URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1706
[ Назад ]

Исходное сообщение
"Настройка VPN ASA-Checkpoint"
Отправлено Igortol , 07-Май-15 16:06

Добрый день!
Помогите чайнику :)
Пытаюсь собрать site2site (l2l) VPN между ASA5505 и Checkpoint (R77.10).
Собственно сам тунель более-менее понимается, но:
- если пустить ASA в ребут, то пинги из сети за Checkpoint в сеть за ASA не идут.
- если в процессе ребута ASA в сети за Checkpoint оставить включенными пинги (ping -t) на устройства в сети за ASA, то после того, как ASA поднимется, пинги будут. Причем это довольно избирательно - за Асой стоят Лептоп и Телефон - оба в разных vlan. То пингуются оба, то только кто-то один, то по очереди. Конфиг не меняется, только роняю соединение.
Подскажите, плз куда рыть.

Содержание

Настройка VPN ASA-Checkpoint,cant, 16:26 , 07-Май-15
- Настройка VPN ASA-Checkpoint,Igortol, 16:34 , 07-Май-15
  - Настройка VPN ASA-Checkpoint,cant, 16:48 , 07-Май-15

Сообщения в этом обсуждении

"Настройка VPN ASA-Checkpoint"
Отправлено cant , 07-Май-15 16:26

>[оверквотинг удален]
> Собственно сам тунель более-менее понимается, но:
> - если пустить ASA в ребут, то пинги из сети за
> Checkpoint в сеть за ASA не идут.
> - если в процессе ребута ASA в сети за Checkpoint оставить
> включенными пинги (ping -t) на устройства в сети за ASA, то
> после того, как ASA поднимется, пинги будут. Причем это довольно избирательно
> - за Асой стоят Лептоп и Телефон - оба в разных
> vlan. То пингуются оба, то только кто-то один, то по очереди.
> Конфиг не меняется, только роняю соединение.
> Подскажите, плз куда рыть.
Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac таблиц на устройствах.
Такое часто встречается и на других железках и схемах.
Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми", типа ping в cron, и нет больше проблемы.

"Настройка VPN ASA-Checkpoint"
Отправлено Igortol , 07-Май-15 16:34

>[оверквотинг удален]
>> после того, как ASA поднимется, пинги будут. Причем это довольно избирательно
>> - за Асой стоят Лептоп и Телефон - оба в разных
>> vlan. То пингуются оба, то только кто-то один, то по очереди.
>> Конфиг не меняется, только роняю соединение.
>> Подскажите, плз куда рыть.
> Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac
> таблиц на устройствах.
> Такое часто встречается и на других железках и схемах.
> Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми",
> типа ping в cron, и нет больше проблемы.
Возможно.
Странно, почему с устройств за АСой все пингуется и доступно, как положено.

"Настройка VPN ASA-Checkpoint"
Отправлено cant , 07-Май-15 16:48

>> Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac
>> таблиц на устройствах.
> Возможно.
> Странно, почему с устройств за АСой все пингуется и доступно, как положено.
Так перезагрузкой ASA вы создали проблему arp для устройств за ASA,
а сразуже сделали эти устройства "немолчаливыми" попингав с них, чем тут же и устранили созданную проблему arp.
Забыл добавить. Ещё сталкивался что l2l туннели сами по себе (построенные на ASA) не любят "молчаливые станции/сети".