CCIE.pl

JAk masz nat-control właczony albo PAT skonfigurowany dla sieci po stronie inside do np outside to tez musisz skonfigurowac translację do DMZ. Inaczej ASA zdropuje ruch z komunikatem "No matching global" Sprawdz packet tracerem: packet-tracer input inside tcp ADRESWLAN 1025 ADRESWDMZ_NATOW...

Ale co konkretnie Ci nie działa ? ruch z innych podsieci niz inside przez tunel VPN ? czy np dostęp do internetu ? Wg packet tracera ruch jest dropowany przez aclke z aaa - nie masz tam przypadkiem auth-proxy skonfigurowanego ?

Pokaz konfig z tego 5505.

Odepnij tez na czas testow aclke z interfejsu:

no ip access-group FIREWALL in

Jak widać tunel się nie zestawia i to mi nie działa, kilkadziesiąt innych tuneli do Subnet działa konfiguracja praktycznie bliźniacza z tą zmianą ze zamiast hosta po drugiej stronie mam wpisane podsieć. Tak jak pisałem poprzednio jedynym źródłem informacji na temat parametrów poszczególnych tuneli ...

witam, chętnie kupię w normalnej cenie: Routing TCP/IP, Volume 1 (2nd Edition) Routing TCP/IP, Volume II jeśli ktoś ma na sprzedaż proszę o kontakt przez pm, w warszawie mogę odebrać osobiście W ta niedziele i poniedziałek będzie można kupić te książki za 9.99$ w wersji elektronicznej. http://www.c...

Nie moze, bo bedzie zawsze kolejny aktywny SVI bedzie w stanie up/down. Poniewaz L2 przelaczniki nie wspieraja wiecej niz jeden SVI aktywny Horac ja mam kilka 2960G z dwoma SVI z adresacją z innych vlanów bez routingu, oba są up/up i działają. Więc to chyba jakiś historyczny limit w każdym razie ja...

Hej,

Chodziło mi oczywiście o:

packet-tracer input inside icmp IP_HOSTA_WLAN 8 0 IP_HOSTA_ZA2ASA detailed

Przez pomyłke wpisałem outside. Co do icmp to sprawdz czy masz włączoną inspekcję dla icmp bo w tym moze leżeć problem - dlatego lepiej do testu uzywać innego protokołu.

global (inside) 1 interface musisz zostawić bo inaczej ruch bedzie dropowany bo masz nat dla tej sieci. dodaj na ASA: fixup protocol icmp - chyba że masz już inspekcje dla icmp i pokaż wynik: packet-tracer input outside icmp IP_HOSTA_WLAN 8 0 IP_HOSTA_ZA2ASA detailed Druga sprawa czy możesz przetest...

Pokaz wynik:

packet-tracer in inside tcp IP_HOSTA_LAN1 1024 IP_HOSTA_ZA2ASA 80

Dodatkowo jak testujesz ? Jak jakąś przeglądarką to pokaż w trakcie testu:

sh conn | i IP_STACJI

znalazłem gdzieś w sieci i próbowałem z NAT: static (inside,inside) 192.168.4.0 192.168.4.0 255.255.255.0 oraz static (inside,inside) 192.168.32.0 192.168.32.0 255.255.240.0 znalazłem takie rozwiązanie gdzieś w necie (troszkę dziwne), i ktoś pisał że mu to zadziałało, ale niestety u mnie nie działa...

Na produkcyjnym fw sysopt odpada ze wzgledu ze kazdy tunnel ma okreslone acl recznie i nie moze ich pomijac, a z tego co wiem ta komenda to spowoduje. vpn-filter natomiast jest nie uzywany na tym fw. 30 tunneli jakos tak dziala, tylko ten jeden nie :-( No to zostaje Ci sprawdzenie zdalnej strony, a...

ar3k pisze:przepraszam za brak code - poprawie sie next time


co do sysopt i vpn filter niestety 2opcje odpadaja. co do acl z outside chyba zbedne skoro crypto i tak otwiera ruch w obie strony ?!

Dlaczego odpada ?

Przeczytaj do czego służy ta komenda która podałem.

Włącz na ASA:
Lub zezwól na aclce z outside ruch VPNa, jeżeli już chcesz filtrowac koniecznie ruch VPNowy to uzyj vpn-filter.

Sprawdz czy działa jak nie to puść z drugiej strony ping 100 z count 100 i pokaz sh crypto ipsec sa.

Wygląda tak jak by nic nie wracało z lan2 - w kazdym razie nie idzie w tunel widac po licznikach encaps:0

Pokaż konfig z drugiej strony - bez tego bedzie ciezko

Hm lan2 masz na innej adresacji niz w tunelu - czy tam jest jakis nat ? czy po wygenerowaniu pakietu packet-tracerem mozesz pokazac sh crypto ipsec sa z obu stron ? I to samo po probie ze stacji w lanie ?

I najlepiej pokazac konfig z drugiej strony ?