1

route GlobalMP 10.152.4.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.152.5.0 255.255.255.0 10.24.0.5 1

route GlobalMP 10.152.104.44 255.255.255.255 10.24.0.5 1

route GlobalMP 10.153.0.0 255.255.255.0 10.24.0.5 1

route DRC_SRV_Inside 192.168.0.0 255.255.0.0 10.99.0.8 1

route Outside 0.0.0.0 0.0.0.0 212.xxx.xxx.xxx 1

 

Ich denke aber nicht, das es am Routing liegt, das komische ist, wenn ich eine Statische NAT Regel anlege:

static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0

 

im ASDM kommt dabei diese Fehlermeldung:

 

[WARNING] static (Outside,DRC_SRV_Inside) interface 10.24.3.10 netmask 255.255.255.255 tcp 0 0 udp 0

All traffic destined to the IP address of the DRC_SRV_Inside interface is being redirected.

WARNING: Users will not be able to access any service enabled on the DRC_SRV_Inside interface.

 

aber der Ping funktioniert dann!!!:confused:

[hegl 10]

Dein NAT und die ACL für das VPN sehen eigentlich ganz gut aus.

 

Ich denke auch eher, dass Du irgendwo ein Problem beim routing hast.

Mich verwundert vor allem die "redirect-Meldung", wenn Du den static konfigurierst.

[shoty 10]

wie sollte die Route dann ausschauen?? Und beim Statischen NAT funktionierts ja auch ohne was an den Routen zu ändern! :confused: :cry:

[blackbox 10]

Hi,

 

wenn du den ASDM verwendest - dann nimm doch mal die "test" funktion und simuliere das Paket und schau mal wo er meckert.

[shoty 10]

Mit dem Packet Tracer zeigt er mir die Fehlermeldung:

(rpf-violated) Reverse-path verify failed

 

Das Komische ist aber, von der Firewall aus kann ich den Client (10.24.3.10) anpingen und von dem Client kann ich auch das Interface 10.99.0.1 anpingen, nur alles was dahinter ist z.B. 10.99.0.8 bekomme ich keine Antwort!:mad:

[blackbox 10]

Dann kommt er mit dem Rück Routing nicht zurecht. Da haben wir irgendwo ein Routing Prob.