ASA ed ICMP in vpn site to site

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
FabPell
n00b
Messaggi: 7
Iscritto il: ven 19 mag , 2006 4:05 pm

Ho un problema con l'asa 8.4, apparato che purtroppo conosco poco.
Praticamente su questo apparato esiste una vpn site to site correttamente configurata e funzionante. Il problema sta sull'icmp.

Quando da un server della rete interna tento di pingare un computer remoto ottengo:

Deny inbound icmp src inside:IP_SERVER dst inside:IP_COMPUTER (type 8, code 0)

Se faccio un test col packet tracer ottengo:

Immagine

Dove vedo che l'icmp è bloccato dalla rule implicita dell'asa.

Quindi la mia domanda da neofita è: come abilito l'icmp inside to inside?


Grazie.
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Ciao,
hai già questo comando nella conf:

Codice: Seleziona tutto

Fixup protocol ICMP
Altrimenti prova a dare un'occhiata qui:
http://www.cisco.com/en/US/docs/securit ... ouble.html

Rizio
Si vis pacem para bellum
Top
FabPell
n00b
Messaggi: 7
Iscritto il: ven 19 mag , 2006 4:05 pm

Grazie per la risposta.
Non so come hanno configurato questa vpn ma alla fine ho dovuto aggiungere una rotta statica per farla passare sul router apposito alla vpn.
Infatti adesso la network remota risulta come OUTSIDE e non come INSIDE.
Poi ho fatto 2 access-list sulla outside ed il ping funziona.
Top
Rispondi

Torna a “Configurazioni”