# Problem mit einer Cisco ASA 5505 Reverse Path Filtering



## salzkrebs (8. August 2013)

Hallo Tutorial.de Community 

Ich habe derzeit ein Problem mit der Konfiguration einer Cisco ASA 5505 (Software Version 8.2(5)):

*Scenario:*
Ich habe 2 Sites die direkt durch eine ASA verbunden sind. Auf beiden Seiten befinden sich jeweils 2 Cisco Router in einer HSRP Group. Weiters befinden sich auf beiden Seiten jeweils ein Redhat Server.

*Site1:*
10.200.22.0/26 (VLAN 521)
10.200.23.0/24 (VLAN 522)
10.200.22.64/26 (LISP Address Space)

Server mit den IP Adressen 10.200.22.21, 10.200.23.21, 10.200.22.71 (LISP Adresse, wird über das 522 VLAN zu den Routern geschickt). Default Gateway = 10.200.23.1
Router mit der HSRP Adresse 10.200.22.48, 10.200.23.48.
ASA Adressen 10.200.22.1, 10.200.23.1!

*Site2: *
10.200.150.0/26 (VLAN 523)
10.200.151.0/24 (VLAN 524)

Server mit den IP Adressen 10.200.150.21, 10.200.151.21, Default Gateway = 10.200.151.1
Router mit der HSRP Adresse 10.200.150.48, 10.200.151.48
ASA Adressen 10.200.150.1, 10.200.151.1!

*Topology:*
Beide Seiten sehen gleich aus, der Server und die Router sind mit einem Cisco Switch verbunden und dieser ist mit einem trunk port mit der ASA verbunden.
Für das Lisp: 10.200.23.0 und 10.200.151.0 sind EID Netze, 10.200.22.0 und 10.200.150.0 sind RLOC Netze. Alle Router sind Map-Resolver und Map-Server, ITR und ETR (xTR). Die LISP Konfiguration funktioniert! Die Server haben eine Statische Route zu den Routern, wenn es um den LISP Adress Space geht!

[Server] ---- [Switch] ---- [ASA] ---- [Switch] ---- [Server]
.........................|..................................|
....................[Router].......................[Router]

*Problem:*
So das Problem ist jetzt, dass ich von der Site2 auf die LISP Adresse 10.200.22.71 zugreifen will. Meiner Ansicht nach geht das Packet vom Server zu dem Router, der Router weiß, dass sich die Adresse auf Site1 befindet (sehe ich durch den map-cache von LISP) und sendet das Packet weiter zu dem anderen Router. Der empfängt das Packet und schickt es weiter auf den Server. Der Server erkennt die Adresse und schickt die Antwort auf seinem Interface 10.200.23.21 wieder raus! Und die ASA wirft das Packet dann weg, aufgrung von dem reverse Path Filtering. 
So habe ich das Problem verstanden. Gibt es eine Möglichkeit das zu umegehn?
Weg des Packet:
10.200.151.21 (Server_Site2) -> 10.200.151.48 (Router_Site2) 10.200.150.48 -> 10.200.150.1 (ASA) 10.200.22.1 -> 10.200.22.48 (Router_Site1) 10.200.23.48 -> 10.200.22.71 (Server_Site1) 10.200.23.21 -> 10.200.23.1 (ASA)

Kann mir hier vielleicht irgendwer helfen? 

Lg Manuel


----------



## salzkrebs (19. August 2013)

Problem Solved!

Ein kleiner Fehler in der TCP-Bypass Konfiguration.

Lg


----------

