Buongiorno a tutti,
mi avvicino per la prima volta al mondo cisco proveniente da zyxel su cui ho una discreta esperienza.
Seguendo le istruzioni del manuale ho configurato una vpn ipsec su un SA540 per permettere connessioni tramite cisco vpn client.
Ho configurato vpn client sul mio pc e la vpn va su: al mio pc viene assegnato un ip del pool di indirizzi della vpn e riesco a pingare l'ip privato del SA540.
Non riesco a pingare, però, gli altri ip della lan del AS540.
Per chiarire:
L'ip lan del firewall è 192.168.2.20, quello assegnato al mio client vpn è 192.168.12.100.
Se pingo 192.168.2.20 ottengo risposta, mentre se provo a pingare un altro ip del tipo 192.168.2.X il risultato è sempre "risposta scaduta".
Cosa devo fare per permettere ai client vpn di raggiungere gli ip 192.168.2.x?
Ringrazio anticipatamente chi mi riesce ad aiutare.
vpn ipsec su cisco 540: non pingo pc lan
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Configurazione?
Detta così sembra un problema di ACL o route.
Paolo
Detta così sembra un problema di ACL o route.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
alenb
- n00b
- Messaggi: 5
- Iscritto il: ven 17 ago , 2012 1:01 am
Ciao e grazie per la risposta,
penso anche io si quello il problema, solo che su SA540 non riesco a capire dove configurare route e acl.
Allego il file cfg che ho scricato ma non penso possa essere utile...
penso anche io si quello il problema, solo che su SA540 non riesco a capire dove configurare route e acl.
Allego il file cfg che ho scricato ma non penso possa essere utile...
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Si effettivamente non è comprensibile.
Se fai un traceroute dal PC all'indirizzo 192.168.2.X almeno prova ad instradare verso il router? Se non lo fa devi aggiungere uno rotta statica nel PC.
Paolo
Se fai un traceroute dal PC all'indirizzo 192.168.2.X almeno prova ad instradare verso il router? Se non lo fa devi aggiungere uno rotta statica nel PC.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Sembra sempre qualche problema di ACL/Firewall.alenb ha scritto:ho provato e se pingo un indirizzo 192.168.2.201 arrivo fino all'ip pubblico dell'SA540 dopo di che non ottengo più nessuna risposta
Però io lavoro solo su CLI, perciò ti posso aiutare poco. Controlla le quelle cose (saranno in una schermata Sicurezza o simile)
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
alenb
- n00b
- Messaggi: 5
- Iscritto il: ven 17 ago , 2012 1:01 am
Ciao,
ho risolto il problema.
In realtà un falso problema, nel senso che il cisco era configurato correttamente, solo che i pc hanno impostato un'altro gateway che non è l'SA540.
Ho quindi impostato una route sul firewall utilizzato come gateway dai pc (con relative policy di sicurezza) che instrada i pacchetti diretti sull rete della vpn sull'SA540.
Grazie mille per la tua disponibilità!
Alessandro
PS: come faccio a mettere [RISOLTO] ?
ho risolto il problema.
In realtà un falso problema, nel senso che il cisco era configurato correttamente, solo che i pc hanno impostato un'altro gateway che non è l'SA540.
Ho quindi impostato una route sul firewall utilizzato come gateway dai pc (con relative policy di sicurezza) che instrada i pacchetti diretti sull rete della vpn sull'SA540.
Grazie mille per la tua disponibilità!
Alessandro
PS: come faccio a mettere [RISOLTO] ?
