Ciao a tutti
Con un asa 5505, tramite il wizard, creo le vpn remote to site e queste sembrano funzionare ma, alla prova dei fatti, quindi dopo essermi collegato con il vpn client di cisco, non passano i dati.
Il router è sicuramente a posto.
Ho provato più versioni del vpn client ma nulla.
p.s. a mio avviso manca una acl che per qualche motivo il wizard non crea in automatico.
Ringrazio chiunque anticipatamente per l'aiuto.
VPN ok ma niente ping - ASA 5505
Moderatore: Federico.Lagni
-
RJ45
- Network Emperor
- Messaggi: 456
- Iscritto il: mer 07 giu , 2006 6:40 am
- Località: Udine (UD)
Ciao,
guarda qui: http://jklogic.net/cisco-asa-and-icmp-configurations/ e segui la soluzione n.3. Puo farlo sia da CLI che con ASDM.
Ciaooooooo!
guarda qui: http://jklogic.net/cisco-asa-and-icmp-configurations/ e segui la soluzione n.3. Puo farlo sia da CLI che con ASDM.
Ciaooooooo!
-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
Ciao RJ45. Grazie mille per la sollecita risposta, ci speravo 
Vorrei capire meglio. Io non è che voglio far passare l'icmp così da poter "pingare" dall'interno verso l'esterno e viceversa, cosa che fra l'altro posso fare con l'aggiunta di
access-list acl_icmp extended permit icmp any any
access-group acl_icmp in interface outside
ma il problema è che, una volta stabilita la VPN remote-to-site, non riesco a
fare il ping di nessun indirizzo della lan dietro all'asa.
Solo x capire meglio, ciò che mi hai suggerito è utile al mio scopo ?
Grazie mille per l'interessamento.
Vorrei capire meglio. Io non è che voglio far passare l'icmp così da poter "pingare" dall'interno verso l'esterno e viceversa, cosa che fra l'altro posso fare con l'aggiunta di
access-list acl_icmp extended permit icmp any any
access-group acl_icmp in interface outside
ma il problema è che, una volta stabilita la VPN remote-to-site, non riesco a
fare il ping di nessun indirizzo della lan dietro all'asa.
Solo x capire meglio, ciò che mi hai suggerito è utile al mio scopo ?
Grazie mille per l'interessamento.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Non ha senso fatta così la acl...access-list AGROUP_splitTunnelAcl standard permit 0.0.0.0 255.255.255.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ripeto che così nn ha senso, se devi farla così nn la mettere neanche!
La acl corretta è:
access-list AGROUP_splitTunnelAcl standard permit 162.32.1.0 255.255.255.0
La acl corretta è:
access-list AGROUP_splitTunnelAcl standard permit 162.32.1.0 255.255.255.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
Wizard sei un grande !!
Ti faccio un ultima domanda per pura curiosità tecnica.
Potrebbe essere vero che con i pix configurando lo split tunnel
con any oppure 0.0.0.0 0.0.0.0 invece della rete interna, non potevi
navigare perché la regola è sbagliata ma i dati, quindi anche i ping,
passavano senza problemi.
Non dico che sia corretto ma mi pare che funzionasse.
Questo con gli asa non succede.
Grazie ancora
Ti faccio un ultima domanda per pura curiosità tecnica.
Potrebbe essere vero che con i pix configurando lo split tunnel
con any oppure 0.0.0.0 0.0.0.0 invece della rete interna, non potevi
navigare perché la regola è sbagliata ma i dati, quindi anche i ping,
passavano senza problemi.
Non dico che sia corretto ma mi pare che funzionasse.
Questo con gli asa non succede.
Grazie ancora
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Con lo split tunnel dichiari cosa vine ruotato attraverso la vpn, per fare in modo che venga ruotato tutto semplicemnte non si imposta questa funzione.
Dato che lo split tunnel lo si gestisce con una acl (come quasi tutto sugli apparati Cisco) se la acl non ha match la funzione nn si attiva quindi la acl deve essere precisa e non 0.0.0.0 o robe del genere
Dato che lo split tunnel lo si gestisce con una acl (come quasi tutto sugli apparati Cisco) se la acl non ha match la funzione nn si attiva quindi la acl deve essere precisa e non 0.0.0.0 o robe del genere
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
