Acesso remoto IPSv1 Cisco ASA ipsec para telefone Avaya VPN - nenhum endereço de cliente atribuído

Question

Acesso remoto IPSv1 Cisco ASA ipsec para telefone Avaya VPN - nenhum endereço de cliente atribuído

#1 resposta do (5 votos)

4

Estou tendo um problema estranho com a conectividade VPN de acesso remoto em nosso cluster ASA.

Túneis normais de site para site e conexões AnyConnect funcionam bem. No entanto, um túnel ikev1 especial ipsec não. Ele estabelece e permanece ativo, mas o cliente (neste caso, um Avaya VPN Phone) não recebe um endereço de cliente ou não solicita um (não tem certeza de quem culpar).

Esta imagem mostra a conexão quando ela é estabelecida. Observe que o endereço IP atribuído está em branco. Bytes TX sendo "0" é bastante natural, como as redes no interior não têm nenhum cliente para rotear.

EutenteidepurarissoviaASDM,massemsorte.EunãoestouconfianteosuficientecomoCLIparafazerumadepuraçãodoconsole,jáqueestamosusandoapalavra-chave"notification" com bastante força para corresponder a todas as ACL que temos.

Sugestões?

ipsec cisco-asa

por pauska 17.09.2012 / 15:11

1 resposta

Tags ipsec cisco-asa

Obter nome do arquivo para o modelo de boneco Usando o proxy_redirect de nginx quando o domínio do local de resposta varia

score 5 · Accepted Answer

Isso levou algum trabalho para descobrir ...

Primeiro de tudo - a razão pela qual o cliente (ou telefone, para ser preciso) não conseguiu um endereço IP foi por causa de uma configuração incorreta do telefone. Ele não tinha um conjunto de sinalizadores "Config IKE", o que significa que basicamente descartava qualquer configuração enviada pelo ASA.

Quando consertei isso, outro grande problema apareceu. Acontece que nossos clientes AnyConnect não funcionaram. Recentemente, atualizamos para o ASA 8.4.4 em uma tentativa de resolver outro problema, e essa versão traz um novo verificador de regras contra as regras de NAT para que elas não colidam com os endereços IP de reserva:

link

Este é um grande obstáculo para nós, já que temos um conjunto de sub-redes atrás do firewall em uma grande rede MPLS, onde os clientes VPN precisam de conectividade. Criar novos grupos de host / rede apenas para não colidir com os IPs de reserva é de, pelo menos, dois dias de trabalho para mim, então vou fazer o downgrade para o ASA 8.4.3 até que a Cisco possa encontrar uma solução melhor para isso.