事象
CiscoASAにて通信監理をしている環境で以下のように同一ポートにTCP/UDPの許可設定を利用するも
access-list acl_out line X extended permit tcp object-group xx eq 5000 log access-list acl_out line X extended permit udp object-group xx eq 5000 log
WindowsのTest-NetConnectionではエラーとなる。
PS > Test-NetConnection xx -Port 5000 警告: TCP connect to (xx : 5000) failed ComputerName : xx RemoteAddress : xx RemotePort : 5000 InterfaceAlias : Ethernet0 2 SourceAddress : yy PingSucceeded : True PingReplyDetails (RTT) : 3 ms TcpTestSucceeded : False
環境情報
- Cisco Adaptive Security Appliance Software Version 9
- Windows 10
原因/解決策
UDPの設定を入れている状態でも実際は対向サーバに接続できている。
また、UDPのpermit設定を外すと以下のように疎通確認の結果が(True)となる。
PS > Test-NetConnection xx -Port 5000 ComputerName : xx RemoteAddress : xx RemotePort : 5000 InterfaceAlias : Ethernet0 2 SourceAddress : yy TcpTestSucceeded : True
以下、補足です。
補足
ネットワーク機器でアクセス制御をしている場合に疎通確認は以下記事にもある通りPowershellに内蔵されているコマンドで確認ができます。
一方でCiscoASA側でhitcntの値を確認すると数値は上昇し、対向サーバ側でも通信が来ていることが確認できるためコマンドの結果としてはNGとなるも実際は疎通できていることが分かりました。
本当に疎通確認ができない場合は上の記事にもある通り以下のようになるので
PS C:\Users\XX> Test-NetConnection xx -Port 5000 警告: TCP connect to xx failed 警告: Ping to xx failed -- Status: TimedOut ...
UDPでアクセスを追加した場合に起きる事象として認識しました。
以上、同様の事象が発生した方の参考になれば幸いです。