Назад | Перейти на главную страницу

Cisco ASA регистрирует «сбой обычного преобразования для icmp…» для трафика DNS, но он работает.

Каждые несколько минут наш межсетевой экран Cisco ASA 5505 регистрирует ошибки, которые я не могу понять, имея ограниченный опыт работы с Cisco.

Severity Date        Time        Syslog ID Source IP  Destination IP  Description
3     Mar 25 2010 17:21:14 305006   8.8.8.8                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3)
3     Mar 25 2010 17:18:37 305006   8.8.4.4                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)

Зарегистрированный внутренний IP-адрес - это наш внутренний DNS-сервер, а внешние IP-адреса - это общедоступные DNS-серверы Google, которые мы используем в качестве пересылки в нашей локальной конфигурации BIND. ICMP Type 3 Code 3 означает «Порт недоступен».

Включены глобальные политики службы «Проверить DNS», «Проверить ICMP» и «Проверить ошибки ICMP» с картами проверки по умолчанию.

Наш «внешний» интерфейс имеет фиксированный IP-адрес, а наш «внутренний» интерфейс находится в подсети 10.10.0.0/16. IP-адрес 10.10.0.206 - это наш внутренний DNS-сервер BIND, и DNS разрешается нормально. Использование разных DNS-серверов пересылки, таких как OpenDNS, генерирует одни и те же ошибки.

Я потратил дни, пытаясь понять это, поэтому приветствую любые советы!

Вы можете попробовать следующее, от наиболее вероятного до наименее вероятного:

  • Возможно, вам потребуется включить «Inspect ICMP», чтобы ответы ICMP работали правильно - это относится к более новому программному обеспечению ASA (я считаю, что с версии 8.2)
  • Убедитесь, что у вас есть соответствующий оператор NAT на внутреннем интерфейсе и оператор GLOBAL на внешнем интерфейсе.
  • Убедитесь, что ваш список доступа на внутреннем интерфейсе разрешает исходящий ICMP, соответствующий этому трафику.

Если ничего из этого не решает проблему, попробуйте настроить записи следующим образом:

asa(config)# access-list test permit icmp host 10.10.0.200 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp host <outside interface IP> 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host 10.10.0.200
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host <outside interface IP>
asa# capture test1 access-list test interface outside trace
asa# capture test2 access-list test interface inside trace

Затем, после регистрации пары этих ошибок (если я правильно помню, это синтаксис):

asa# show capture test1 trace
asa# show capture test2 trace

Это похоже на несоответствие тайм-аутов таблицы состояний NAT межсетевого экрана и собственных тайм-аутов DNS-сервера.

Ваш DNS-сервер возвращает ICMP Port Unreachable, вероятно, в ответ на поздно полученный пакет. BIND выбирает случайный (ish) порт для каждого исходящего запроса, и ответ с длительной задержкой может прибыть спустя много времени после того, как BIND перестал прислушиваться к ответу на этом порту.

Возникает вопрос, почему межсетевой экран с радостью разрешает (поздно) возвращенный пакет, не позволяя впоследствии исправить ошибку ICMP.

Вот одна из причин, по которой мы видим это сообщение в нашем ASA:

regular translation creation failed for icmp src inside:10.x.x.3 dst outside:19.13.123.16

Когда ПК / сервер запускает торрент, он устанавливает много сеансов NAT. Когда пользователь затем закрывает / завершает работу торрент-клиента, мы получаем много этой ошибки в течение длительного времени.

Что с этим делать: не уверен. Почему вы получили это сообщение 8.8.8.8 Гугл публичный DNS, не shure. Это может быть программа, которая была завершена во время открытого сеанса с DNS-сервером.