Каждые несколько минут наш межсетевой экран Cisco ASA 5505 регистрирует ошибки, которые я не могу понять, имея ограниченный опыт работы с Cisco.
Severity Date Time Syslog ID Source IP Destination IP Description
3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3)
3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)
Зарегистрированный внутренний IP-адрес - это наш внутренний DNS-сервер, а внешние IP-адреса - это общедоступные DNS-серверы Google, которые мы используем в качестве пересылки в нашей локальной конфигурации BIND. ICMP Type 3 Code 3 означает «Порт недоступен».
Включены глобальные политики службы «Проверить DNS», «Проверить ICMP» и «Проверить ошибки ICMP» с картами проверки по умолчанию.
Наш «внешний» интерфейс имеет фиксированный IP-адрес, а наш «внутренний» интерфейс находится в подсети 10.10.0.0/16. IP-адрес 10.10.0.206 - это наш внутренний DNS-сервер BIND, и DNS разрешается нормально. Использование разных DNS-серверов пересылки, таких как OpenDNS, генерирует одни и те же ошибки.
Я потратил дни, пытаясь понять это, поэтому приветствую любые советы!
Вы можете попробовать следующее, от наиболее вероятного до наименее вероятного:
Если ничего из этого не решает проблему, попробуйте настроить записи следующим образом:
asa(config)# access-list test permit icmp host 10.10.0.200 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp host <outside interface IP> 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host 10.10.0.200
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host <outside interface IP>
asa# capture test1 access-list test interface outside trace
asa# capture test2 access-list test interface inside trace
Затем, после регистрации пары этих ошибок (если я правильно помню, это синтаксис):
asa# show capture test1 trace
asa# show capture test2 trace
Это похоже на несоответствие тайм-аутов таблицы состояний NAT межсетевого экрана и собственных тайм-аутов DNS-сервера.
Ваш DNS-сервер возвращает ICMP Port Unreachable, вероятно, в ответ на поздно полученный пакет. BIND выбирает случайный (ish) порт для каждого исходящего запроса, и ответ с длительной задержкой может прибыть спустя много времени после того, как BIND перестал прислушиваться к ответу на этом порту.
Возникает вопрос, почему межсетевой экран с радостью разрешает (поздно) возвращенный пакет, не позволяя впоследствии исправить ошибку ICMP.
Вот одна из причин, по которой мы видим это сообщение в нашем ASA:
regular translation creation failed for icmp src inside:10.x.x.3 dst outside:19.13.123.16
Когда ПК / сервер запускает торрент, он устанавливает много сеансов NAT. Когда пользователь затем закрывает / завершает работу торрент-клиента, мы получаем много этой ошибки в течение длительного времени.
Что с этим делать: не уверен. Почему вы получили это сообщение 8.8.8.8
Гугл публичный DNS, не shure. Это может быть программа, которая была завершена во время открытого сеанса с DNS-сервером.