5 votes

Richard West avatar

Problèmes de transfert de fichiers via VPN lorsque Cisco IPS est activé

Demandé el 11 de Juin, 2009
Quand la question a-t-elle été
11439 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un pare-feu Cisco ASA 5510 avec le module IPS installé.

Nous avons un client auquel nous devons nous connecter via VPN à son réseau pour échanger des fichiers via FTP. Nous utilisons le client VPN de Cisco (version 5.0.01.0600) sur nos postes de travail locaux, qui sont derrière le pare-feu et soumis à l'IPS.

Le client VPN réussit à se connecter au site distant. Cependant, lorsque nous lançons le transfert de fichiers FTP, nous ne pouvons télécharger que 150 à 200 Ko de données, puis tout s'arrête. Une minute plus tard, la session VPN est abandonnée.

Je pense avoir isolé le problème de l'IPS en désactivant temporairement la politique de service sur l'ASA pour l'IPS avec la commande suivante :

access-list IPS line 1 extended permit ip 0.0.0.0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 inactive

Après l'émission de cette commande, j'ai établi le VPN vers le site distant et j'ai réussi à transférer l'intégralité du fichier.

Tout en restant connecté au VPN et à la session FTP, j'ai lancé la commande pour activer l'IPS :

access-list IPS ligne 1 extended permit ip 0.0.0.0 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0

J'ai donc fermé la session FTP et l'ai rouverte, tout en gardant la même session VPN ouverte. Ce transfert de fichier a également réussi. Cela m'a indiqué que rien dans les programmes FTP n'était filtré ou ne causait le problème. En outre, nous utilisons le FTP pour échanger des fichiers avec de nombreux sites tous les jours sans problème.

J'ai ensuite déconnecté la session VPN originale, qui avait été établie lorsque la liste d'accès était inactive, et j'ai reconnecté la session VPN, maintenant avec la liste d'accès active. Après avoir lancé le transfert FTP, le fichier s'est arrêté après 150K.

Il me semble que l'IPS bloque ou interfère d'une manière ou d'une autre avec la configuration initiale du VPN vers le site distant.

Cela n'a commencé à se produire que la semaine dernière après l'application des dernières mises à jour de la signature IPS (sig version 407.0). La version précédente de notre signature datait de 95 jours car le système ne se mettait pas à jour automatiquement.

Avez-vous des idées sur ce qui pourrait causer ce problème ?

Demandé el 11 de Juin, 2009 par Richard West

0 votes

Avatar de buzz

Avez-vous trouvé la solution au problème ?

Commenté el 5 de Janvier, 2010 par buzz

0 votes

Avatar de Richard West

La seule solution trouvée a été de désactiver les règles spécifiques qui ont été tirées. Ce n'est pas vraiment une bonne solution mais je devais la faire fonctionner.

Commenté el 8 de Janvier, 2010 par Richard West

0 votes

Avatar de Kirill Osenkov

Le client peut-il déployer un protocole plus sécurisé tel que scp ? FTP est dépassé et devrait vraiment être abandonné au profit de protocoles qui ne transmettent pas votre mot de passe en clair.

Commenté el 18 de Mars, 2010 par Kirill Osenkov
Afficher 2 autres commentaires

Réponses

Trop de publicités?

0voto

Oneiroi avatar
Oneiroi Points 1968

Si le transfert ftp est PASV, vous devez activer l'inspection des paquets et les ACL appropriées au niveau du pare-feu.

Faites d'abord une sauvegarde de votre configuration de fonctionnement !

Voici la procédure que j'ai suivie sur nos ASA 5505 de Cisco pour l'inspection des paquets.

  1. ssh/telnet vers le pare-feu
  2. activer
  3. conf t
  4. class-map inspection_default
  5. match default-inspection-traffic
  6. appuyez sur ctrl+z
  7. conf t
  8. politique-map global_policy
  9. classe inspection_default
  10. inspecter le ftp
  11. wr mem
Répondu el 4 de Février, 2010 par Oneiroi (1968 Points )

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Toute liste d'accès peut avoir plusieurs entrées vos clients vpn se seront vus attribuer un sous-réseau

La première ligne de l'acl de l'IPS doit refuser l'inspection du trafic vers/depuis le sous-réseau du client vpn. La deuxième ligne de l'acl doit permettre à l'IPS d'inspecter le reste du trafic. il peut être intéressant d'exclure l'inspection d'autres trafics tels que isakmp, gre, esp, ah etc sinon, j'aurais besoin d'en savoir plus sur votre configuration

Répondu el 19 de Mai, 2010 par Utilisateur non enregistré (0 Points )

-1voto

djangofan avatar
djangofan Points 4152

Je viens d'avoir une autre idée :

Il existe 2 types de VPN Cisco : IPSec sur UDP et IPSec sur TCP. Vous utilisez probablement la version TCP qui peut provoquer des pertes de paquets dans un scénario NAT. La version UDP du VPN est plus stable car les en-têtes TCP sont enveloppés différemment. En utilisant la version TCP, vous pouvez avoir des problèmes avec la traduction NAT. C'est très difficile à expliquer mais j'essaierais de modifier le type de protocole VPN côté client... changez-le en IPSec over UDP.

En fait, les autres réponses de ce fil de discussion suggèrent de modifier les paramètres MTU pour essayer de contourner les problèmes de IPSec sur TCP qui peuvent survenir dans un NAT. Ce n'est pas la solution. La solution est d'utiliser IPSec sur UDP et alors le MTU n'a pas d'importance.

Répondu el 13 de Avril, 2010 par djangofan (4152 Points )

0 votes

Avatar de djangofan

support.chem.cmu.edu/docs/troubleshooting-cisco-vpn.html

Commenté el 9 de Juin, 2010 par djangofan

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X