Da un pò di giorni ho un problema strano,
ho messo in piedi una VPN site to site con la sede remota dell'azienda per utilizzare il VoIP.
Il problema che ho è che il tunnel VPN "sale" solo se faccio partire un ping o una telefonata dalla sede principale.
Da cosa può dipendere?
Devo abilitare qualcosa oltre alle regole firewall che consentono il traffico dalla sede remota a quella interna ?
Grazie
R
ASA VPN Site to Site
Moderatore: Federico.Lagni
-
pipos
- n00b
- Messaggi: 19
- Iscritto il: ven 19 set , 2008 12:13 pm
Se può essere di aiuto, con show run sysopt ho ottenuto:
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt connection permit-vpn
no sysopt connection reclassify-vpn
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt connection permit-vpn
no sysopt connection reclassify-vpn
-
pipos
- n00b
- Messaggi: 19
- Iscritto il: ven 19 set , 2008 12:13 pm
Ho provato un Packet Tracer con sorgente l'ip del centralino remoto e destinazione l'ip de centralino della sede master.
Il pacchetto è droppato e la motivazione è:
--IPSEC Spoof detected---
Da una breve ricerca sembra che il pacchetto è droppato perchè deve essere cifrato per passare sul tunnel mentre sembra giungere al mio ASA in non cifrato...
Soluzioni????
Il pacchetto è droppato e la motivazione è:
--IPSEC Spoof detected---
Da una breve ricerca sembra che il pacchetto è droppato perchè deve essere cifrato per passare sul tunnel mentre sembra giungere al mio ASA in non cifrato...
Soluzioni????
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Hai la funzione di anti spoofing abiliato sui fw?
Su quali int?
Su quali int?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
pipos
- n00b
- Messaggi: 19
- Iscritto il: ven 19 set , 2008 12:13 pm
No purtroppo non no...
Posso dirti di più, ho dato uno show crypto isakmp sa da CLI e per il tunnel in questione ho letto
Type: L2L Role:Initiator.
Potrebbe essere questo oppure il Role ha un valore che dipende da chi ha cominciato la sessione VPN?
Grazie
Posso dirti di più, ho dato uno show crypto isakmp sa da CLI e per il tunnel in questione ho letto
Type: L2L Role:Initiator.
Potrebbe essere questo oppure il Role ha un valore che dipende da chi ha cominciato la sessione VPN?
Grazie
-
pipos
- n00b
- Messaggi: 19
- Iscritto il: ven 19 set , 2008 12:13 pm
Codice dell'errore preso dal sito Cisco.
402117
Error Message %PIX|ASA-4-402117: IPSEC: Received a non-IPSec (protocol) packet from
remote_IP to local_IP.
Explanation This message is displayed when the received packet matched the crypto map ACL, but it is not IPSec-encapsulated. The IPSec Peer is sending unencapsulated packets. This error can occur because of a policy setup error on the peer. For example, the firewall may be configured to only accept encrypted Telnet traffic to the outside interface port 23. If you attempt to Telnet without IPSec encryption to the outside interface on port 23, this message appears, but not on telnet or traffic to the outside interface on ports other than 23. This error can also indicate an attack. This system log message is not generated except under these conditions (for example, it is not generated for traffic to the firewall interfaces themselves). See messages 710001, 710002, and 710003 for messages that track TCP and UDP requests. This message is rate limited to no more than one message every five seconds
protocol—IPSec protocol
remote_IP—IP address of the remote endpoint of the tunnel
local_IP—IP address of the local endpoint of the tunnel
Recommended Action Contact the peer administrator to compare policy settings.
402117
Error Message %PIX|ASA-4-402117: IPSEC: Received a non-IPSec (protocol) packet from
remote_IP to local_IP.
Explanation This message is displayed when the received packet matched the crypto map ACL, but it is not IPSec-encapsulated. The IPSec Peer is sending unencapsulated packets. This error can occur because of a policy setup error on the peer. For example, the firewall may be configured to only accept encrypted Telnet traffic to the outside interface port 23. If you attempt to Telnet without IPSec encryption to the outside interface on port 23, this message appears, but not on telnet or traffic to the outside interface on ports other than 23. This error can also indicate an attack. This system log message is not generated except under these conditions (for example, it is not generated for traffic to the firewall interfaces themselves). See messages 710001, 710002, and 710003 for messages that track TCP and UDP requests. This message is rate limited to no more than one message every five seconds
protocol—IPSec protocol
remote_IP—IP address of the remote endpoint of the tunnel
local_IP—IP address of the local endpoint of the tunnel
Recommended Action Contact the peer administrator to compare policy settings.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
1) Controlla che le acl per il traffico vpn siano identiche ma reciproche sui 2 apparati
2) Aggiorna la IOS! che apparati usi?
2) Aggiorna la IOS! che apparati usi?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
pipos
- n00b
- Messaggi: 19
- Iscritto il: ven 19 set , 2008 12:13 pm
Le ACL sui due apparati sono identiche e sono fatte in modo tale che tutte la rete della sede master può vedere la sede slave ( esplicita richiesta, io non l'avrei mai fatto 
).
Gli apparati sono:
Master: ASA 5510
Slave: m0n0wall su soekris.
P.S.: sto provando vari magheggi ma continua a salire solo se parte un ping dalla sede master...
Mi sa che metto un ping -t su un server sempre attivo e buonanotte!
).Gli apparati sono:
Master: ASA 5510
Slave: m0n0wall su soekris.
P.S.: sto provando vari magheggi ma continua a salire solo se parte un ping dalla sede master...
Mi sa che metto un ping -t su un server sempre attivo e buonanotte!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Aggiorna alla 8.0.4 la IOS del ASA ma la vpn se da un lato si tira su e va tutto bene è ok...
Nn voorei dirtelo ma nn è la prima volta che vedo incompatibilità tra cisco e fw linux x le vpn...
Nn voorei dirtelo ma nn è la prima volta che vedo incompatibilità tra cisco e fw linux x le vpn...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
