Salve a tutti ho configurato sul mio asa una vpn ipsec:
premessa ho 2 interfacce inside (Inside192 e Inside172) e una outside.
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside lo split tunnel è settato su tutte le network il nat traversal e attivo, non so più dove guardare. Qualcuno sa dirmi dove commeto l'errore?.
Grazie.
VPN IPSEC ASA5510
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside
Codice: Seleziona tutto
access-management nome_intIl futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce inside
Codice: Seleziona tutto
access-management nome_intIl futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
Ti ringrazio per la risposta ma dopo la modifica riesco a pingare l'asa ma non la rete che è dietro....Wizard ha scritto:Mi collego correttamente in vpn con vpn client ma riesco a pingare una sola delle due interfacce insideCodice: Seleziona tutto
access-management nome_int
-
cavallo
Riformulo la domanda;
Ho un ASA con tre interfacce InsideX,InsideY ed Outside, mi connetto in VPN
la rete dietro la InsideY la raggiungo correttamente pingo le varie risorse ecc, la rete dietro la InsideX non la raggiungo, non la pingo.......
post la parte di configurazione della VPN.
access-list InsideX_nat0_outbound extended permit ip xxx.xxx.xxx.0 255.255.255.0 192.168.17.0 255.255.255.0
access-list InsideY_nat0_outbound extended permit ip yyy.yyy.yyy.0 255.255.255.0 192.168.17.0 255.255.255.0
nat (InsideX) 0 access-list InsideX_nat0_outbound
nat (InsideY) 0 access-list InsideY_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000 10001 10002 10003 10004 10005
crypto isakmp disconnect-notify
crypto isakmp reload-wait
group-policy XXXXXXXXXXXXX internal
group-policy XXXXXXXXXXXXX attributes
wins-server value xxx.xxx.xxx.xxx
dns-server value xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
vpn-tunnel-protocol IPSec
ip-comp enable
split-tunnel-policy tunnelall
default-domain value XXXXXXXXXXXX.XXX
split-dns value XXXXXXXXXXXX.XXXX
nem enable
username @@@@@@@@@@@ attributes
vpn-group-policy XXXXXXXXXXXXX
tunnel-group XXXXXXXXXXXXX type remote-access
tunnel-group XXXXXXXXXXXXX general-attributes
address-pool IPSec_Pool
default-group-policy XXXXXXXXXXXX
tunnel-group XXXXXXXXXXX ipsec-attributes
pre-shared-key *
Ho un ASA con tre interfacce InsideX,InsideY ed Outside, mi connetto in VPN
la rete dietro la InsideY la raggiungo correttamente pingo le varie risorse ecc, la rete dietro la InsideX non la raggiungo, non la pingo.......
post la parte di configurazione della VPN.
access-list InsideX_nat0_outbound extended permit ip xxx.xxx.xxx.0 255.255.255.0 192.168.17.0 255.255.255.0
access-list InsideY_nat0_outbound extended permit ip yyy.yyy.yyy.0 255.255.255.0 192.168.17.0 255.255.255.0
nat (InsideX) 0 access-list InsideX_nat0_outbound
nat (InsideY) 0 access-list InsideY_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000 10001 10002 10003 10004 10005
crypto isakmp disconnect-notify
crypto isakmp reload-wait
group-policy XXXXXXXXXXXXX internal
group-policy XXXXXXXXXXXXX attributes
wins-server value xxx.xxx.xxx.xxx
dns-server value xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
vpn-tunnel-protocol IPSec
ip-comp enable
split-tunnel-policy tunnelall
default-domain value XXXXXXXXXXXX.XXX
split-dns value XXXXXXXXXXXX.XXXX
nem enable
username @@@@@@@@@@@ attributes
vpn-group-policy XXXXXXXXXXXXX
tunnel-group XXXXXXXXXXXXX type remote-access
tunnel-group XXXXXXXXXXXXX general-attributes
address-pool IPSec_Pool
default-group-policy XXXXXXXXXXXX
tunnel-group XXXXXXXXXXX ipsec-attributes
pre-shared-key *
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
non c'era nel precedente post comunque dovrebbe essere questa.Wizard ha scritto:Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
access-list XXXIPSec_splitTunnelAcl standard permit xxx.xxx.xxx.0 255.255.255.0
access-list XXXIPSec_splitTunnelAcl standard permit yyy.yyy.yyy.0 255.255.255.0
-
cavallo
Possibile che non ci sia via di uscita?Wizard ha scritto:Mi sa che nella acl per lo split tunnel non ci sia la sedonda rete interna
Forse dovrebbero esserci delle route da aggiungere?
Aiutoooo......
