Pagina 1 di 2
VPN IPSEC ASA5510
Inviato: dom 13 gen , 2008 11:59 am
da cavallo
Salve a tutti ho configurato sul mio asa una vpn ipsec:
premessa ho 2 interfacce inside (Inside192 e Inside172) e una outside.
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside lo split tunnel è settato su tutte le network il nat traversal e attivo, non so più dove guardare. Qualcuno sa dirmi dove commeto l'errore?.
Grazie.
Inviato: lun 14 gen , 2008 11:31 am
da Wizard
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside
Inviato: lun 14 gen , 2008 11:34 am
da Wizard
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside
Inviato: lun 14 gen , 2008 3:56 pm
da cavallo
Wizard ha scritto:Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside
Ti ringrazio per la risposta ma dopo la modifica riesco a pingare l'asa ma non la rete che è dietro....
Inviato: mar 15 gen , 2008 10:08 am
da cavallo
Riformulo la domanda;
Ho un ASA con tre interfacce InsideX,InsideY ed Outside, mi connetto in VPN
la rete dietro la InsideY la raggiungo correttamente pingo le varie risorse ecc, la rete dietro la InsideX non la raggiungo, non la pingo.......
post la parte di configurazione della VPN.
access-list InsideX_nat0_outbound extended permit ip xxx.xxx.xxx.0 255.255.255.0 192.168.17.0 255.255.255.0
access-list InsideY_nat0_outbound extended permit ip yyy.yyy.yyy.0 255.255.255.0 192.168.17.0 255.255.255.0
nat (InsideX) 0 access-list InsideX_nat0_outbound
nat (InsideY) 0 access-list InsideY_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000 10001 10002 10003 10004 10005
crypto isakmp disconnect-notify
crypto isakmp reload-wait
group-policy XXXXXXXXXXXXX internal
group-policy XXXXXXXXXXXXX attributes
wins-server value xxx.xxx.xxx.xxx
dns-server value xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
vpn-tunnel-protocol IPSec
ip-comp enable
split-tunnel-policy tunnelall
default-domain value XXXXXXXXXXXX.XXX
split-dns value XXXXXXXXXXXX.XXXX
nem enable
username @@@@@@@@@@@ attributes
vpn-group-policy XXXXXXXXXXXXX
tunnel-group XXXXXXXXXXXXX type remote-access
tunnel-group XXXXXXXXXXXXX general-attributes
address-pool IPSec_Pool
default-group-policy XXXXXXXXXXXX
tunnel-group XXXXXXXXXXX ipsec-attributes
pre-shared-key *
Inviato: mar 15 gen , 2008 2:38 pm
da Wizard
Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
Inviato: mar 15 gen , 2008 2:57 pm
da cavallo
Wizard ha scritto:Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
non c'era nel precedente post comunque dovrebbe essere questa.
access-list XXXIPSec_splitTunnelAcl standard permit xxx.xxx.xxx.0 255.255.255.0
access-list XXXIPSec_splitTunnelAcl standard permit yyy.yyy.yyy.0 255.255.255.0
Inviato: gio 17 gen , 2008 8:36 am
da cavallo
Wizard ha scritto:Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
Possibile che non ci sia via di uscita?
Forse dovrebbero esserci delle route da aggiungere?
Aiutoooo......
Inviato: gio 17 gen , 2008 12:27 pm
da Wizard
Prova a debbugare un po'...
sh cry ipsec sa (vedi se la tua seconda rete interna è vista correttamente)
debug cry ipsec (fai un ping verso una macchina nella seconda rete interna e vedi i log)
Inviato: gio 17 gen , 2008 2:56 pm
da cavallo
Wizard ha scritto:Prova a debbugare un po'...
