CiscoForums.it

Arisalve a tutti,
di seguito un altro grattacapo made by un altro ASA.
Una semplicissima e stupidissima VPN Site to Site tra due ASA 5505:

ASA1 -> Router DSL che natta tutto su ip esposto ASA1 -> INTERNET <- Router DSL che natta tutto su ip esposto ASA2 <- ASA2

Dopo aver configurato per ore tutto seguendo la bibbia di cisco.com, l'errore che vien fuori sull'ASA2 dell'altra sede è:

Deny inbound UDP from IPPUBBLICOASA1/500 to HostEsposto/500 on interface outside

Dall'ASDM si evince che nessun tunnel è stato tirato su...

Dopo decine di seghe mentali mi sono deciso a disturbare qualche volenteroso del forum allegando le due configurazioni dei 5505.

http://digilander.libero.it/ciaks_it/ASA1.txt
http://digilander.libero.it/ciaks_it/ASA2.txt

Sperando che qualcuno mi possa indicare dove sbaglio, vi ringrazio nuovamente e vi saluto.

Verifica che il router davanti all'Asa natti davvero tutto... Nell'Asa nat-traversal attivo, vero?
Purtroppo con il firewall senza un suo ip pubblico questi problemi vanno sempre messi in bilancio...

Ciao.

Nell'Asa nat-traversal attivo, vero?

Dalla conf degli ASA postata è presente il rigo:
crypto isakmp nat-traversal 20

Verifica che il router davanti all'Asa natti davvero tutto

Entrambi i router girano TUTTO sull'indirizzo ip esposto degli ASA. Di seguito le righe di uno dei router in questione che svolgono l'arduo compito.

interface FastEthernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
hold-queue 100 out
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation max-entries 4096
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static 10.0.0.2 interface Dialer0
!
access-list 1 permit 10.0.0.0 0.0.0.255

Forse sarebbe più opportuno spostare il post sulla sezione VPN... Non l'avevo notata.

Grazie, ciao!