VPN problem

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

VPN problem

#1

#1 Post autor: weis »

Mam prosta topologie:
host A---rtr(site A)---internet---asa(site B)---host B
Vpn miedzy site'ami sobie milo działa, ale jest jeden problem. Żaden z hostów z site A nie może się dobić na interfejs inside asy. Tzn komunikacja jest otwarta pakiety docierają na adres inside ale asa z uporem maniaka odpowiada na pytania zadawane na inside z source addr outside co skutkuje niezgodnościa adresów. Nat 0 na routerku i na asie jest skonfigurowany odpowiednio.
Dodatkowo warto wspomniec ze rtr jest skonfigurowany na patyku a asa to słynna 5505 ;)

Ktoś ma jakieś pomysły co sprawdzić?
Ostatnio zmieniony 03 mar 2009, 15:44 przez weis, łącznie zmieniany 1 raz.
Fire, aim, ready!

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

A po co ten access? Zarzadzanie?
Jak tak, to dodaj na ASA:

Kod: Zaznacz cały

management-access inside
Upsss, korekta. ASA jest w B i lokalni nie moga sie do ASA dostac? Czy tez to literowka i miales na mysli hosty z A? Jak maja sie dostawac? Telnet, SSH, HTTPS, ICMP?
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#3

#3 Post autor: weis »

Literówka, mea culpa. Chodzilo o site A poprawiłem.
Chodzi głownie o snmp. Ale pingi tak robia i shh tak dziwnie odpowiada, sadze ze https tez bedzie stwarzal problemy.
Fire, aim, ready!

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#4

#4 Post autor: weis »

Po wydaniu tej komendy pingi zaczelu hulac :) Nie wiem czemu :/ Sprawdze reszte komunikacji.
Fire, aim, ready!

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#5

#5 Post autor: Seba »

weis pisze:Po wydaniu tej komendy pingi zaczelu hulac :) Nie wiem czemu :/
Powtorka z mantry, ktora jakis czas temu pojawiala sie na forum - ASA/PIX to nie router :)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#6

#6 Post autor: weis »

A można coś szerzej co ma managment access do tego że router mimo odpowiedniej konfiguracji nat0 i vpn etc. Odpowiadał adresem outside wewnątrz tunelu? Bo to zachowanie mnie zdziwiło. Oczywiście po wydaniu tej koemndy wszystko bez problemu ruszyło.
Fire, aim, ready!

grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#7

#7 Post autor: grzes1981 »

weis pisze:A można coś szerzej co ma managment access do tego że router mimo odpowiedniej konfiguracji nat0 i vpn etc. Odpowiadał adresem outside wewnątrz tunelu? Bo to zachowanie mnie zdziwiło. Oczywiście po wydaniu tej koemndy wszystko bez problemu ruszyło.
cytując:
Managing the Security Appliance on a Different Interface from the VPN Tunnel Termination Interface

If your IPSec VPN tunnel terminates on one interface, but you want to manage the security appliance by accessing a different interface, then enter the following command:

hostname(config)# management access management_interface


where management_interface specifies the name of the management interface you want to access when entering the security appliance from another interface.

For example, if you enter the security appliance from the outside interface, this command lets you connect to the inside interface using Telnet; or you can ping the inside interface when entering from the outside interface.

You can define only one management-access interface.
wystarczy?

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#8

#8 Post autor: weis »

W zupełności :mrgreen: Dzięki!
Fire, aim, ready!

ODPOWIEDZ