VPN che funziona in una sola direzione

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
sandman42
n00b
Messaggi: 20
Iscritto il: lun 19 mag , 2008 2:21 pm

Ciao,

ho una VPN Site-to-Site che funziona in un solo senso, remote verso centro, cioé la VPN va su, e VNC funziona.
Nell'altra direzione non funziona, ed il ping non va in nessuna delle due direzioni.

IMHO, ci dev'essere qualcosa che non va nell'asa di centro stella, perché se pingo dalla lan remota un host della lan centrale o viceversa ottengo:

Codice: Seleziona tutto

No translation group found for icmp src inside:IP_ON_CENTRAL_LAN dst inside:IP_ON_REMOTE_LAN (type 8, code 0)
Il Remoto è su nat0, ovvero

Codice: Seleziona tutto

access-list inside_nat0_outbound extended permit ip LocalLAN 255.255.255.0 RemoteLAN 255.255.255.0
access-list inside_nat0_outbound extended permit icmp LocalLAN 255.255.255.0 RemoteLAN 255.255.255.0

access-list outside_1_cryptomap extended permit ip LocalLAN 255.255.255.0 RemoteLAN 255.255.255.0
access-list outside_1_cryptomap extended permit icmp LocalLAN 255.255.255.0 RemoteLAN 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 0 access-list inside_nat0_outbound outside

crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer IP_PUBBLICO_REMOTO
Sul remoto (un pix 501), ho:

Codice: Seleziona tutto

access-list inside_outbound_nat0_acl permit ip LanRemote 255.255.255.0 LanCentral 255.255.255.0
access-list inside_outbound_nat0_acl permit icmp LanRemote 255.255.255.0 LanCentral 255.255.255.0
access-list outside_cryptomap_20 permit ip LanRemote 255.255.255.0 LanCentral 255.255.255.0
access-list outside_cryptomap_20 permit icmp LanRemote 255.255.255.0 LanCentral 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer IP_PUBBLICO_CENTRO
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
Cosa sbaglio?

Grazie e ciao
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Codice: Seleziona tutto

no nat (inside) 0 access-list inside_nat0_outbound outside
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
sandman42
n00b
Messaggi: 20
Iscritto il: lun 19 mag , 2008 2:21 pm

Wizard ha scritto:

Codice: Seleziona tutto

no nat (inside) 0 access-list inside_nat0_outbound outside
Non è cambiato nulla :cry:
Top
sandman42
n00b
Messaggi: 20
Iscritto il: lun 19 mag , 2008 2:21 pm

Adesso funziona: mancava il reverse route, ovvero prima era così

Codice: Seleziona tutto

crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer IP_PUBBLICO_REMOTO
crypto map outside_map 1 set transform-set ESP-3DES-MD5
e adesso è così

Codice: Seleziona tutto

crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer IP_PUBBLICO_REMOTO
crypto map outside_map 1 set transform-set ESP-3DES-MD5
crypto map outside_map 1 set reverse-route
Giusto per aiutare qualcun'altro che, come me, si scorda per strada la cose :D :D

Ciao
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Se va OK, cmq non è una cosa standard...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
sandman42
n00b
Messaggi: 20
Iscritto il: lun 19 mag , 2008 2:21 pm

Wizard ha scritto:Se va OK, cmq non è una cosa standard...
Si accettano altre idee/suggerimenti.

Es: ci vuole un

Codice: Seleziona tutto

route inisde lanlocale mask lanremota mask
O non serve?
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

X la vpn l2l?! NO
Va x la default che presumo sia verso la outside...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
sandman42
n00b
Messaggi: 20
Iscritto il: lun 19 mag , 2008 2:21 pm

Wizard ha scritto:X la vpn l2l?! NO
Va x la default che presumo sia verso la outside...
Esatto. Oltretutto, correggimi se sbaglio, nella negoziazione ike vengono passati la lan locale e la lan remota con le loro netmask, per cui, visto che se metti su una vpn fra due lan, lo fai perché le due lan si parlino, questo dovrebbe già essere sufficiente, giusto?

Ciao
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Si, viene passata la acl della crypto map che indica il traffico da criptare
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Rispondi

Torna a “VPN”