Pagina 1 di 1
VPN ok ma niente ping - ASA 5505
Inviato: lun 09 feb , 2009 10:17 am
da risk
Ciao a tutti
Con un asa 5505, tramite il wizard, creo le vpn remote to site e queste sembrano funzionare ma, alla prova dei fatti, quindi dopo essermi collegato con il vpn client di cisco, non passano i dati.
Il router è sicuramente a posto.
Ho provato più versioni del vpn client ma nulla.
p.s. a mio avviso manca una acl che per qualche motivo il wizard non crea in automatico.
Ringrazio chiunque anticipatamente per l'aiuto.
Inviato: lun 09 feb , 2009 1:07 pm
da RJ45
Ciao,
guarda qui:
http://jklogic.net/cisco-asa-and-icmp-configurations/ e segui la soluzione n.3. Puo farlo sia da CLI che con ASDM.
Ciaooooooo!
Inviato: lun 09 feb , 2009 2:40 pm
da risk
Ciao RJ45. Grazie mille per la sollecita risposta, ci speravo
Vorrei capire meglio. Io non è che voglio far passare l'icmp così da poter "pingare" dall'interno verso l'esterno e viceversa, cosa che fra l'altro posso fare con l'aggiunta di
access-list acl_icmp extended permit icmp any any
access-group acl_icmp in interface outside
ma il problema è che, una volta stabilita la VPN remote-to-site, non riesco a
fare il ping di nessun indirizzo della lan dietro all'asa.
Solo x capire meglio, ciò che mi hai suggerito è utile al mio scopo ?
Grazie mille per l'interessamento.
Inviato: lun 09 feb , 2009 3:37 pm
da Wizard
access-list AGROUP_splitTunnelAcl standard permit 0.0.0.0 255.255.255.0
Non ha senso fatta così la acl...
Inviato: lun 09 feb , 2009 4:12 pm
da risk
nel senso che dovrebbe essere così
access-list AGROUP_splitTunnelAcl standard permit 0.0.0.0 0.0.0.0
o per qualche altro motivo ?
Inviato: lun 09 feb , 2009 4:56 pm
da risk
diciamo che ora è stata corretta, spero, in questo modo
access-list AGROUP_splitTunnelAcl standard permit any
però nulla è cambiato.
La connessione si stabilisce regolarmente ma non passando dati.
Help me please
Inviato: lun 09 feb , 2009 5:40 pm
da Wizard
Ripeto che così nn ha senso, se devi farla così nn la mettere neanche!
La acl corretta è:
access-list AGROUP_splitTunnelAcl standard permit 162.32.1.0 255.255.255.0
Inviato: lun 09 feb , 2009 6:19 pm
da risk
Wizard sei un grande !!
Ti faccio un ultima domanda per pura curiosità tecnica.
Potrebbe essere vero che con i pix configurando lo split tunnel
con any oppure 0.0.0.0 0.0.0.0 invece della rete interna, non potevi
navigare perché la regola è sbagliata ma i dati, quindi anche i ping,
passavano senza problemi.
Non dico che sia corretto ma mi pare che funzionasse.
Questo con gli asa non succede.
Grazie ancora
Inviato: lun 09 feb , 2009 11:22 pm
da Wizard
Con lo split tunnel dichiari cosa vine ruotato attraverso la vpn, per fare in modo che venga ruotato tutto semplicemnte non si imposta questa funzione.
Dato che lo split tunnel lo si gestisce con una acl (come quasi tutto sugli apparati Cisco) se la acl non ha match la funzione nn si attiva quindi la acl deve essere precisa e non 0.0.0.0 o robe del genere