VPN Site-To-Site non funzione completamente

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
alessiobandini
n00b
Messaggi: 1
Iscritto il: lun 13 gen , 2014 10:33 am

Salve,

Ho due edifici: in uno un PIX501 (edificioA) e nell'altro un ASA 5512-X (edificioB).

La LAN di edificioA è 192.168.1.0, con in pubblico AAA.AAA.AAA.AAA.
La LAN di edificioB è 192.168.2.0, con in pubblico BBB.BBB.BBB.BBB.

EdificioA (192.168.1.x) --- PIX 501 (inside/outside)=(191.168.1.1 / AAA.AAA.AAA.AAA ====== ASA5512X (outside/inside) (BBB.BBB.BBB.BBB / 192.168.2.1) --- EdificioB (192.168.2.y)


Ho creato una VPN site-to-site fra edificioA e edificioB, in modo che le macchine 192.168.1.x dell'edificioA possano vedere le macchine 192.168.2.y dell'edificioB.

Dalla rete edificioA riesco a raggiungere le macchine della rete edificioB utilizzando l'ip privato, con il VNC, ma non posso fare dei ping nè connettermi tramite il servizio di file sharing di windows.
Inoltre dalla rete edificioB non riesco a raggiungere le macchine della rete edificioA.

Ecco un estratto della configurazione:

PIX501 (edificioA)
==================
object-group icmp-type AllowedICMP
description "ICMP allowed"
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
icmp-object unreachable

access-list acl_in permit tcp 192.168.1.0 255.255.255.0 any
access-list acl_in permit udp 192.168.1.0 255.255.255.0 any
access-list acl_in permit icmp 192.168.1.0 255.255.255.0 any object-group AllowedICMP
access-list acl_in permit tcp any any
access-list acl_in permit udp any any
access-list acl_in permit icmp any any object-group AllowedICMP
access-list acl_in permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list acl_in permit ip any any
access-list edificio-B permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list nonat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list acl_out permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

access-group acl_out in interface outside
access-group acl_in in interface inside

ip address outside AAA.AAA.AAA.AAA 255.255.255.240
ip address inside 192.168.1.1 255.255.255.0

nat (inside) 0 access-list nonat
nat (inside) 1 192.168.1.0 255.255.255.0 0 0

crypto ipsec transform-set edificio-set-b esp-des esp-md5-hmac

crypto map stati 1 ipsec-isakmp
crypto map stati 1 match address edificioB
crypto map stati 1 set peer BBB.BBB.BBB.BBB
crypto map stati 1 set transform-set edificio-set-b

crypto map stati interface outside

isakmp enable outside

isakmp key *** address BBB.BBB.BBB.BBB netmask 255.255.255.255 no-xauth no-config-mode


ASA5512X (edificioB)
====================

object-group icmp-type AllowedICMP
description "ICMP allowed"
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
icmp-object unreachable

object network edificioB
subnet 192.168.2.0 255.255.255.0

object network edificioA
subnet 192.168.1.0 255.255.255.0

group-policy GroupPolicy_AAA.AAA.AAA.AAA internal
group-policy GroupPolicy_AAA.AAA.AAA.AAA attributes
vpn-tunnel-protocol ikev1

tunnel-group AAA.AAA.AAA.AAA type ipsec-l2l
tunnel-group AAA.AAA.AAA.AAA general-attributes
default-group-policy GroupPolicy_AAA.AAA.AAA.AAA
tunnel-group AAA.AAA.AAA.AAA ipsec-attributes
ikev1 pre-shared-key ***

icmp permit any outside
icmp permit any inside

access-list outside_cryptomap_1 extended permit icmp 192.168.2.0 255.255.255.0 object edificioA object-group AllowedICMP
access-list outside_cryptomap_1 extended permit ip 192.168.2.0 255.255.255.0 object edificioA

nat (inside,outside) source dynamic any interface
nat (inside,outside) source static edificioB edificioB destination static edificioA edificioA

crypto map outside_map 2 match address outside_cryptomap_1
crypto map outside_map 2 set peer AAA.AAA.AAA.AAA
crypto map outside_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

crypto map outside_map interface outside

Ho provato a leggere molta documentazione cisco in rete e diversi forum, ma nessuna delle soluzioni adottate mi ha risolto il problema.

Grazie.
Rispondi