Mam prostą topologię:
LAN-10.10.18.0/24 |-PaloAlto<----------INTERNET------------>ASA-| LAN-10.10.31.0/24
Chciałbym zestawić L2L VPN pomiędzy sieciami 10.10.X.X/24. Zarówno na ASA i Palo jest skonfigurowany PAT. Jest dostęp do hostów w Internecie. Na obu urządzeniach skonfigurowałem IPSec-a jednak brak komunikacji pomiędzy LAN-ami. Jeżeli próbuje pingowć hosta z sieci 10.10.31.0 np. 10.10.18.10 tunel się nie podnosi, brak ruchu. W odwrotnej sytuacji obie fazy tunelu się zestawiają jednak nadal brak ruchu. Na ASA-ie widzę:
Kod: Zaznacz cały
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
#pkts compressed: 0, #pkts decompressed: 0
Kod: Zaznacz cały
interface GigabitEthernet0/0.13
vlan 13
nameif OUTSIDE
security-level 0
ip address IP
!
interface GigabitEthernet0/0.31
vlan 31
nameif INSIDE
security-level 100
ip address IP
!
object network LAN_31
subnet 10.10.31.0 255.255.255.0
object-group network VPN-REMOTE-SITE
network-object 10.10.18.0 255.255.255.0
access-list NAT_ACL extended permit ip 10.10.31.0 255.255.255.0 any
access-list NAT_ACL extended permit icmp any any
access-list NAT_ACL extended deny ip 10.10.31.0 255.255.255.0 10.10.18.0 255.255.255.0
access-list VPN-ALLOWED extended permit ip 10.10.31.0 255.255.255.0 10.10.18.0 255.255.255.0
!
object network LAN_31
nat (INSIDE,OUTSIDE) dynamic interface
access-group NAT_ACL in interface OUTSIDE
!
route OUTSIDE 0.0.0.0 0.0.0.0 GW_IP
!
crypto ipsec ikev1 transform-set MY-TRANS esp-3des esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map MY-MAP 1 match address VPN-ALLOWED
crypto map MY-MAP 1 set peer 10.10.17.1
crypto map MY-MAP 1 set ikev1 transform-set MY-TRANS
crypto map MY-MAP 1 set security-association lifetime seconds 28800
crypto map MY-MAP interface OUTSIDE
crypto ca trustpool policy
crypto ikev1 enable OUTSIDE
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 5
lifetime 28800
!
group-policy VPN-POLICY internal
group-policy VPN-POLICY attributes
vpn-tunnel-protocol ikev1
!
tunnel-group 10.10.17.1 type ipsec-l2l
tunnel-group 10.10.17.1 general-attributes
default-group-policy VPN-POLICY
tunnel-group 10.10.17.1 ipsec-attributes
ikev1 pre-shared-key *****