router sem fios cisco que não permite o handshake tcp total quando no modo router

Navegue suas respostas
0

Eu tenho um roteador sem fio recentemente adquirido cisco rv220w. Minha configuração é a seguinte: 

Internet -> asa 5505 -> 10.0.1.0 subnet -> wireless router

(sub-rede 10.0.3.0, ip voltado para o público é 10.0.1.140).

Eu posso pingar entre as duas sub-redes bem, mas não muito mais. Eu fiz uma captura de pacotes com wireshark e notei algo realmente interessante. Se eu tentar conectar-me de uma máquina da sub-rede 10.0.1.0 à sub-rede 10.0.3.0, digamos área de trabalho remota para este exemplo, recebo um SYN, depois um SYN_ACK e, em seguida, não ACK de volta. Somente um reset (RST) é enviado da máquina que está iniciando a conexão.

Isso é super estranho. Qualquer ajuda seria, por favor, apreciada. Eu tenho as capturas detalhadas, se necessário. Além disso, aqui está o resultado do rastreamento de pacotes de, digamos, um computador na sub-rede 10.0.1.0 tentando se tornar remoto em um computador na sub-rede 10.0.3.0: 

packet-tracer input inside tcp 10.0.1.46 33000 10.0.3.151 3389

Phase: 1
Type: FLOW-LOOKUP'
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.3.0        255.255.255.0   inside

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_access_in in interface inside
access-list inside_access_in extended permit tcp any any object-group DM_INLINE_TCP_1
object-group service DM_INLINE_TCP_1 tcp
 group-object ftpdatatls
 group-object ftptls
 group-object gtalk
 group-object imapssl
 group-object smtp2
 group-object smtpssl
 group-object sqlserver
 port-object eq ftp
 port-object eq ftp-data
 port-object eq www
 port-object eq https
 port-object eq imap4
 port-object eq pop3
 port-object eq smtp
 port-object eq ssh
 port-object eq telnet
 group-object internetradio
 port-object eq whois
 group-object webmail
 group-object rdp
 group-object mtbogcweb
 group-object git
 group-object iCloudSMTP
 group-object whm
 group-object utahsde
 port-object eq 1401
 port-object eq 5442
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT-EXEMPT
Subtype:
Result: ALLOW
Config:
  match ip inside 10.0.1.0 255.255.255.0 inside 10.0.3.0 255.255.255.0
    NAT exempt
    translate_hits = 23, untranslate_hits = 0
Additional Information:

Phase: 7
Type: NAT-EXEMPT
Subtype: rpf-check
Result: ALLOW
Config:
  match ip inside 10.0.3.0 255.255.255.0 inside 10.0.1.0 255.255.255.0
    NAT exempt
    translate_hits = 0, untranslate_hits = 23
Additional Information:

Phase: 8
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside) 1 0.0.0.0 0.0.0.0
  match ip inside any inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 9
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
nat (inside) 1 0.0.0.0 0.0.0.0
  match ip inside any inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 10
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
nat (inside) 1 0.0.0.0 0.0.0.0
  match ip inside any inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 11
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
nat (inside) 1 0.0.0.0 0.0.0.0
  match ip inside any inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 1, untranslate_hits = 0
Additional Information:

Phase: 12
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 77684, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
    
por sovemp 23.04.2014 / 17:46

2 respostas

0

Então, finalmente alguém do reddit me apontou na direção certa. A solução que funcionou para mim está aqui: link .

Parece que o ASA estava randomizando os números de sequência, o que estava confundindo o roteador sem fio. Especificamente, adicionei 

set connection advanced-options tcp-state-bypass

à minha política de inspeção global.

    
por 24.04.2014 / 23:30
0

Se eu entendi corretamente, sua configuração completa é:

Internet -> asa 5505 -> 10.0.1.0 subnet -> wireless router -> 10.0.3.0 subnet

Como o roteador sem fio é novo, acredito que todo o PC na sub-rede 10.0.1.0 esteja usando o asa 5505 como gateway padrão. Como resultado, os pacotes provenientes de 10.0.1.0 a 10.0.3.0 são traduzidos para o pool 1, que de alguma forma atrapalha o fluxo de pacotes.

Tente: 1. Alterar o gateway padrão para todos os PCs na sub-rede 10.0.1.0 para o roteador sem fio, ou 2. desativar nating ao pool 1

    
por 23.04.2014 / 18:18

Tags

Chamadas do Skype não resolvidas Troca do disco rígido do Windows [duplicado]