CCIE.pl

Skoro masz dobrze ustawione Crypto ACL po obu stronach to zobacz jeszcze jak routowany jest pakiet do 8.8.8.8.

Cześć,
Musisz zmodyfikować Crypto ACL i dać permit 10.10.10.0/24 any. Inaczej pakiety nie wpadną w tunel IPsec, tylko zostaną od razu zdropowane.

Cześć,
Zapomnij o L2TP. Jeśli RA VPN na ASAch to tylko SSL/IPsec. W ASDMie są tutoriale i można to łatwo wyklikać.

https://en.wikipedia.org/wiki/Layer_2_T ... g_Protocol

Cześć,
Wygląda to jak NAT zrobiony na potrzeby Remote Access VPN. CZyli dostęp do puszki z zewnątrz (outside).

Proponuje odpalić SNMP i skorzystać z PRTG/Cacti. Na wykresach będziesz miał ładnie pokazane jak są obciążone linki. Jeżeli okaże się, że 1G staje się wąskim gardłem to zastosuj LAG (LACP, itd.). Jeżeli chcesz to testować kopiując pliki między dwoma komputerami podłączonymi do dwóch różnych przełącz...

Na pierwszy rzut oka wygląda, że brakuje tego o czym napisałeś :) poprawne zestawienie tunelu ISAKMP (inaczej Phase1/Main Mode) wymaga konfiguracji następujacych parametrów i muszą się zgadzać po obu stronach (wyjątkiem jest chyba tylko niezgodność parametru L - lifetime) H - hashing A - authenticat...

Może warto pomyśleć o konfiguracji wewnętrznego serwera DNS dla klientów VPN skoro tunelujesz cały ruch . Nie będziesz musiał się bawić w edycję plików hosts.

Masz jakieś logi (np z serwera syslog)? Może tam jest odpowiedź na Twoje pytanie.
Dodatkowo pokaż jak wyglądają ACLki OUTSIDE -> VLAN2 i VLAN2 -> OUTSIDE i service policy przypisana do tych interfejsów.

Wrzuć poglądowy schemat przyłącza do Internetu. Korzystasz z 1/2 ISP? Może asymetryczny routing gdzieś się pojawia?

Sprecyzuj czy ASA dropuje połączenia ipsec zawsze od tych samych zewnetrznych peerów próbujących zestawić tunel? Czy dzieje się to losowo?

Hej, Z tego co wiem to w nowym sofcie od 9.3(2) jest dostepna opcja "traffic zone", ktora wlasnie adresuje podobne sytuacje gdzie ma sie wiecej niz jeden interfejs WAN. Sprawdz to, wiecej tutaj: http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/asdm75/general/asdm-75-general-config/...

Witam, Proponuje spojrzeć na raport firmy Miercom odnośnie wydajności routerów ISR. Podeślij mi maila na priv do Ci go wyślę. To jakaś tajemnica? :D Jest tu: http://www.cisco.com/c/dam/en/us/products/collateral/routers/4400-series-integrated-services-routers-isr/miercomreport_cisco_isr_4451-x_route...

Witam,
Proponuje spojrzeć na raport firmy Miercom odnośnie wydajności routerów ISR. Podeślij mi maila na priv do Ci go wyślę.

Co to za środowisko? Produkcyjne/testowe? Pokaż jak masz skonfigurowany serwer i pulę DHCP + ip dhcp excluded address. Dodatkowo sprawdź ile adresów masz aktualnie wykorzystywanych komendą: show ip dhcp binding Może masz kogoś w sieci kto skutecznie przeprowadza DHCP starvation attack. Pomyśl o włąc...

Sprawdź sterowniki kart sieciowych pod vmwarem. Spotkałem się kiedyś z taką sytuacją. Pod Hyper-V było jeszcze ciekawiej bo po 5 minutach firewalle/switche wysyłające logi do serwera syslog (wirtualka na hyper-v) zaczynały broadcastować logami na całą podsiec mgmt. Po analizie okazało się, że wirtua...

Witam, Miałem kiedyś podobną sytuacje. Przepinałem 4 APki Cisco ze switcha 2960S na 3560-CX no i 3 na 4 się podniosły. Zmiana softu też nie pomogła. Czasami długość/typ kabla UTP ma znaczenie. Zdarzyło mi się ze dwa razy, że APki nie podnosiły się przy wpięciu bezpośrednio w switche 2960X. Musiałem ...