Всем привет. По мере изучения асы, появился вопросик. Как разрешить трафик с самой асы (когда заходишь на нее телнетом) в подсеть, которая находится на другой стороне site-to-site VPNа (ВПН ессно строится на самой асе).
Т.е.

             site-to-site VPN
-------(ASA)<---------------->(router)--------
1.0/24                                 2.0/24  

подсети 2.0 и 1.0 видят друг друга нормально.
Но если попытаться с асы слить ее конфиг на тфтп сервер, который находится в 2.0, то ничего не работает (т.е. пакеты не уходят в впн почему-то)

Может кто знает как решить эту проблему?

• cisco ASA (трафик с асы в впн),chocholl, 09:43 , 30-Июл-08
  • cisco ASA (трафик с асы в впн),cYbErLoRd, 14:16 , 30-Июл-08
    • cisco ASA (трафик с асы в впн),chocholl, 16:20 , 30-Июл-08

а покажи аксес листы на двух устройствах, тогда понятно будет.

>[оверквотинг удален]
>          
>          2.0/24
>
>
>подсети 2.0 и 1.0 видят друг друга нормально.
>Но если попытаться с асы слить ее конфиг на тфтп сервер, который
>находится в 2.0, то ничего не работает (т.е. пакеты не уходят
>в впн почему-то)
>
>Может кто знает как решить эту проблему?

Сейчас к сожалению показать конфиги не могу, но могу точно сказать, что на внутреннем и-фейсе разрешен весь трафик на ружу (any -> any)
а в крипто мапах разрешен трафик из одной подсети в другую и наоборот.
Фишка в том, что из 1.0 пингуется и-фейс роутра, стоящего на другой стороне тунеля, а вот с самой асы, этот и-фейс уже не пингуется...
Как прописать правило, которое разрешает трафик с асы в впн-сеть?

добавь в крипто-аксес листы адреса ipsec пиров.

>Сейчас к сожалению показать конфиги не могу, но могу точно сказать, что на внутреннем и-фейсе разрешен весь трафик на ружу (any -> any)
>а в крипто мапах разрешен трафик из одной подсети в другую и
>наоборот.
>Фишка в том, что из 1.0 пингуется и-фейс роутра, стоящего на другой
>стороне тунеля, а вот с самой асы, этот и-фейс уже не
>пингуется...
>Как прописать правило, которое разрешает трафик с асы в впн-сеть?