ASA proxy inspector drop reset

[fizik051]

Здравствуйте, коллеги! Есть межсетевой экран Cisco ASA. Стоит на границе сети. На нем организована DMZ в которой находится WEB-сервер. Доступ к серверу из Интернета организуется с помощью Static NAT. Все прекрасно работало. Потом почему-то из сети МТС стали дропаться пакеты. Причем только из сети МТС! Пользователи других операторов не испытывают проблем с доступом.

В логах ошибки следующего характера:

4 Aug 22 2016 15:27:35 217.X.X.0 24352 172.16.X.X 80 tcp flow from Outside2:217.X.X.X/24352 to dmz:172.16.X.X/80 terminated by inspection engine, reason - proxy inspector drop reset.

 

При этом инспекция http трафика выключена. В чем может быть проблема и куда копать?

Заранее спасибо!

P.S. Задавал вопрос на форуме Cisco, но там за целую неделю так никто и не ответил.

[Ivan_83]

Инфы ноль.

Втыкайся/зеркалируй и смотри tcpdump~ом что там реально от мтс валит.

Скорее может mss либо опции странные, но может какой то глюк кошки, вдруг ей ребут с выдёргиванием питалова нужен для лечения.

[Xaool]

"Только через МТС"

У тебя два оператора или ты имеешь ввиду трафик приходящий от МТС?

Покажи sh run policy-map и sh run class-map

[fizik051]

"Только через МТС"

У тебя два оператора или ты имеешь ввиду трафик приходящий от МТС?

Покажи sh run policy-map и sh run class-map

Абоненты сети MTS не могут достучаться до WEB сервака.

class-map Class-SIP

match precedence 1

class-map global-class

match default-inspection-traffic

class-map icmp-class

match default-inspection-traffic

class-map dmz-class

match precedence 1

class-map Class-VOICE

match access-list VoIP-Traffic-OUT

class-map class_bypass

match precedence 1

class-map Voice-IN

match access-list VoIP-Traffic-IN

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

policy-map global-policy

class global-class

inspect icmp

inspect ftp

inspect h323 h225

inspect dns

inspect rtsp

policy-map icmp_policy

class icmp-class

inspect icmp

policy-map type inspect http Default

parameters

protocol-violation action drop-connection

policy-map policy_bypass

description SIP

class class_bypass

set connection advanced-options tcp-state-bypass

inspect h323 h225

class Class-SIP

inspect sip

policy-map dmz-policy

class dmz-class

inspect sip

priority

policy-map type inspect dns migrated_dns_map_1

parameters

message-length maximum client auto

message-length maximum 512

policy-map VoicePolicy

class Class-VOICE

priority

class Voice-IN

priority

!

service-policy global-policy global

service-policy policy_bypass interface Inside

service-policy policy_bypass interface Outside

[vlad11]

Показывайте дампы траффика.

Скорее всего проблемы MTU на трассе

[fizik051]

Показывайте дампы траффика.

Скорее всего проблемы MTU на трассе

Здесь 217.66.156.* IP клиента МТС. Он стучится на внешний адрес (на ASA выделен IP), срабатывает Static NAT и переадресует на сервак в DMZ - 172.16.0.62

https://drive.google.com/file/d/0B-5kZl7ixcSKQl8zNVowaWFlUnc/view?usp=sharing - Дамп

Edited September 2, 2016 by fizik051

[Xaool]

"Только через МТС"

У тебя два оператора или ты имеешь ввиду трафик приходящий от МТС?

Покажи sh run policy-map и sh run class-map

Абоненты сети MTS не могут достучаться до WEB сервака.

class-map Class-SIP

match precedence 1

class-map global-class

match default-inspection-traffic

class-map icmp-class

match default-inspection-traffic

class-map dmz-class

match precedence 1

class-map Class-VOICE

match access-list VoIP-Traffic-OUT

class-map class_bypass

match precedence 1

class-map Voice-IN

match access-list VoIP-Traffic-IN

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

policy-map global-policy

class global-class

inspect icmp

inspect ftp

inspect h323 h225

inspect dns

inspect rtsp

policy-map icmp_policy

class icmp-class

inspect icmp

policy-map type inspect http Default

parameters

protocol-violation action drop-connection

policy-map policy_bypass

description SIP

class class_bypass

set connection advanced-options tcp-state-bypass

inspect h323 h225

class Class-SIP

inspect sip

policy-map dmz-policy

class dmz-class

inspect sip

priority

policy-map type inspect dns migrated_dns_map_1

parameters

message-length maximum client auto

message-length maximum 512

policy-map VoicePolicy

class Class-VOICE

priority

class Voice-IN

priority

!

service-policy global-policy global

service-policy policy_bypass interface Inside

service-policy policy_bypass interface Outside

[/qoute]

 

Покажи что в акцесс листе default-inspection-traffic

Создай class-map test http в policy-map global-policy и добавь для теста iinspect http

[fizik051]

Покажи что в акцесс листе default-inspection-traffic

Создай class-map test http в policy-map global-policy и добавь для теста iinspect http

Да нет такого access-list-а ) это же дефолтный, под него весь трафик попадает.

Включение/выключение инспекции - первое что попробовал, ситуация не меняется. В инете удалось найти только одну статью по поводу ошибки proxy inspector drop reset, там советуют отключить инспектирование http.

[Tosha]

А не включено каких-либо инспекций проверки обратного маршрута?

[fizik051]

А не включено каких-либо инспекций проверки обратного маршрута?

как это проверить? я просто не слышал о такой инспекции.

[zi_rus]

rpf ошибка по-другому выглядит

Sep 03 2016 09:11:54: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::16 on interface WiFi

 

я голосую за то что МТС портит трафик своим DPI

[fizik051]

я голосую за то что МТС портит трафик своим DPI

Может и портит, но дропается он на ASA. Может можно как-то ее поднастроить, чтобы этого не происходило? Просто смущает тот факт, что пакет дропается из-за инспектирования трафика, но инспектирование выключено!

[zi_rus]

вообще в дампе видно что RST прилетает с адреса МТС. либо дело в МТС, либо это ответная реакция на что-то что посылает ASA, тогда дамп неполный