vpn tra 2 pix ognuno con 2 reti dietro.

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

Buongiorno a tutti, devo fare vpn tra 2 pix (uno dei due è quello col pix 6.1 di cui parlavo sotto, per favore non mi riproverate a meno che l'upgrade non sia funzionale alla soluzione di questo problema!!! :oops: )

situazione:
(RETEA2)---ROUTERA1A2---(RETEA1)===VPN===(RETEB1)---ROUTERB1B2---(RETEB2)

per cui io devo fare passare le due reti in entrambe destinazioni, e indicare poi la route per raggiungere la rete 2.

in breve le parti salienti della configurazione:

Codice: Seleziona tutto

access-list al1 permit ip RETE_A1 255.255.255.0 RETE_B1 255.255.255.0 
access-list al1 permit ip RETE_A2 255.255.255.0 RETE_B2 255.255.255.0 
access-list al1 permit ip RETE_A2 255.255.255.0 RETE_B1 255.255.255.0 
access-list al1 permit ip RETE_A1 255.255.255.0 RETE_B2 255.255.255.0 

access-list al2 permit ip RETE_A1 255.255.255.0 RETE_B1 255.255.255.0 
access-list al2 permit ip RETE_A2 255.255.255.0 RETE_B2 255.255.255.0 
access-list al2 permit ip RETE_A2 255.255.255.0 RETE_B1 255.255.255.0 
access-list al2 permit ip RETE_A1 255.255.255.0 RETE_B2 255.255.255.0 
[..]
nat (inside) 0 access-list al2
route inside RETE_A2 255.255.255.0 ROUTERA1A2
[..]
crypto ipsec transform-set mioTRANSFORMSET esp-des esp-md5-hmac 
crypto map cm1 1 ipsec-isakmp
crypto map cm1 1 match address al1
crypto map cm1 1 set peer PIX-MI
crypto map cm1 1 set transform-set mioTRANSFORMSET
Dall'altro lato la configurazione è simmetrica.
Il routing tra le reti A1 e A2 funziona correttamente, così come quello tra B1 e B2.
La VPN tra A1 e B1 va correttamente.
A1 però non vede B2. A2 non vede B1. A2 non vede B2.

Non capisco dove posso aver sbagliato. Sinceramente mi sembra addirittura di aver esagerato con le access-list...
Top
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

Chiuso il messaggio troppo presto.

Precisazioni:
-i due pix sono posti alle due estremità della VPN.
-il pix che fa la vpn dal lato della rete a1 pinga correttamente un ip della rete a2


Grazie a tutti
Roberto
Top
Avatar utente
hashashin
Cisco enlightened user
Messaggi: 125
Iscritto il: sab 22 ott , 2005 7:40 am
Località: Frascati (RM)

ciao,

ovviamento il routerA1A2 sa dove si trovano reteB1 e reteB2 e il routerB1B2 sa dove si trovano reteA1 e reteA2 giusto??


:D
Top
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

Allora, la situazione è così, i router ovviamente sanno dove andare, ho fatto un po' di debug e viene fuori questo:
(RETEA2)---ROUTERA1A2---(RETEA1)===VPN===(RETEB1)---ROUTERB1B2---(RETEB2)

da retea1 pingo e ricevo risposta da a2, b1, b2 (tutte le altre)
da retea2: a1, b2, NON b1
da rete b2: a1, b2, b1, a2 (tutte le altre)
da rete b1: b2, a1, NON a2.

in dettaglio, se metto in debug icmp i 2 router, vedo che
se pingo da a2 verso b1:
nella console del pix tra a1 e vpn vedo uscire la echo request, nel pix su b1, non vedo arrivare echo request.

se pingo da b1 verso a2 vedo:
echo request che esce da pix su b
echo request che entra in pix su a
echo reply che esce da pix su a
e stop. la echo reply non arriva mai sull'altro pix.
in più, fatto strano, dopo un po' mi arrivano degli errori icmpq sul pix a1 che mi dicono che un certo router del mio provider non riesce a instradare richiesta icmp.

io penso che quello che succeda sia che il pix su a, per qualche ragione oscura, quando un pacchetto ha come sorgente a2 e come desstinazione b1 mandi il pacchetto su internet anziché incanalarlo nella vpn.

e la cosa in sé non ha nessun senso perché è chiaramente definito nelle access-list che il traffico da A2 a B1 deve andare nello stesso tunnel in cui mando il resto:

Codice: Seleziona tutto

access-list al1 permit ip RETE_A2 255.255.255.0 RETE_B1 255.255.255.0
la cosa folle è che io da a2 riesco a pingare b2, e il pacchetto per arrivare a b2 deve passare per forza da b1.

addirittura se io faccio un traceroute da a2 a b2 ricevo la risposta dal routerb1b2 dall'interfaccia su b1, e io immagino che questo possa avvenire per il fatto che comunque i pacchetti del trace hanno come sorgente a2 e destinazione b2, per cui in qualche modo vengono fatti passare, mentre le risposte riescono a tornare perché il pix sul lato b è sano.

morale, io credo che il pix sul lato a abbia qualche confusione.
io non credo che possa essere sbagliata la configurazione, dal momento che la stessa identica configurazione altrove funziona.
... .... ... :oops: il pix sul lato è è quello con la versione 6.1.........
posso pensare che sia quello che crei qualche problema?

ora, io proprrei al cliente di fare l'aggiornamento a una versione successiva, chiaramente solo nel caso in cui questa cosa possa essere risolutiva.

c'è qualcos'altro che posso controllare eventualmente?

grazie
Roberto
Top
Rispondi

Torna a “VPN”