Добрый день!
Помогите чайнику :)Пытаюсь собрать site2site (l2l) VPN между ASA5505 и Checkpoint (R77.10).
Собственно сам тунель более-менее понимается, но:
- если пустить ASA в ребут, то пинги из сети за Checkpoint в сеть за ASA не идут.
- если в процессе ребута ASA в сети за Checkpoint оставить включенными пинги (ping -t) на устройства в сети за ASA, то после того, как ASA поднимется, пинги будут. Причем это довольно избирательно - за Асой стоят Лептоп и Телефон - оба в разных vlan. То пингуются оба, то только кто-то один, то по очереди. Конфиг не меняется, только роняю соединение.Подскажите, плз куда рыть.
>[оверквотинг удален]
> Собственно сам тунель более-менее понимается, но:
> - если пустить ASA в ребут, то пинги из сети за
> Checkpoint в сеть за ASA не идут.
> - если в процессе ребута ASA в сети за Checkpoint оставить
> включенными пинги (ping -t) на устройства в сети за ASA, то
> после того, как ASA поднимется, пинги будут. Причем это довольно избирательно
> - за Асой стоят Лептоп и Телефон - оба в разных
> vlan. То пингуются оба, то только кто-то один, то по очереди.
> Конфиг не меняется, только роняю соединение.
> Подскажите, плз куда рыть.Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac таблиц на устройствах.
Такое часто встречается и на других железках и схемах.Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми", типа ping в cron, и нет больше проблемы.
>[оверквотинг удален]
>> после того, как ASA поднимется, пинги будут. Причем это довольно избирательно
>> - за Асой стоят Лептоп и Телефон - оба в разных
>> vlan. То пингуются оба, то только кто-то один, то по очереди.
>> Конфиг не меняется, только роняю соединение.
>> Подскажите, плз куда рыть.
> Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac
> таблиц на устройствах.
> Такое часто встречается и на других железках и схемах.
> Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми",
> типа ping в cron, и нет больше проблемы.Возможно.
Странно, почему с устройств за АСой все пингуется и доступно, как положено.
>> Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac
>> таблиц на устройствах.
> Возможно.
> Странно, почему с устройств за АСой все пингуется и доступно, как положено.Так перезагрузкой ASA вы создали проблему arp для устройств за ASA,
а сразуже сделали эти устройства "немолчаливыми" попингав с них, чем тут же и устранили созданную проблему arp.Забыл добавить. Ещё сталкивался что l2l туннели сами по себе (построенные на ASA) не любят "молчаливые станции/сети".