(O+P)ut

アウトプット



(O+P)ut

エンジニアのアウトプット

【CiscoASA】permit udpを行うとWindowsのTest-NetConnectionでfailedとなる事象

スポンサーリンク

事象

CiscoASAにて通信監理をしている環境で以下のように同一ポートにTCP/UDPの許可設定を利用するも

access-list acl_out line X extended permit tcp object-group xx  eq 5000 log
access-list acl_out line X extended permit udp object-group xx  eq 5000 log

WindowsのTest-NetConnectionではエラーとなる。

PS > Test-NetConnection xx -Port 5000
警告: TCP connect to (xx : 5000) failed

ComputerName           : xx
RemoteAddress          : xx
RemotePort             : 5000
InterfaceAlias         : Ethernet0 2
SourceAddress          : yy
PingSucceeded          : True
PingReplyDetails (RTT) : 3 ms
TcpTestSucceeded       : False
環境情報
  • Cisco Adaptive Security Appliance Software Version 9
  • Windows 10

原因/解決策

UDPの設定を入れている状態でも実際は対向サーバに接続できている。

また、UDPのpermit設定を外すと以下のように疎通確認の結果が(True)となる。

PS > Test-NetConnection xx -Port 5000

ComputerName     : xx
RemoteAddress    : xx
RemotePort       : 5000
InterfaceAlias   : Ethernet0 2
SourceAddress    : yy
TcpTestSucceeded : True

以下、補足です。

補足

ネットワーク機器でアクセス制御をしている場合に疎通確認は以下記事にもある通りPowershellに内蔵されているコマンドで確認ができます。

一方でCiscoASA側でhitcntの値を確認すると数値は上昇し、対向サーバ側でも通信が来ていることが確認できるためコマンドの結果としてはNGとなるも実際は疎通できていることが分かりました。

本当に疎通確認ができない場合は上の記事にもある通り以下のようになるので

PS C:\Users\XX> Test-NetConnection xx -Port 5000
警告: TCP connect to xx failed
警告: Ping to xx failed -- Status: TimedOut
...

UDPでアクセスを追加した場合に起きる事象として認識しました。

以上、同様の事象が発生した方の参考になれば幸いです。


他の記事を読む