The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VPN Site to Site - не работает (5505)"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"VPN Site to Site - не работает (5505)"  +/
Сообщение от skatet email(ok) on 04-Ноя-09, 09:09 
Всем привет ув. знатоки, вопрос сходу - взгляните пж на мой конфиг АСЫ 5505 - все ли тут верно - ато туннель не подымается. Конфиг второй стороны к сож пока нету, грубо говоря соблюдена ли логика и синтаксис хотя бы, если да то буду копать далее, возм на той стороне проблемы.

А идея сама такая:
с офиса 192.168.0.0 через 192.168.0.111-(АСА5505)-10.4.248.174 - NAT: 10.25.212.1- 10.4.248.1-(Роутер)-10.х.х.х

Заранее Всех Благодарю!

hostname asa5505
interface Vlan1
nameif outside
security-level 0
ip address 10.4.248.174 255.255.255.0

interface Vlan2
nameif inside
security-level 100
ip address 192.168.0.111 255.255.255.0

int ethernet 0/1
switchport access vlan 1
no shutdown
int ethernet 0/2
switchport access vlan 2
no shutdown

logging enable
logging buffered debugging

http server enable
http 192.168.0.77 255.255.255.255 inside

object-group network Clients
  network-object host 192.168.0.77
  network-object host 192.168.0.177
  network-object host 192.168.0.150

object-group network Server
  network-object 10.4.248.1 255.255.255.255

access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0
access-list lan permit tcp object-group Clients object-group Server eq citrix-ica
access-list lan permit udp object-group Clients object-group Server eq 1604
access-list lan permit icmp object-group Clients object-group Server

static (inside,outside) 10.25.212.1 192.168.0.77 netmask 255.255.255.255
static (inside,outside) 10.25.212.2 192.168.0.177 netmask 255.255.255.255
static (inside,outside) 10.25.212.3 192.168.0.150 netmask 255.255.255.255
access-group lan in interface inside
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside
logging asdm informational

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map mymap 10 match address vpn
crypto map mymap 10 set peer 10.4.248.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set security-association lifetime seconds 2700
crypto map mymap 10 set pfs group2
crypto map mymap interface outside
sysopt connection permit-ipsec

tunnel-group 10.4.248.1 type ipsec-l2l
tunnel-group 10.4.248.1 ipsec-attributes
pre-shared-key Uyvbs79HB82jkaW

crypto isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 600
crypto isakmp enable outside

ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 60

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN Site to Site - не работает (5505)"  +/
Сообщение от sh_ email(ok) on 05-Ноя-09, 17:13 

>access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0

Здесь dst должна быть сетка за второй асой.


>access-group lan in interface inside

сделайте так: no access-group lan in interface inside

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN Site to Site - не работает (5505)"  +/
Сообщение от skatet email(ok) on 05-Ноя-09, 22:16 
>
>>access-list vpn permit ip 10.25.212.0 255.255.255.0 10.4.248.0 255.255.255.0
>
>Здесь dst должна быть сетка за второй асой.
>
>
>>access-group lan in interface inside
>
>сделайте так: no access-group lan in interface inside

- Вы как никогда правы!
Все отлично, уже подняли туннель - Ваше сообщение я увидел позже - но вы все верно написали, единственное  access-group lan in interface inside - я оставил - но это как я понял для отключения acl на время пуско-наладочных работ.

Респект Вам за ваши Знания ==> Старания!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру