Vpn Site-to-Site: deny inbound UDP su interface outside 500

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
ciaks
Cisco fan
Messaggi: 39
Iscritto il: ven 22 lug , 2005 10:31 pm

Arisalve a tutti,
di seguito un altro grattacapo made by un altro ASA.
Una semplicissima e stupidissima VPN Site to Site tra due ASA 5505:

ASA1 -> Router DSL che natta tutto su ip esposto ASA1 -> INTERNET <- Router DSL che natta tutto su ip esposto ASA2 <- ASA2

Dopo aver configurato per ore tutto seguendo la bibbia di cisco.com, l'errore che vien fuori sull'ASA2 dell'altra sede è:

Deny inbound UDP from IPPUBBLICOASA1/500 to HostEsposto/500 on interface outside

Dall'ASDM si evince che nessun tunnel è stato tirato su...

Dopo decine di seghe mentali mi sono deciso a disturbare qualche volenteroso del forum allegando le due configurazioni dei 5505.

http://digilander.libero.it/ciaks_it/ASA1.txt
http://digilander.libero.it/ciaks_it/ASA2.txt

Sperando che qualcuno mi possa indicare dove sbaglio, vi ringrazio nuovamente e vi saluto.
Top
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Verifica che il router davanti all'Asa natti davvero tutto... Nell'Asa nat-traversal attivo, vero?
Purtroppo con il firewall senza un suo ip pubblico questi problemi vanno sempre messi in bilancio... :roll:

Ciao.
Top
ciaks
Cisco fan
Messaggi: 39
Iscritto il: ven 22 lug , 2005 10:31 pm

Nell'Asa nat-traversal attivo, vero?
Dalla conf degli ASA postata è presente il rigo:
crypto isakmp nat-traversal 20
Verifica che il router davanti all'Asa natti davvero tutto
Entrambi i router girano TUTTO sull'indirizzo ip esposto degli ASA. Di seguito le righe di uno dei router in questione che svolgono l'arduo compito.

interface FastEthernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
hold-queue 100 out
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation max-entries 4096
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static 10.0.0.2 interface Dialer0
!
access-list 1 permit 10.0.0.0 0.0.0.255
Top
ciaks
Cisco fan
Messaggi: 39
Iscritto il: ven 22 lug , 2005 10:31 pm

Forse sarebbe più opportuno spostare il post sulla sezione VPN... Non l'avevo notata.

Grazie, ciao!
Top
Rispondi

Torna a “Configurazioni”