Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.71/7: Рейтинг темы: голосов - 7, средняя оценка - 4.71
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
1

Cisco ASA VPN Trouble

23.09.2013, 23:01. Просмотров 1443. Ответов 7
Метки нет (Все метки)

Добрый вечер! Столкнулся с проблемой.. 2 ASA, настроил между ними VPN. Туннель поднимается когда через него пытается идти трафик(можно ли сделать, чтобы постоянно держался?) , Packet Tracer показывает, что все должно ходить, но когда пытаюсь делать ping с PС на inside интерфейс удаленной ASA - никакой реакции.
Маршруты на PC прописаны.
Не подскажите?
Первый конфиг
Кликните здесь для просмотра всего текста
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
ASA Version 9.0(1) 
!
hostname ASA-1-VPN
domain-name [url]www.ru[/url]
enable password 12345 encrypted
passwd 12345 encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.137.150 255.255.0.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 100.1.2.3 255.255.255.224 
!
boot system disk0:/asa901-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
 name-server 192.168.137.16
 name-server 192.168.137.19
 domain-name [url]www.ru[/url]
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object network Site-B
 subnet 192.168.137.0 255.255.255.0
object network Site-A
 subnet 10.0.0.0 255.255.255.0
access-list outside_cryptomap extended permit ip object Site-B object Site-A 
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711-52.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static Site-B Site-B destination static Site-A Site-A no-proxy-arp route-lookup
!
object network obj_any
 nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 195.144.227.33 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
aaa authentication http console LOCAL 
http server enable
http 192.168.137.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev2 ipsec-proposal AES256
 protocol esp encryption aes-256
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 36.15.23.14 
crypto map outside_map 1 set ikev2 ipsec-proposal AES256
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 enable outside
telnet timeout 5
ssh 192.168.0.0 255.255.0.0 inside
ssh timeout 5
console timeout 0
 
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1
group-policy GroupPolicy_36.15.23.14 internal
group-policy GroupPolicy_36.15.23.14 attributes
 vpn-tunnel-protocol ikev2 
username logi password 1234 encrypted
tunnel-group 36.15.23.14 type ipsec-l2l
tunnel-group 36.15.23.14 general-attributes
 default-group-policy GroupPolicy_36.15.23.14
tunnel-group 36.15.23.14 ipsec-attributes
 ikev2 remote-authentication pre-shared-key 123456
 ikev2 local-authentication pre-shared-key 123456
!
!
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:4bab218a3f20b27d0394622970cd26d7
: end


И второй
Кликните здесь для просмотра всего текста
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
hostname ASA-2-VPN
enable password 123 encrypted
passwd 123 encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.0.0.103 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 36.15.23.14 255.255.255.248 
!
boot system disk0:/asa901-k8.bin
ftp mode passive
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object network Site-A
 subnet 10.0.0.0 255.255.255.0
object network Site-B
 subnet 192.168.137.0 255.255.255.0
access-list outside_cryptomap extended permit ip object Site-A object Site-B 
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711-52.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static Site-A Site-A destination static Site-B Site-B no-proxy-arp route-lookup
!
object network obj_any
 nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 36.15.23.11 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL 
aaa authentication http console LOCAL 
http server enable
http 192.168.0.0 255.255.0.0 inside
http 20.20.10.31 255.255.255.255 outside
http 20.20.10.33 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev2 ipsec-proposal AES256
 protocol esp encryption aes-256
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 100.1.2.3 
crypto map outside_map 1 set ikev2 ipsec-proposal AES256
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 enable outside
telnet timeout 5
ssh 192.168.0.0 255.255.0.0 inside
ssh 20.20.10.33 255.255.255.255 outside
ssh 20.20.10.31 255.255.255.255 outside
ssh timeout 5
console timeout 0
 
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 109.195.19.73 source outside
ssl encryption aes256-sha1 aes128-sha1 3des-sha1
group-policy GroupPolicy_100.1.2.3 internal
group-policy GroupPolicy_100.1.2.3 attributes
 vpn-tunnel-protocol ikev2 
username logi password 1234 encrypted
tunnel-group 100.1.2.3 type ipsec-l2l
tunnel-group 100.1.2.3 general-attributes
 default-group-policy GroupPolicy_100.1.2.3
tunnel-group 100.1.2.3 ipsec-attributes
 ikev2 remote-authentication pre-shared-key 123456
 ikev2 local-authentication pre-shared-key 123456
!
!
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:1e887d37040efeed21345493e36d2f54
: end
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
23.09.2013, 23:01
Ответы с готовыми решениями:

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R. Между ASAv4 и ASAv5 -...