sh cry ipsec sa (vedi se la tua seconda rete interna è vista correttamente)
interface: outside
Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 88.yy.yy.yyy
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.17.10/255.255.255.255/0/0)
current_peer: 87.16.xxx.xxx, username: @@@@@@@@
dynamic allocated peer ip: 192.168.17.10
#pkts encaps: 625, #pkts encrypt: 577, #pkts digest: 577
#pkts decaps: 186, #pkts decrypt: 186, #pkts verify: 186
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 800, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 88.yy.yyy.yyy/10000, remote crypto endpt.: 87.16.xxx.xxx/1151
path mtu 1500, ipsec overhead 110, media mtu 1500
current outbound spi: 58FB3131
inbound esp sas:
spi: 0x5DE57417 (1575318551)
transform: esp-aes esp-sha-hmac none
in use settings ={RA, Tunnel, TCP-Encaps, }
slot: 0, conn_id: 73728, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
sa timing: remaining key lifetime (sec): 28777
IV size: 16 bytes
replay detection support: Y
outbound esp sas:
spi: 0x58FB3131 (1492857137)
transform: esp-aes esp-sha-hmac none
in use settings ={RA, Tunnel, TCP-Encaps, }
slot: 0, conn_id: 73728, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
sa timing: remaining key lifetime (sec): 28777
IV size: 16 bytes
replay detection support: Y
debug cry ipsec (fai un ping verso una macchina nella seconda rete interna e vedi i log)
Ora sto pingando un indirizzo della seconda rete e cosa strana mi risponde
ma altri indirizzi della stessa rete no.
L'indirizzo che risponde è una stampante laser ethernet.
per mandarti i log che comando devo lanciare da cli?
Inviato: gio 17 gen , 2008 4:35 pm
da Wizard
Allora:
1) controlla firewall e gateway delle macchine nella seconda rete
2) controlla la parte ids (ip audit) sul firewall
Inviato: gio 17 gen , 2008 5:42 pm
da cavallo
Wizard ha scritto:Allora:
1) controlla firewall e gateway delle macchine nella seconda rete
2) controlla la parte ids (ip audit) sul firewall
la parte ids è disabilitata per quanto riguarda il firewall e gateway delle macchine è un router telecom....
potrebbe scartare gli indirizzi da me configurati nel pool?
Inviato: ven 18 gen , 2008 10:29 am
da Wizard
cavallo ha scritto:
la parte ids è disabilitata per quanto riguarda il firewall e gateway delle macchine è un router telecom....
potrebbe scartare gli indirizzi da me configurati nel pool?
Potrebbe essere che sul router telecom ci siano dei filtri per il tarffico di ritorno o rotte sbagliate
Inviato: sab 19 gen , 2008 10:08 am
da cavallo
Ma se invece del pool di indirizzi 192.168.17.xx gli una serie di indirizzi che fanno parte della rete interna?
quale sarebbe il comportamento?
Non riuscirei a vedere più nessuna delle network o viceversa?
Una domanda fuori dall'argomento in questione ma sull'asa non si possono settare i gateway predefiniti sulle interfacce? é possibile far fare routing all'asa? Ed inoltre quando mi collego in ipsec in base a cosa gli viene assegnato il gateway xxx.xxx.xxx.1 al vpn client?
Ciao.
Inviato: lun 21 gen , 2008 10:27 am
da Wizard
Ma se invece del pool di indirizzi 192.168.17.xx gli una serie di indirizzi che fanno parte della rete interna?
quale sarebbe il comportamento?
In questo modo vai di proxy-arp!
Io di solito faccio così!
Però attento perchè devi riconfigurare nat0, split-tunnel...
Una domanda fuori dall'argomento in questione ma sull'asa non si possono settare i gateway predefiniti sulle interfacce? é possibile far fare routing all'asa? Ed inoltre quando mi collego in ipsec in base a cosa gli viene assegnato il gateway xxx.xxx.xxx.1 al vpn client?
Quale è il tuo obiettivo?
Cmq ASA non ti fa routing sulla stessa interfaccia...[/quote]