URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19955
[ Назад ]

Исходное сообщение
"VPN Site to Site - не работает (5505)"
Отправлено skatet , 04-Ноя-09 09:09

Всем привет ув. знатоки, вопрос сходу - взгляните пж на мой конфиг АСЫ 5505 - все ли тут верно - ато туннель не подымается. Конфиг второй стороны к сож пока нету, грубо говоря соблюдена ли логика и синтаксис хотя бы, если да то буду копать далее, возм на той стороне проблемы.
А идея сама такая:
с офиса 192.168.0.0 через 192.168.0.111-(АСА5505)-10.4.248.174 - NAT: 10.25.212.1- 10.4.248.1-(Роутер)-10.х.х.х
Заранее Всех Благодарю!
hostname asa5505
interface Vlan1
nameif outside
security-level 0
ip address 10.4.248.174 255.255.255.0
interface Vlan2
nameif inside
security-level 100
ip address 192.168.0.111 255.255.255.0
int ethernet 0/1
switchport access vlan 1
no shutdown
int ethernet 0/2
switchport access vlan 2
no shutdown
logging enable
logging buffered debugging
http server enable
http 192.168.0.77 255.255.255.255 inside
object-group network Clients
  network-object host 192.168.0.77
  network-object host 192.168.0.177
  network-object host 192.168.0.150
object-group network Server
  network-object 10.4.248.1 255.255.255.255
access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0
access-list lan permit tcp object-group Clients object-group Server eq citrix-ica
access-list lan permit udp object-group Clients object-group Server eq 1604
access-list lan permit icmp object-group Clients object-group Server
static (inside,outside) 10.25.212.1 192.168.0.77 netmask 255.255.255.255
static (inside,outside) 10.25.212.2 192.168.0.177 netmask 255.255.255.255
static (inside,outside) 10.25.212.3 192.168.0.150 netmask 255.255.255.255
access-group lan in interface inside
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside
logging asdm informational
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map mymap 10 match address vpn
crypto map mymap 10 set peer 10.4.248.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set security-association lifetime seconds 2700
crypto map mymap 10 set pfs group2
crypto map mymap interface outside
sysopt connection permit-ipsec
tunnel-group 10.4.248.1 type ipsec-l2l
tunnel-group 10.4.248.1 ipsec-attributes
pre-shared-key Uyvbs79HB82jkaW
crypto isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 600
crypto isakmp enable outside
ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 60

Содержание

VPN Site to Site - не работает (5505),sh_, 17:13 , 05-Ноя-09
- VPN Site to Site - не работает (5505),skatet, 22:16 , 05-Ноя-09

Сообщения в этом обсуждении

"VPN Site to Site - не работает (5505)"
Отправлено sh_ , 05-Ноя-09 17:13

>access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0
Здесь dst должна быть сетка за второй асой.

>access-group lan in interface inside
сделайте так: no access-group lan in interface inside

"VPN Site to Site - не работает (5505)"
Отправлено skatet , 05-Ноя-09 22:16

>
>>access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0
>
>Здесь dst должна быть сетка за второй асой.
>
>
>>access-group lan in interface inside
>
>сделайте так: no access-group lan in interface inside
- Вы как никогда правы!
Все отлично, уже подняли туннель - Ваше сообщение я увидел позже - но вы все верно написали, единственное access-group lan in interface inside - я оставил - но это как я понял для отключения acl на время пуско-наладочных работ.
Респект Вам за ваши Знания ==> Старания!