CISCO ASA SITE-TO-SITE VPN

[riko1978]

Ciao a tutti,

Sto configuando degli ASA della CISCO, ma purtroppo ho questo problema:

La vpn funziona solo se inizializzata da un site e non dall'altro.

Il tipo di vpn è bidirectional ed il problema consiste che uno dei 2 asa (sul quale ci sono configurate già delle site-to-site VPN e delle VPN dinamiche (clientvpn)) droppa la connessione se inizializzata dall'altro ASA che ha configurato solo una SITE-TO-SITE VPN.

In debug sull'asa che droppa la connessione la crypto map associata mentre viene inizializzata la vpn è quella CLIENTVPN e non quella appositamente configurata.

Ogni consiglio è apprezzato!

[Wizard]

In debug sull'asa che droppa la connessione la crypto map associata mentre viene inizializzata la vpn è quella CLIENTVPN e non quella appositamente configurata.

Sinceramente non ho ben capito cosa hai scritto...
Cmq facci vedere le config che ci daremo un occhio

[riko1978]

Ho trovato dov'è il problema! cmq grazie.

Adesso vi spiego:

Se sull'asa vengono configurate delle dynamic vpn prima delle site-to-site vpn le crypto map applicate alle site-to-site saranno sempre quelle dynamic e non quelle static e il tunnel non funzionerà se la vpn verrà inizializzata dal firewall remoto.

[Wizard]

le vpn client devono sempre essere dopo cronologicamente delle l2l:

crypto map *** 65535 ipsec-isakmp dynamic outside_dyn_map

[riko1978]

è vero.....

Ma in questo caso basta restringere nelle IPSEC RULES il pool di indirizzi IP che vengono effettivamente utilizzati dalle dynamic vpn, a mai utilizzare "any" come ip sorgente.

Complimeti per il forum!!!