L2L VPN pomiędzy ASA 9.2 a PaloAlto

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
natomiast
wannabe
wannabe
Posty: 135
Rejestracja: 10 sty 2008, 16:44

L2L VPN pomiędzy ASA 9.2 a PaloAlto

#1

#1 Post autor: natomiast »

Witam,
Mam prostą topologię:
LAN-10.10.18.0/24 |-PaloAlto<----------INTERNET------------>ASA-| LAN-10.10.31.0/24
Chciałbym zestawić L2L VPN pomiędzy sieciami 10.10.X.X/24. Zarówno na ASA i Palo jest skonfigurowany PAT. Jest dostęp do hostów w Internecie. Na obu urządzeniach skonfigurowałem IPSec-a jednak brak komunikacji pomiędzy LAN-ami. Jeżeli próbuje pingowć hosta z sieci 10.10.31.0 np. 10.10.18.10 tunel się nie podnosi, brak ruchu. W odwrotnej sytuacji obie fazy tunelu się zestawiają jednak nadal brak ruchu. Na ASA-ie widzę:

Kod: Zaznacz cały

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
      #pkts compressed: 0, #pkts decompressed: 0
Config ASA:

Kod: Zaznacz cały

interface GigabitEthernet0/0.13
 vlan 13
 nameif OUTSIDE
 security-level 0
 ip address IP
!
interface GigabitEthernet0/0.31
 vlan 31
 nameif INSIDE
 security-level 100
 ip address IP
!
object network LAN_31
 subnet 10.10.31.0 255.255.255.0
object-group network VPN-REMOTE-SITE
 network-object 10.10.18.0 255.255.255.0
access-list NAT_ACL extended permit ip 10.10.31.0 255.255.255.0 any
access-list NAT_ACL extended permit icmp any any
access-list NAT_ACL extended deny ip 10.10.31.0 255.255.255.0 10.10.18.0 255.255.255.0
access-list VPN-ALLOWED extended permit ip 10.10.31.0 255.255.255.0 10.10.18.0 255.255.255.0
!
object network LAN_31
 nat (INSIDE,OUTSIDE) dynamic interface
access-group NAT_ACL in interface OUTSIDE
!
route OUTSIDE 0.0.0.0 0.0.0.0 GW_IP
!
crypto ipsec ikev1 transform-set MY-TRANS esp-3des esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map MY-MAP 1 match address VPN-ALLOWED
crypto map MY-MAP 1 set peer 10.10.17.1
crypto map MY-MAP 1 set ikev1 transform-set MY-TRANS
crypto map MY-MAP 1 set security-association lifetime seconds 28800
crypto map MY-MAP interface OUTSIDE
crypto ca trustpool policy
crypto ikev1 enable OUTSIDE
crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 28800
!
group-policy VPN-POLICY internal
group-policy VPN-POLICY attributes
 vpn-tunnel-protocol ikev1
!
tunnel-group 10.10.17.1 type ipsec-l2l
tunnel-group 10.10.17.1 general-attributes
 default-group-policy VPN-POLICY
tunnel-group 10.10.17.1 ipsec-attributes
 ikev1 pre-shared-key *****
Z góry dziękuje za wszelaką pomoc.
Na górę
eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#2

#2 Post autor: eljot »

nie widzę wykluczenia z natu:
nat (inside,outside) source static LAN_31 LAN_31 destination static VPN-REMOTE-SITE VPN-REMOTE-SITE
Na górę
natomiast
wannabe
wannabe
Posty: 135
Rejestracja: 10 sty 2008, 16:44

#3

#3 Post autor: natomiast »

Pyka, dzięki eljot :D
Na górę
ODPOWIEDZ

Wróć do „Security”