CCIE.pl

site 4 CCIE wannabies
It is currently 23 Jan 2017, 15:46

All times are UTC+01:00




Post new topic  Reply to topic  [ 6 posts ] 
Author Message
Post #1 Posted: 23 Nov 2016, 09:03 
Offline
wannabe
wannabe

Joined: 29 Jun 2009, 13:23
Posts: 93
witam,

mam sieć o prostej topologi LAN1----NON-CISCO----{INTERNET}----ASA5510<int inside>----LAN2. Pomiędzy NON-CISCO a ASA5510 jest tunel IPSEC. Hosty między sieciami LAN1 a LAN2 widzą się bez problemu.

Nie potrafię uruchomić możliwości pingowania z sieci LAN1 do interfejsu inside ASA5510 oraz bezpośrednio z ASA5510 do hostów w sieci LAN1.

Korzystam z funkcjonalności "route-based IPsec VPN" - cały ruch wpada w tunel:

Code:
access-list vpn-traffic-2 extended deny icmp any host <adres IP outside ASA>
access-list vpn-traffic-2 extended deny icmp host <adres IP outside ASA> any
access-list vpn-traffic-2 extended permit ip any any
crypto map VPN 1 match address vpn-traffic-2



znalazłem dwa potencjalne rowiązania, które nie pomogły:
a) management-access inside
b) dodanie route-lookup do natu, ale nie korzystam w tym przypadku z natu.

wersja softu na ASA to: 8.4(2).

Proszę o jakieś sugestie.

pozdrawiam


Top
   
Post #2 Posted: 23 Nov 2016, 11:30 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
a włączyłeś inspekcję ICMP na asa? bo domyślnie jest wyłączona, a może "dodatek";)
bo sam kilka razy zapomniałem a potem miałem zdziwko że coś nie chodzi;)


Top
   
Post #3 Posted: 23 Nov 2016, 12:20 
Offline
wannabe
wannabe

Joined: 29 Jun 2009, 13:23
Posts: 93
Code:
policy-map global_policy
 class inspection_default
  inspect icmp
  inspect icmp error


tak, została włączona.


Top
   
Post #4 Posted: 24 Nov 2016, 09:00 
Offline
wannabe
wannabe

Joined: 29 Jun 2009, 13:23
Posts: 93
Oczywiście ping to przykład. Generalnie potrzebuję monitorować interfejs inside po snmp oraz aktualizować czas na ASA5510 z serwerów, które znajdują się po drugiej stronie tunelu.


Top
   
Post #5 Posted: 29 Nov 2016, 21:00 
Offline
wannabe
wannabe

Joined: 01 Sep 2014, 10:46
Posts: 122
Jak dalej to nie działa to mogę jutro zestawić w Labie przykład takiego VPN;) i sprawdzić czy się uda;)


Top
   
Post #6 Posted: 06 Dec 2016, 17:31 
Offline
wannabe
wannabe

Joined: 29 Jun 2009, 13:23
Posts: 93
poproszę;)


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 6 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited