Pagina 1 di 1
help11 VPN out E sono tutti in ferie
Inviato: ven 17 ago , 2007 9:24 am
da aries58net
Dopo un blackout la VPN aziendale non va' piu.
E' composta da un ASA5505 che crea la VPN per 3 filiali .ciasuna con un cisco 837 (con security bundle).
eseguendo il comando (sull'ASA) show crypto isakmp sa... si vede che tentano di crearsi le sa... ma sempre con stato: MM_WAIT_MSG2....che posso fare??? sono disperato. ( le "key" sono corrette) nn so a cosa pensare...fino all'altro ieri funzionava tutto come un violino...Help!!
Inviato: dom 19 ago , 2007 4:48 pm
da Wizard
Tutte le vpn sono giù?
Se la config non è cambiata a livello di ASA e se la rete dietro al firewall va correttamente in internet mi sa che c'è qualche problema sui router...li raggiungi tutti in telnet?
Inviato: mar 21 ago , 2007 9:11 am
da aries58net
I router li raggiungo tutti. l'unica cosa è che se metto come Gateway l'interfaccia "inside" dell'ASA non mi spara piu' su internet , come faceva invece prima che non andasse. Vado su internet solo se metto come gareway l'IP virtuale (Ho due 837 in HSRP)....anche se poi,andando su
www.myipaddress.com , mi spara l'indirizzo pubblico di un 1841 che uso solo per internet (e nn c'è nessun percorso strano ????)
Inviato: mar 21 ago , 2007 9:21 am
da Wizard
Allora mi sa che abbia qualche problma l'asa...
Se a livello di configurazione non è cambiato nulla (controlla bene) non vorrei che sia bruciata l'interfaccia outside.
Prova a fare qualche ping e vedi.
Inviato: mar 21 ago , 2007 10:42 am
da aries58net
Ho fatto rimettere su il vecchio pix 501 (cambiando la conf di uno dei due router) e magicamente tutto funziona. Ho fatto aprire un ticket per l'ASA.
Mi sa che linterfaccia sia andata (tra l'altro ,in debug, mi diceva che nn riusciva a matchare le chiavi...quando queste erano i d e n t i c h e!!!)
boh
Inviato: mar 21 ago , 2007 10:43 am
da aries58net
Ho fatto rimettere su il vecchio pix 501 (cambiando la conf di uno dei due router) e magicamente tutto funziona. Ho fatto aprire un ticket per l'ASA.
Mi sa che linterfaccia sia andata (tra l'altro ,in debug, mi diceva che nn riusciva a matchare le chiavi...quando queste erano i d e n t i c h e!!!)
boh
Inviato: mar 21 ago , 2007 10:48 am
da Wizard
Se l' asa non andava neppure in internet la vpn era una cosa secondaria (chiramente non funzionava). Per l'ASA mi sa che fosse bruciata l'interfaccia eth0 (outside)
Inviato: mar 21 ago , 2007 11:09 am
da aries58net
tks riferiro' a chi di dovere ( i nostri fornitori)
Inviato: mar 21 ago , 2007 3:00 pm
da aries58net
ho parlato troppo presto. Con il pix 501 va...ma per 2/3.
La terza "sa" non ne vuol sapere. Mi ritorna lo stato MM_KEY_EXCH, e poi scompare, poi ritorna etc.: è un loop. Any Ideas
Thanks
Inviato: mar 21 ago , 2007 3:02 pm
da Wizard
Finchè non ci fai vedere qualche configurazione possiamo solo fare supposizioni...
Inviato: mar 21 ago , 2007 3:30 pm
da aries58net
era la chiave che si era "abagattata"..l'ho rigenerata e voila!!
Ora aspettero che "il ticket aperto" con Cisco per L'ASA vadi avanti.
tks cmq