VPN l2l ASA 5505

pivellocheimpara · sab 30 giu , 2007 1:52 pm

Premetto che ho poca competenze su prodotti cisco (ho configurato qualche vpn remota ra su dei 501).
Un cliente mi ha chiesto di configurargli una vpn l2l con 2 asa 5505 dietro a 2 router Zyxel 660.
La configurazione che ho creato è questa:

192.168.1.x ---------> interfaccia inside ASA 1
xxx.xxx.xxx.xxx --> interfaccia outsise con 2° IP pubblico assegnato da ISP
yyy.yyy.yyy.yyy --> router con IP Pubblico

192.168.1.x ---------> interfaccia inside ASA 2
zzz.zzz.zzz.zzz --> interfaccia outsise con 2° IP pubblico assegnato da ISP
kkk.kkk.kkk.kkk --> router con IP Pubblico

La classe 192.168.1.x uguale su entrambe le sedi non l'ho configurato io ma ereditato e non è possilible cambiarlo a causa del gestionale che utilizzano.

Ho configurato così:

[...]
access-list outside_20_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.3.0 255.255.255.224
access-list vpnremote_splitTunnelAcl standard permit any
[...]
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 yyy.yyy.yyy.yyy 1
[...]
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer kkk.kkk.kkk.kkk
crypto map outside_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
tunnel-group zzz.zzz.zzz.zzz type ipsec-l2l
tunnel-group zzz.zzz.zzz.zzz ipsec-attributes
pre-shared-key *
tunnel-group kkk.kkk.kkk.kkk type ipsec-l2l
tunnel-group kkk.kkk.kkk.kkk ipsec-attributes
pre-shared-key *
tunnel-group vpnremote type ipsec-ra
tunnel-group vpnremote general-attributes
address-pool vpn_pool
default-group-policy vpnremote
tunnel-group vpnremote ipsec-attributes
pre-shared-key *
[...]

Nella seconda sede ho invertito i paramentri del tunnel.

Il problema è che non rico a pingare nessun indirizzo interno. Dove sbaglio.
Ringrazio chiunque possa aiutarmi.

Wizard · lun 02 lug , 2007 8:30 am

192.168.1.x ---------> interfaccia inside ASA 1
192.168.1.x ---------> interfaccia inside ASA 2

Non funzionerà mai! Devono essere 2 subnet differenti

pivellocheimpara · mar 03 lug , 2007 2:25 pm

Ho risolto gestendo uno switch con vlan.

Grazie mille.

VPN l2l ASA 5505

Login • Iscriviti