A ver si alguien me puede ayudar...
Escenario:
..............|---RouterA (1811) (192.168.80.2)
PC-----ASA--- (192.168.80.1)
10.138... |---RouterB (3845) (192.168.80.3)
El ASA tiene el IOS 7.2(2)
Se desea que desde la PC se pueda hacer SSH a ambos routers...
access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.3 eq ssh log critical
access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.2 eq ssh log critical
Hasta ahi todo bien... peeeeeeeerrrrrroooo...
Resulta que deja conectarse al Router A sin problemas pero el ASA bloquea el acceso al Router B, osea la vuelta de la respuesta TCP SYN; dando el siguiente mensaje.
Lo simpatico es que funciona el ssh entre ambos routers... ya me estoy quedando sin ideas...
Alguien me puede "iluminar"?
Escenario:
..............|---RouterA (1811) (192.168.80.2)
PC-----ASA--- (192.168.80.1)
10.138... |---RouterB (3845) (192.168.80.3)
El ASA tiene el IOS 7.2(2)
Se desea que desde la PC se pueda hacer SSH a ambos routers...
access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.3 eq ssh log critical
access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.2 eq ssh log critical
Hasta ahi todo bien... peeeeeeeerrrrrroooo...
Resulta que deja conectarse al Router A sin problemas pero el ASA bloquea el acceso al Router B, osea la vuelta de la respuesta TCP SYN; dando el siguiente mensaje.
Cita:
| 106015 Error Message %PIX|ASA-6-106015: Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name. Explanation The security appliance discarded a TCP packet that has no associated connection in the security appliance connection table. The security appliance looks for a SYN flag in the packet, which indicates a request to establish a new connection. If the SYN flag is not set, and there is not an existing connection, the security appliance discards the packet. Recommended Action None required unless the security appliance receives a large volume of these invalid TCP packets. If this is the case, trace the packets to the source and determine the reason these packets were sent. |
Alguien me puede "iluminar"?
Respuesta
El problema no es de protocolos SSH el problema lo tenes con las subredes
el error te dice que pasa,,, sino tenes un SYN no tenes conexiones habilitadas en la tabla del Pix, el pix no reconoce los paquetes que quieren entrar y los bloquea...
verifica como tenes declaradas las ip's en tu pix
habilita los rangos!
cada pix cuando se desea iniciar una sesion TCP
genera una entrada en una tabla donde mapea las ips
y si esas ips no estan permitidas o no existe esa entrada en la tabla
la conexion despues de un lapso de tiempo expira o directamente es denegada
fijate tambien que rango de tiempo de expiracion tienen tus entradas en esa tabla
verifica como tenes armadas las ACL's
acordate que toda sesion TCP necesita de un ACK
combinados todos estos conceptos con el mensaje que te tiro el pix tenes que poder resolver el tema..
el error te dice que pasa,,, sino tenes un SYN no tenes conexiones habilitadas en la tabla del Pix, el pix no reconoce los paquetes que quieren entrar y los bloquea...
verifica como tenes declaradas las ip's en tu pix
habilita los rangos!
cada pix cuando se desea iniciar una sesion TCP
genera una entrada en una tabla donde mapea las ips
y si esas ips no estan permitidas o no existe esa entrada en la tabla
la conexion despues de un lapso de tiempo expira o directamente es denegada
fijate tambien que rango de tiempo de expiracion tienen tus entradas en esa tabla
verifica como tenes armadas las ACL's
acordate que toda sesion TCP necesita de un ACK
combinados todos estos conceptos con el mensaje que te tiro el pix tenes que poder resolver el tema..