시골쥐의 공부생활

* 망 구성
10.100.30.101 -- VPN 1 -- ( Public ) -- VPN 2 (10.251.212.240) -- 10.90.65.182

10.100.30.101 -> 10.90.65.182로 pkt을 전송할 경우, 
VPN2 <-> 10.90.65.182 사이 망이 굉장히 복잡하여 10.100.30.101 - 10.90.65.182에 대한 라우팅을 설정할 수 없는 구간이다.

이에따라 아래와 같이 NAT를 설정했다.
NAT를 설정한 구간은, 10.100.30.101 --> 10.90.65.182 이며 'Use Outgoing Interface Address'를 설정했다.


* 설정방법
 . Policy & Objects > IPv4 Policy > 구간선택

* packet 확인
아래와 같이 10.100.30.101 -> 10.90.65.182 pkt이 인입될 경우
10.100.30.101은 10.251.212.240으로 Translation 되어 통신이 완료된다. 


FortiVPN # dia sniffer packet any 'host 10.90.65.182' 4
interfaces=[any]
filters=[host 10.90.65.182]
1.026395 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
1.026511 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121  
4.032451 iTest_server in 10.100.30.101.36277 -> 10.90.65.182.21: syn 2654734121 
4.032509 port4 out 10.251.212.240.36277 -> 10.90.65.182.21: syn 2654734121 
4.989417 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
4.989526 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 
7.990786 iTest_server in 10.100.30.101.40113 -> 10.90.65.182.21: syn 3357824665 
7.990834 port4 out 10.251.212.240.40113 -> 10.90.65.182.21: syn 3357824665 

문제가 발생했을 때 분석을 위해 알아본 Cisco ASA VPN의 packet 캡처 방법.

ASDM의 Monitoring에서 실시간 logging을 제공하나, ACL/NAT단에서 걸릴 경우 아무런 패킷도 Trace 창에 보이지 않게되는데, 이럴 때 유용한 패킷 캡처 방법이다.

1. packet capture 방법(설명)

- 출처: Cisco사 CLI 설명서 1: Cisco ASA Series 일반 운영 CLI 구성 가이드, 9.10 : 1223 page ~ 1228 page

옵션 값이 매우 많아서 자료를 그대로 들고왔다.

이렇게 패킷캡처를 설정한 후에는 아래와 같이 패킷 캡처를 보는 명령어가 별도로 존재한다.

패킷 캡처 설정 후, 아래 명령어를 실행해야 실제 캡처되는 패킷을 확인할 수 있다.

2. 설정 및 실습 - CLI

그렇게 직접 실습해 본 packet capture.

현재 20.20.20.50 - 20.20.20.246은 NAT 설정 오류로 인해 20.20.20.246 -> 20.20.20.50으로 Ping을 실행할 경우 packet이 drop되는 상태이다. 그래서 20.20.20.50 -> 20.20.20.246 방향과 20.20.20.246 -> 20.20.20.50 패킷 캡처를 진행해보았다.

1) packet capture

2) show capture

packet 캡처를 설정 후, show capture를 통해 패킷 캡처를 확인한다.

#show capture    // 전체 capture되고 있는 packet capture 확인

Result of the command: "show capture"
capture CAP_TEMP_AWS type raw-data buffer 2048 interface AWS [Capturing - 456 bytes] 
  match ip host 20.20.20.246 any 
  match ip host 20.20.20.248 any 
capture LOG_DROP type asp-drop all [Buffer Full - 524284 bytes] 
  match ip host 20.20.20.50 host 20.20.20.248 

2-1) 전체 packet capture 확인

#show capture // 전체 capture되고 있는 packet capture 확인 Result of the command: "show capture" capture

CAP_TEMP_AWS type raw-data buffer 2048 interface AWS [Capturing - 456 bytes] match ip host 20.20.20.246 any match ip host 20.20.20.248 any capture LOG_DROP type asp-drop all [Buffer Full - 524284 bytes] match ip host 20.20.20.50 host 20.20.20.248

2-2) 특정 packet capture 확인

그리고 원인 파악을 위해 show nat로 NAT를 확인한다.

설정된 NAT에는 패킷이 걸렸으나, 다른 이슈로 인해 untranslate가 되었다.

현재 왜 untranslate가 되었는지 파악하는 중이다.

2-2. 설정 및 실습 - ASDM

패킷캡처는 ASDM에서도 아래 방법을 통해 진행할 수 있다.

1) Configuration > Firewall > NAT Rules > Packet Trace

Packet Trace를 클릭 후 interface와 packet Type을 설정 후 설정값들을 입력하면 애니메이션과 함께 어떤 부분에서 어떤 rule이 적용됐는지 + 버튼을 통해 확인할 수 있다.

어떤 단계들을 거쳐왔는지 + 버튼을 통해 확인해본다.