Ciao a tutti, un problemino di routing fra due VPN ed una linea Esterna.
Ho due Sedi A e B collegate in VPN IP SEC fra di loro. i pacchetti fra le reti locali girano correttamente e senza problemi.
La Sede A ha anche un collegamento ad una MPLS di un cliente. ho la necessità che sia la sede B che il cliente vedano i rispettivi IP passando per la VPN. Dalla sede A la rete del cliente è perfettamente raggiungibile.
premetto che sono convinto di aver configurato tutto per benino, mettendo gli IP remoti della sede B e del cliente nel tunnel, configurando gli Exempt ecc. configurato i routing ecc.
facendo però un telnet da una macchina da uno degli IP del cliente ad una macchina della sede B mi appare un errore che ho incollato sotto. a mio parere la configurazione è a posto. qualcuno mi sa dare una mano?
Max
%ASA-2-106001: Inbound TCP connection denied from IP_address/port to
IP_address/port flags tcp_flags on interface interface_name
This is a connection-related message, which occurs when an attempt to connect to an inside address is denied by the security policy that is defined for the specified traffic type. Possible tcp_flags values correspond to the flags in the TCP header that were present when the connection was denied. For example, a TCP packet arrived for which no connection state exists in the adaptive security appliance, and it was dropped. The tcp_flags in this packet are FIN and ACK.
The tcp_flags are as follows
routing Fra VPN
Moderatore: Federico.Lagni
-
gianniiiii
- n00b
- Messaggi: 3
- Iscritto il: lun 24 ago , 2009 9:57 am
Ultima modifica di gianniiiii il lun 24 mag , 2010 9:24 am, modificato 1 volta in totale.
------------------
Gianniiiii!!!! l'ottimismo!!!
Gianniiiii!!!! l'ottimismo!!!
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
la topologia è questa?
cliente ---- MPLS ----- sede A -----VPN-----sede B
Dalla sede B puoi raggiungere gli host del cliente dietro l'mpls?
In quale apparato vedi l'errore? Nel firewall della sede A o nella sede B?
Dall'errore ASA-2-106001 sembra che manchi una riga di acl che permetta esplicitamente il traffico dalla sede del client verso la sede B....
"sysopt connection permit-vpn" è abilitato? Dovrebbe esserlo di default nelle versioni recenti di asa.
cliente ---- MPLS ----- sede A -----VPN-----sede B
Dalla sede B puoi raggiungere gli host del cliente dietro l'mpls?
In quale apparato vedi l'errore? Nel firewall della sede A o nella sede B?
Dall'errore ASA-2-106001 sembra che manchi una riga di acl che permetta esplicitamente il traffico dalla sede del client verso la sede B....
"sysopt connection permit-vpn" è abilitato? Dovrebbe esserlo di default nelle versioni recenti di asa.
-
gianniiiii
- n00b
- Messaggi: 3
- Iscritto il: lun 24 ago , 2009 9:57 am
Ciao a tutti ho risolto, abbiamo trovato una policy su quella VPN che impediva il traffico proprio di quella rete..marco.giuliani ha scritto:la topologia è questa?
cliente ---- MPLS ----- sede A -----VPN-----sede B
Dalla sede B puoi raggiungere gli host del cliente dietro l'mpls?
In quale apparato vedi l'errore? Nel firewall della sede A o nella sede B?
Dall'errore ASA-2-106001 sembra che manchi una riga di acl che permetta esplicitamente il traffico dalla sede del client verso la sede B....
"sysopt connection permit-vpn" è abilitato? Dovrebbe esserlo di default nelle versioni recenti di asa.
------------------
Gianniiiii!!!! l'ottimismo!!!
Gianniiiii!!!! l'ottimismo!!!
-
marco.giuliani
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 06 ott , 2009 8:40 am
- Località: Roma
Meglio così 
