problema tcp three handshake

[magnumpi308]

Salve a tutti.
Dove lavoro, da qualche giorni ho messo in produzione due asa 5505 in modalità dual wan e High availabilty. lato lan ho la rete 192.168.7.0/24 a cui sono connessi parte dei server (per mezzo di un catalyst), il primary asa fa da default gw con ip 192.168.7.1, ho poi un'altra rete interna che è la 192.168.0.0/24 raggiungibile mediante il catalyst che fa da gateway e risponde all'indirizzo 192.168.7.254.

La cosa che abbiamo dovuto fare per motivi "politici" è che un server della rete 7 che apre una connessione verso un server sella rete 0 deve mandare il pacchetto all'interfaccia inside dell'asa che lo rispedirà sempre dalla stessa interfaccia al 192.168.7.254, che lo manderà a sua volta al server sulla rete 192.168.0.0/24. la risposta, invece, arrivando al catalyst verrà inviata direttavente al server sulla rete 192.168.7.0/24 senza passare per l'asa.

Per un paio di giorni il tutto funzionava, da qualche giorno, però, un server della rete 7 non riesce a mettere su sessioni tcp con un server della rete 0 e andando a tracciare il traffico sul server della rete 0 risulta che a quest'ultimo arriva il syn, lui rimanda il syn ack, e riceve in risposta l'rst. Il problema è stato temporaneamente risolto spengendo e riaccendendo l'asa.

Sapreste indicarmi la causa, sapendo che mettendo un firewall di un'altra marca al posto dell'asa per diversi anni non abbiamo mai avuto problemi (forse cisco introduce qualche sistema di sicurezza)


questa è la mia configurazione:
-------------
Saved
: Written by enable_15 at 16:34:33.769 UTC Thu Aug 2 2012
!
ASA Version 8.2(5)
!
hostname asa-primary
enable password xxxxxxxxxx encrypted
passwd xxxxxxxxx encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 4
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 5
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.7.1 255.255.255.0 standby 192.168.7.4
!
interface Vlan2
description ISP xxxxxx
backup interface Vlan4
nameif outside
security-level 0
ip address xxxxxxxxxx xxxxxxxx standby xxxxxxxxxx
!
interface Vlan4
description xxxxxxxx
nameif backup-isp
security-level 0
ip address xxxxxxx xxxxxxxxx standby xxxxxxxxxxxxxxx
!
interface Vlan5
description LAN Failover Interface
!
ftp mode passive
same-security-traffic permit intra-interface
access-list OUTSIDE_IN_ACL extended permit icmp any any

access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.0.0 255.255.0.0
pager lines 24
logging enable
logging timestamp
logging console errors
logging monitor warnings
logging buffered warnings
logging asdm warnings
mtu inside 1500
mtu outside 1500
mtu backup-isp 1500
ip local pool VPNPOOL 192.168.7.64-192.168.7.127 mask 255.255.255.0
failover
failover lan unit primary
failover lan interface faillink Vlan5
failover polltime unit 3 holdtime 10
failover key key1
failover interface ip faillink 10.0.5.10 255.255.255.0 standby 10.0.5.11
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (backup-isp) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 192.168.7.0 255.255.255.0
nat (outside) 1 192.168.7.64 255.255.255.192

access-group OUTSIDE_IN_ACL in interface outside
access-group OUTSIDE_IN_ACL in interface backup-isp
route outside 0.0.0.0 0.0.0.0 xxxxxxxxx 1 track 1
route backup-isp 0.0.0.0 0.0.0.0 xxxxxxxxxxxx 254
route inside 192.168.0.10 255.255.255.255 192.168.7.254 1
route inside 192.168.0.14 255.255.255.255 192.168.7.254 1
route inside 192.168.0.119 255.255.255.255 192.168.7.254 1
route inside 192.168.0.136 255.255.255.255 192.168.7.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server vpn-radius protocol radius
aaa-server vpn-radius (inside) host 192.168.7.11
key xxxxxxx
authentication-port 1812
accounting-port 1813
aaa authentication ssh console LOCAL
http server enable
http 192.168.7.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sla monitor 123
type echo protocol ipIcmpEcho 173.194.35.184 interface outside
num-packets 4
frequency 8
sla monitor schedule 123 life forever start-time now
crypto ipsec transform-set RA-TS esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DYN_MAP 10 set transform-set RA-TS
crypto map VPN_MAP 30 ipsec-isakmp dynamic DYN_MAP
crypto map VPN_MAP interface outside
crypto map VPN_MAP interface backup-isp
crypto isakmp enable outside
crypto isakmp enable backup-isp
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 3600
!
track 1 rtr 123 reachability
telnet timeout 5
ssh 192.168.7.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
management-access inside

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy company-vpn-policy internal
group-policy company-vpn-policy attributes
dns-server value 192.168.0.14 192.168.0.10
username admin password xxxxxxxxxxxxxxxx encrypted
username emiliano password xxxxxxxxxxxxxxxxxxxx encrypted
tunnel-group vpnclient type remote-access
tunnel-group vpnclient general-attributes
address-pool VPNPOOL
authentication-server-group vpn-radius
default-group-policy company-vpn-policy
password-management
tunnel-group vpnclient ipsec-attributes
pre-shared-key xxxxxxxxxxxxxxxx
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect ip-options
inspect tftp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:xxxxxxx
: end

--------------
Grazie mille

[magnumpi308]

Ciao,
sfortunatamente ho il tracciamento solo sul server interrogato della rete 0, poichè stavo pensando che il problema potrebbe essere dovuto al fatto che l'asa applica la randomize sequence number al pacchetto syn che invia il server della rete 7 passando per l'asa e diretto al server della rete 0; mentre, il syn ack di risposta, non passando per l'asa e arrivando direttamente sulla rete 7 al server, quest'ultimo lo vede non legato al syn che ha inviato precedentemente per cui invia l'rst.
Se così fosse potrei disattivare il randomize sequence number.
La cosa strana è che questo problema non me l'ha dato subito, ma dopo un certo tempo come se esistesse non una sorta di contatore.
Che ne pensate?

Grazie ancora

[magnumpi308]

Ciao,
ho risolto, quello che supponevo era vero. Per risolvere ho disattivato il random sequence number e il tcp state lato lan

alla fine ho risolto da solo e spero che possa servire ad altri

Saluti

[Rizio]

Grazie per la condivisione, sono sempre belle cose

Rizio