Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

"No translation group found" su ASA5510

13 views
Skip to first unread message

Rizio

unread,
Sep 11, 2009, 11:33:21 AM9/11/09
to
Ciao a tutti,
sto litigando da tutto il giorno con un lurido ASA5510 che non ne vuole sapere
di farmi entrare in VPN dall'esterno, potete aiutarmi ?

Il problema e' quello in oggetto, ossia:
"%ASA-session-3-305005: No translation group found for udp src
outside:172.31.4.3/64189 dst inside:172.31.1.2/53"

cercando sul sito la definizione dell'errore e' la seguente:
Explanation A packet does not match any of the outbound nat command rules.

Recommended Action This message indicates a configuration error. If dynamic
NAT is desired for the source host, ensure that the nat command matches the
source IP address. If static NAT is desired for the source host, ensure that the
local IP address of the static command matches. If no NAT is desired for the
source host, check the ACL bound to the NAT 0 ACL.


Il problema nasce dal fatto che anche se aggiungo uno static continua a darmi
l'errore, percio' chiedevo a voi dove sto sbagliando.

-Non vorrei complicarmi la vita con nat e global e mi va bene che la net di
accesso del pool di indirizzi del VPN (172.31.4.0 255.255.255.0) mi vengano
mappati staticamente percio' inserisco questa riga nella conf:

static (outside,inside) 172.31.4.0 172.31.4.0 netmask 255.255.255.0

ma nonostante questo mi da errore lo stesso.

-Provando con il nat ho fatto cosi':

nat (outside) 0 172.31.4.0 255.255.255.0

senza nessuna regola di global.

Cosa sto sbagliando ?

Il resto della conf interessata e' questa:

interface Ethernet0/1
nameif inside
security-level 100
ip address 172.31.1.254 255.255.0.0
ip local pool vpnpool 172.31.4.1-172.31.4.100 mask 255.255.255.0

se serve altro chiedete pure
Grazie in anticipo
Rizio
--
Si dice che essere liberi significa non avere nulla da perdere...sembra facile a
prima vista...ma la veritᅵ ᅵ che non avere nulla da perdere significa essere
pronti a rischiare tutto ciᅵ che si possiede.

Francesco Paolini

unread,
Sep 11, 2009, 4:07:55 PM9/11/09
to
Rizio wrote:
> Ciao a tutti,
> sto litigando da tutto il giorno con un lurido ASA5510 che non ne vuole
> sapere di farmi entrare in VPN dall'esterno, potete aiutarmi ?

vpn fatta come? vpn client, anyconnect, o tra due asa?

>
> Il problema e' quello in oggetto, ossia:
> "%ASA-session-3-305005: No translation group found for udp src
> outside:172.31.4.3/64189 dst inside:172.31.1.2/53"
>
> cercando sul sito la definizione dell'errore e' la seguente:
> Explanation A packet does not match any of the outbound nat command
> rules.
>
> Recommended Action This message indicates a configuration error. If
> dynamic NAT is desired for the source host, ensure that the nat command
> matches the source IP address. If static NAT is desired for the source
> host, ensure that the local IP address of the static command matches. If
> no NAT is desired for the source host, check the ACL bound to the NAT 0
> ACL.
>

questo di solito si risolve con un nat(outside) 0 ...

>
> Il problema nasce dal fatto che anche se aggiungo uno static continua a
> darmi l'errore, percio' chiedevo a voi dove sto sbagliando.
>
> -Non vorrei complicarmi la vita con nat e global e mi va bene che la net
> di accesso del pool di indirizzi del VPN (172.31.4.0 255.255.255.0) mi
> vengano mappati staticamente percio' inserisco questa riga nella conf:
>
> static (outside,inside) 172.31.4.0 172.31.4.0 netmask 255.255.255.0

questo gli dice di fare nat. quindi ᅵ proprio l'opposto.

>
> ma nonostante questo mi da errore lo stesso.
>
> -Provando con il nat ho fatto cosi':
>
> nat (outside) 0 172.31.4.0 255.255.255.0

questo va bene

>
> senza nessuna regola di global.
>

anche questo

> Cosa sto sbagliando ?
>
> Il resto della conf interessata e' questa:
>
> interface Ethernet0/1
> nameif inside
> security-level 100
> ip address 172.31.1.254 255.255.0.0
> ip local pool vpnpool 172.31.4.1-172.31.4.100 mask 255.255.255.0
>
> se serve altro chiedete pure

serve anche la configurazione della vpn. manda giᅵ tutta la
configurazione dell'asa, magari sostituisci le password con asterischi e
togli gli ip pubblici

Tosh

unread,
Sep 11, 2009, 8:03:04 PM9/11/09
to
>> nat (outside) 0 172.31.4.0 255.255.255.0
>
> questo va bene
>

Non conosco nulla di quello che gira per quell'asa e che direzioni prenda il
traffico, ma qualcosa mi dice che il comando giusto � :
nat (inside) 0 blablablabla


Francesco Paolini

unread,
Sep 12, 2009, 2:52:17 AM9/12/09
to

hai ragione. io avevo letto inside...

