Hej,
Klient ma Cisco ASA z dwoma ISP, dwie trasy domyslne z roznym AD. Potrzebowalem zapiac tunel Ipsec przez ISP2 (AD 7). Dodalem trase statyczna do swojego peera przez interface ISP2, skonfigurowalem wszystko i VPN wstaje od razu, widze ruch wchodzi w tunnel, pakiety enkapsulacji rosna i logi pokazuja TX. Problem w tym ze zaden z tych pakietow nie dochodzi na druga strone. Nie ma NAt-T ani nic z tych rzeczy, po prostu zwykly IPSec ikev1 w trybie tunnel. Skonfigurowalem drugi tunnel do swojego servera Strongswan i rzecz jest identyczna, jak puszczam pingi ze strony ASA, wchodza one w tunel, lecz tcpdump po drugiej stronie nic nie pokazuje. Mial ktos podobny problem? NAT itp wszystko skonifugrowane OK, packet tracer tez pokazuje ze wszystko jest allowed.
Cisco ASA IPSec ruch nie przechodzi na druga strone.
Re: Cisco ASA IPSec ruch nie przechodzi na druga strone.
Zgaduję: asymetria? W sensie, wysyłasz via ISP2, ale pakiety wracają via ISP1 (bo ISP2 myśli że to najlepsza ścieżka do Twojej ASA)?
Spróbuj zestawić tego Swana przez interfejs ASA-do-ISP1, wtedy działa?
Spróbuj zestawić tego Swana przez interfejs ASA-do-ISP1, wtedy działa?
Re: Cisco ASA IPSec ruch nie przechodzi na druga strone.
Dzieki za opdowiedz, no wlasnie nie. Wszystko idzie via ISP2 i wraca via ISP2 do peera.
Re: Cisco ASA IPSec ruch nie przechodzi na druga strone.
Temat mozna zamknac. Problemem okazal sie Cisco Meraki po stronie ISP2 ktory nie przepuszczal wychodzacych pakietow ESP (ip protcol 50)