Você tem que apresentar "tráfego interessante" para o ASA. Não há comando que traga o túnel sem tráfego.
Usando um Cisco ASA, é possível abrir manualmente uma LAN para lan VPN tunnel & SA do dispositivo, em vez de ter um dos sistemas que faz parte do tráfego iniciado da VPN para iniciar a VPN?
Eu gostaria de evitar ter que disparar um ping em um dos sistemas em uma VPN para iniciar a VPN, para tornar a solução de problemas um pouco mais rápida.
No sistema operacional Cisco ASA7.0 ou superior, você pode estabelecer o encapsulamento simulando tráfego interessante com o comando packet-tracer
. Veja um exemplo: substitua os endereços IP das suas redes:
packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80
Source Interface^ | Src IP^ Src Port | |
Protocol^ Dst IP^ Dst Port^
Você pode usar a saída do comando para ajudar a diagnosticar quaisquer problemas de por que o tráfego também não passou com sucesso, mas o comando em si estimulará a VPN e estabelecerá os sa ISAKMP e IPSec.
Eu sigo o conselho de ynguldyn.
No roteador da série ISR, você pode testar a VPN fazendo o roteador gerar tráfego para você, mas não existe essa opção na plataforma ASA.
Usando o 8.4+, adicionamos um servidor Meinberg Windows NTP para o tempo de rede na extremidade de recebimento do túnel e o adicionamos à configuração ASA remota:
servidor ntp xxx.xxx.xxx.xxx dentro da fonte preferir
(onde xxx.xxx.xxx.xxx é o endereço IP do servidor ntp) - que mantém nossos túneis indefinidamente devido ao NTP gerar o tráfego interessante no remoto ASA 5505
ping dentro de "endereço IP na outra extremidade do túnel" A interface interna terá que estar no domínio de criptografia.
Isso requer que o comando interface de gerenciamento esteja configurado para a interface interna - como "interface de gerenciamento interna".
Digamos que você tenha vários mapeamentos de interface em seu túnel VPN para a outra extremidade. Para testar cada um deles faça o seguinte - se você quiser testar como um exemplo da interface dmz interface de gerenciamento dmz ping dmz a.b.c.d onde a.b.c.d está na outra extremidade do ponto final do túnel.
Testado em um ASA v.8.3 para o ASA 8.2.
A propósito, se você tiver múltiplos mapeamentos de rede na mesma crypto acl, não use o conjunto de rotas reversas na entrada do mapa de criptografia. Isso pode causar problemas com o modo como o ASA usa a ACL criptografada para criar novos mapeamentos de encapsulamento.