Реализация VPN в Cisco ASA
Всем привет. Помогите разобраться как реализован VPN в Cisco ASA: 1) Не могу понять какую роль...

Cisco ASA VPN S-t-S. Как выключить?
А как можно выключить S-t-S подключение на ASA? Просто off сделать, не удаляя ничего?

Настройка SSL VPN (WebVPN) на cisco ASA
Всем привет. Нужна программа anyconnect-win-2.5.2019-k9.pkg или другая версия для ASA 8.4(2). Если...

Не пингуется сервер через VPN на Cisco ASA
Ситуация такая. Есть две сети, между которыми настроен VPN через Cisco ASA. Есть 2 сервера каждой...

7
Jabbson
Эксперт по компьютерным сетям
3481 / 2519 / 779
Регистрация: 03.11.2009
Сообщений: 7,952
Записей в блоге: 3
23.09.2013, 23:46 2
Аса не даст пинговать свой интерфейс через другой интерфейс. Так задумано.

чтобы постоянно держался можно попробовать:
Код
vpn-idle-timeout none
vpn-session-timeout none
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
23.09.2013, 23:50  [ТС] 3
А если пинговать с inside интерфейса ASA удаленный ПК?

Не по теме:

Цитата Сообщение от Jabbson Посмотреть сообщение
vpn-idle-timeout none
vpn-session-timeout none
спасибо!)

0
Jabbson
Эксперт по компьютерным сетям
3481 / 2519 / 779
Регистрация: 03.11.2009
Сообщений: 7,952
Записей в блоге: 3
23.09.2013, 23:53 4
Цитата Сообщение от jlevistk Посмотреть сообщение
А если пинговать с inside интерфейса ASA удаленный ПК?
для чистоты эксперимента лучше всегда пинговать между конечными устройствами.
1
23.09.2013, 23:53
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
24.09.2013, 00:07  [ТС] 5
Цитата Сообщение от Jabbson Посмотреть сообщение
для чистоты эксперимента лучше всегда пинговать между конечными устройствами.

Не по теме:

Я почему то помню как я пинговал внутренний удаленный интерфейс асы.. И с него пинговал хосты в удаленной сети. Приснилось что ли..?(

0
Jabbson
Эксперт по компьютерным сетям
3481 / 2519 / 779
Регистрация: 03.11.2009
Сообщений: 7,952
Записей в блоге: 3
24.09.2013, 02:00 6
По соображениям безопасности, cisco asa не позволяет обращения на "far-end" интерфейс, как в случае с обращением из inside подсети на outside интерфейс или наоборот. Возможно, для L2L vpn это можно обойти если сделать:

The management-access command allows users to connect to the management-access interface from the outside ONLY when the user is connected to PIX/ASA using a full tunnel IPSec VPN or SSL VPN client (AnyConnect 2.x client, SVC 1.x) or across a site-to-site IPSec tunnel.

Код
    pix(config)#management-access inside
    pix(config)#show running-config management-access
    management-access inside
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
24.09.2013, 10:37  [ТС] 7
Цитата Сообщение от Jabbson Посмотреть сообщение
management-access inside
то что надо.. )
0
Jabbson
Эксперт по компьютерным сетям
3481 / 2519 / 779
Регистрация: 03.11.2009
Сообщений: 7,952
Записей в блоге: 3
24.09.2013, 11:58 8
Цитата Сообщение от jlevistk Посмотреть сообщение
то что надо.. )
супер!
0
24.09.2013, 11:58
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
24.09.2013, 11:58

Пинг Cisco ASA через VPN-туннель
Коллеги, доброго дня! В филиале надо было настроить Cisco ASA 5505, поднять VPN-туннель с...

Создание vpn между несколькими ASA 5506-X - Cisco
Есть 6 штук, asa 5506-x, провайдер который предоставляет vpn в 6 филиалах компании по 1 айпи...

Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.