Cisco ASA - inicie manualmente um túnel VPN

Navegue suas respostas
3

Usando um Cisco ASA, é possível abrir manualmente uma LAN para lan VPN tunnel & SA do dispositivo, em vez de ter um dos sistemas que faz parte do tráfego iniciado da VPN para iniciar a VPN?

Eu gostaria de evitar ter que disparar um ping em um dos sistemas em uma VPN para iniciar a VPN, para tornar a solução de problemas um pouco mais rápida.

    
por DrStalker 01.10.2009 / 02:22

5 respostas

2

Você tem que apresentar "tráfego interessante" para o ASA. Não há comando que traga o túnel sem tráfego.

    
por 01.10.2009 / 05:35
5

No sistema operacional Cisco ASA7.0 ou superior, você pode estabelecer o encapsulamento simulando tráfego interessante com o comando packet-tracer . Veja um exemplo: substitua os endereços IP das suas redes: 

packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80
      Source Interface^     | Src IP^  Src Port    |          |
                    Protocol^                Dst IP^  Dst Port^

Você pode usar a saída do comando para ajudar a diagnosticar quaisquer problemas de por que o tráfego também não passou com sucesso, mas o comando em si estimulará a VPN e estabelecerá os sa ISAKMP e IPSec.

    
por 11.08.2011 / 17:54
1

Eu sigo o conselho de ynguldyn.

No roteador da série ISR, você pode testar a VPN fazendo o roteador gerar tráfego para você, mas não existe essa opção na plataforma ASA.

    
por 01.10.2009 / 16:43
0

Usando o 8.4+, adicionamos um servidor Meinberg Windows NTP para o tempo de rede na extremidade de recebimento do túnel e o adicionamos à configuração ASA remota:

servidor ntp xxx.xxx.xxx.xxx dentro da fonte preferir

(onde xxx.xxx.xxx.xxx é o endereço IP do servidor ntp) - que mantém nossos túneis indefinidamente devido ao NTP gerar o tráfego interessante no remoto ASA 5505

    
por 03.09.2013 / 18:15
0

ping dentro de "endereço IP na outra extremidade do túnel" A interface interna terá que estar no domínio de criptografia.

Isso requer que o comando interface de gerenciamento esteja configurado para a interface interna - como "interface de gerenciamento interna".

Digamos que você tenha vários mapeamentos de interface em seu túnel VPN para a outra extremidade. Para testar cada um deles faça o seguinte - se você quiser testar como um exemplo da interface dmz interface de gerenciamento dmz ping dmz a.b.c.d  onde a.b.c.d está na outra extremidade do ponto final do túnel.

Testado em um ASA v.8.3 para o ASA 8.2.

A propósito, se você tiver múltiplos mapeamentos de rede na mesma crypto acl, não use o conjunto de rotas reversas na entrada do mapa de criptografia. Isso pode causar problemas com o modo como o ASA usa a ACL criptografada para criar novos mapeamentos de encapsulamento.

    
por 07.10.2009 / 09:06

Tags

O SQL 2008 está executando um CHECKDB a cada 10 minutos, alguma ideia de por que ou onde eu posso procurar descobrir? pfSense A VPN Site-toSite com o OpenVPN se conecta, mas não roteia o tráfego