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Prova a debbugare un po'...
sh cry ipsec sa (vedi se la tua seconda rete interna è vista correttamente)
debug cry ipsec (fai un ping verso una macchina nella seconda rete interna e vedi i log)
sh cry ipsec sa (vedi se la tua seconda rete interna è vista correttamente)
debug cry ipsec (fai un ping verso una macchina nella seconda rete interna e vedi i log)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
Ora sto pingando un indirizzo della seconda rete e cosa strana mi rispondeWizard ha scritto:Prova a debbugare un po'...
sh cry ipsec sa (vedi se la tua seconda rete interna è vista correttamente)
interface: outside
Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 65535, local addr: 88.yy.yy.yyy
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.17.10/255.255.255.255/0/0)
current_peer: 87.16.xxx.xxx, username: @@@@@@@@
dynamic allocated peer ip: 192.168.17.10
#pkts encaps: 625, #pkts encrypt: 577, #pkts digest: 577
#pkts decaps: 186, #pkts decrypt: 186, #pkts verify: 186
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 800, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 88.yy.yyy.yyy/10000, remote crypto endpt.: 87.16.xxx.xxx/1151
path mtu 1500, ipsec overhead 110, media mtu 1500
current outbound spi: 58FB3131
inbound esp sas:
spi: 0x5DE57417 (1575318551)
transform: esp-aes esp-sha-hmac none
in use settings ={RA, Tunnel, TCP-Encaps, }
slot: 0, conn_id: 73728, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
sa timing: remaining key lifetime (sec): 28777
IV size: 16 bytes
replay detection support: Y
outbound esp sas:
spi: 0x58FB3131 (1492857137)
transform: esp-aes esp-sha-hmac none
in use settings ={RA, Tunnel, TCP-Encaps, }
slot: 0, conn_id: 73728, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP
sa timing: remaining key lifetime (sec): 28777
IV size: 16 bytes
replay detection support: Y
debug cry ipsec (fai un ping verso una macchina nella seconda rete interna e vedi i log)
ma altri indirizzi della stessa rete no.
L'indirizzo che risponde è una stampante laser ethernet.
per mandarti i log che comando devo lanciare da cli?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Allora:
1) controlla firewall e gateway delle macchine nella seconda rete
2) controlla la parte ids (ip audit) sul firewall
1) controlla firewall e gateway delle macchine nella seconda rete
2) controlla la parte ids (ip audit) sul firewall
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
la parte ids è disabilitata per quanto riguarda il firewall e gateway delle macchine è un router telecom....Wizard ha scritto:Allora:
1) controlla firewall e gateway delle macchine nella seconda rete
2) controlla la parte ids (ip audit) sul firewall
potrebbe scartare gli indirizzi da me configurati nel pool?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Potrebbe essere che sul router telecom ci siano dei filtri per il tarffico di ritorno o rotte sbagliatecavallo ha scritto:
la parte ids è disabilitata per quanto riguarda il firewall e gateway delle macchine è un router telecom....
potrebbe scartare gli indirizzi da me configurati nel pool?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
Ma se invece del pool di indirizzi 192.168.17.xx gli una serie di indirizzi che fanno parte della rete interna?
quale sarebbe il comportamento?
Non riuscirei a vedere più nessuna delle network o viceversa?
Una domanda fuori dall'argomento in questione ma sull'asa non si possono settare i gateway predefiniti sulle interfacce? é possibile far fare routing all'asa? Ed inoltre quando mi collego in ipsec in base a cosa gli viene assegnato il gateway xxx.xxx.xxx.1 al vpn client?
Ciao.
quale sarebbe il comportamento?
Non riuscirei a vedere più nessuna delle network o viceversa?
Una domanda fuori dall'argomento in questione ma sull'asa non si possono settare i gateway predefiniti sulle interfacce? é possibile far fare routing all'asa? Ed inoltre quando mi collego in ipsec in base a cosa gli viene assegnato il gateway xxx.xxx.xxx.1 al vpn client?
Ciao.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In questo modo vai di proxy-arp!Ma se invece del pool di indirizzi 192.168.17.xx gli una serie di indirizzi che fanno parte della rete interna?
quale sarebbe il comportamento?
Io di solito faccio così!
Però attento perchè devi riconfigurare nat0, split-tunnel...
Quale è il tuo obiettivo?Una domanda fuori dall'argomento in questione ma sull'asa non si possono settare i gateway predefiniti sulle interfacce? é possibile far fare routing all'asa? Ed inoltre quando mi collego in ipsec in base a cosa gli viene assegnato il gateway xxx.xxx.xxx.1 al vpn client?
Cmq ASA non ti fa routing sulla stessa interfaccia...[/quote]
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