Rizio

unread,
Sep 15, 2009, 3:57:42 AM9/15/09
to
Tosh ha scritto:

>>> nat (outside) 0 172.31.4.0 255.255.255.0
>> questo va bene
>>
>
> Non conosco nulla di quello che gira per quell'asa e che direzioni prenda il
> traffico, ma qualcosa mi dice che il comando giusto ᅵ :
> nat (inside) 0 blablablabla

Rispondo qui per rispondere a tutti e due.
Intanto grazie mille per le risposte, il problema pero' rimane.
Ho attivato il nat 0 (percio' nonat se ho capito bene dalla doc) sull'inside
senza alcun global ma continua a darmi l'errore.


provo ad allegarvi la conf relativa al problema:

hostname ASA
domain-name corp.inside
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.240
!


interface Ethernet0/1
nameif inside
security-level 100
ip address 172.31.1.254 255.255.0.0

!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.254 255.255.255.0
!
ftp mode passive
clock timezone UTC 1 59
dns domain-lookup outside
dns domain-lookup inside
dns domain-lookup dmz
dns server-group DefaultDNS
name-server 172.31.1.1
name-server 172.31.1.2
domain-name corp.inside
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list VPN_to_LAN remark Accesso alla LAN dai Client VPN
access-list VPN_to_LAN standard permit host 0.0.0.0
pager lines 24
logging enable
logging timestamp
logging console alerts
logging buffered warnings
logging trap errors
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500


ip local pool vpnpool 172.31.4.1-172.31.4.100 mask 255.255.255.0

no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 2 INDIRIZZO_PUBBLICO
global (dmz) 1 interface
nat (inside) 0 access-list nonat
!
! RIGA INCRIMINATA
nat (inside) 0 172.31.4.0 255.255.255.0
!
!
nat (inside) 1 172.31.0.0 255.255.0.0
nat (inside) 1 192.168.0.0 255.255.0.0
nat (dmz) 2 INDIRIZZO_DMZ 255.255.255.255
nat (dmz) 1 192.168.1.0 255.255.255.0
static (dmz,outside) tcp INDIRIZZO_PUBBLICO ftp INDIRIZZO_DMZ ftp netmask
255.255.255.255
static (dmz,outside) tcp INDIRIZZO_PUBBLICO ftp-data INDIRIZZO_DMZ ftp-data
netmask 255.255.255.255
static (dmz,outside) tcp INDIRIZZO_PUBBLICO https INDIRIZZO_DMZ https netmask
255.255.255.255
static (inside,dmz) udp 172.31.1.2 domain 172.31.1.2 domain netmask 255.255.255.255
static (inside,dmz) udp 172.31.1.1 domain 172.31.1.1 domain netmask 255.255.255.255
static (dmz,outside) tcp INDIRIZZO_PUBBLICO smtp INDIRIZZO_DMZ smtp netmask
255.255.255.255
static (dmz,inside) INDIRIZZO_DMZ INDIRIZZO_DMZ netmask 255.255.255.255
!
access-group acl-out in interface outside
access-group acl-int in interface inside
access-group acl-dmz in interface dmz
!
route outside 0.0.0.0 0.0.0.0 ROUTER_EXT 1
route inside 192.168.2.0 255.255.255.0 172.31.1.253 1
route inside 192.168.10.0 255.255.255.0 172.31.1.1 1
route inside 0.0.0.0 0.0.0.0 172.31.1.1 tunneled
!
dynamic-access-policy-record DfltAccessPolicy
eou allow none
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds
288000
crypto dynamic-map Outside_dyn_map 10 set reverse-route
crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
vpn-addr-assign local reuse-delay 10
ssh timeout 20
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400
average-rate 200
ntp server 193.204.114.232 source outside
webvpn
group-policy DfltGrpPolicy attributes
group-policy VPN internal
group-policy VPN attributes
banner value State accedendo ad una rete privata !
banner value se non siete stati abilitati a farlo dal personale di servizio
banner value siete obbligati ad interrompere immediatamente ogni tentativo di
accesso
dns-server value 172.31.1.2 172.31.1.1
vpn-tunnel-protocol IPSec svc webvpn
split-tunnel-policy excludespecified
split-tunnel-network-list value VPN_to_LAN
default-domain value corp.inside
msie-proxy server value proxy
msie-proxy method use-server
msie-proxy local-bypass enable
address-pools value vpnpool
username admin password removed encrypted privilege 15
username user1 password removed encrypted
username user1 attributes
vpn-group-policy VPN
ipv6-vpn-filter none
vpn-tunnel-protocol IPSec svc webvpn
group-lock value VPN
service-type remote-access
webvpn
svc ask enable default webvpn timeout 30
tunnel-group VPN type remote-access
tunnel-group VPN general-attributes
address-pool vpnpool
default-group-policy VPN
tunnel-group VPN ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global

Grazie in anticipo.

Marco Giuliani

unread,
Oct 17, 2009, 2:58:57 PM10/17/09
to
Rizio ha scritto:

> Ho attivato il nat 0 (percio' nonat se ho capito bene dalla doc)
> sull'inside senza alcun global ma continua a darmi l'errore.
>

Il nat 0 serve a evitare il nat. Quindi al nat 0 non si associa mai
alcun global.


>
>
> ip local pool vpnpool 172.31.4.1-172.31.4.100 mask 255.255.255.0

quindi la subnet dei client vpn ᅵ 172.31.4.0/24....

> nat (inside) 0 access-list nonat

manca la access-list nonat...

> !
> ! RIGA INCRIMINATA
> nat (inside) 0 172.31.4.0 255.255.255.0
> !

questa riga ᅵ sbagliata: dalla interfaccia inside non entreranno mai
pacchetti con ip sorgente 172.31.4.0/24.

Anche una regola come questa

nat (outside) 0 172.31.4.0 255.255.255.0

anche se formalmente corretta in questo caso non serve.

Per far si che la subnet dei vnp client 172.31.4.0 parli con gli host
della 172.31.1.0/24 bastano due righe...
################


nat (inside) 0 access-list nonat

access-list nonat extended permit ip 172.31.1.0 255.255.255.0 172.31.4.0
255.55.255.0
###############

ciao

0 new messages