URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16822
[ Назад ]

Исходное сообщение
"cisco ASA (трафик с асы в впн)"

Отправлено cYbErLoRd , 30-Июл-08 09:10 
Всем привет. По мере изучения асы, появился вопросик. Как разрешить трафик с самой асы (когда заходишь на нее телнетом) в подсеть, которая находится на другой стороне site-to-site VPNа (ВПН ессно строится на самой асе).
Т.е.

             site-to-site VPN
-------(ASA)<---------------->(router)--------
1.0/24                                 2.0/24  

подсети 2.0 и 1.0 видят друг друга нормально.
Но если попытаться с асы слить ее конфиг на тфтп сервер, который находится в 2.0, то ничего не работает (т.е. пакеты не уходят в впн почему-то)

Может кто знает как решить эту проблему?


Содержание

Сообщения в этом обсуждении
"cisco ASA (трафик с асы в впн)"
Отправлено chocholl , 30-Июл-08 09:43 
а покажи аксес листы на двух устройствах, тогда понятно будет.


>[оверквотинг удален]
>          
>          2.0/24
>
>
>подсети 2.0 и 1.0 видят друг друга нормально.
>Но если попытаться с асы слить ее конфиг на тфтп сервер, который
>находится в 2.0, то ничего не работает (т.е. пакеты не уходят
>в впн почему-то)
>
>Может кто знает как решить эту проблему?


"cisco ASA (трафик с асы в впн)"
Отправлено cYbErLoRd , 30-Июл-08 14:16 
Сейчас к сожалению показать конфиги не могу, но могу точно сказать, что на внутреннем и-фейсе разрешен весь трафик на ружу (any -> any)
а в крипто мапах разрешен трафик из одной подсети в другую и наоборот.
Фишка в том, что из 1.0 пингуется и-фейс роутра, стоящего на другой стороне тунеля, а вот с самой асы, этот и-фейс уже не пингуется...
Как прописать правило, которое разрешает трафик с асы в впн-сеть?

"cisco ASA (трафик с асы в впн)"
Отправлено chocholl , 30-Июл-08 16:20 
добавь в крипто-аксес листы адреса ipsec пиров.

>Сейчас к сожалению показать конфиги не могу, но могу точно сказать, что на внутреннем и-фейсе разрешен весь трафик на ружу (any -> any)
>а в крипто мапах разрешен трафик из одной подсети в другую и
>наоборот.
>Фишка в том, что из 1.0 пингуется и-фейс роутра, стоящего на другой
>стороне тунеля, а вот с самой асы, этот и-фейс уже не
>пингуется...
>Как прописать правило, которое разрешает трафик с асы в впн-сеть?