Estou tentando configurar um túnel ipsec entre o nosso ASA 5505 e um Juniper ssg5. O túnel está em funcionamento, mas não consigo obter nenhum dado através dele.
A rede local em que estou é 172.16.1.0 e o controle remoto é 192.168.70.0. Mas não consigo pingar nada na rede deles. Eu recebo uma "Fase 2 OK" quando configuro o ipsec.
Acho que esta é a parte da configuração que é aplicável. Parece que os dados não são roteados através do túnel, mas não tenho certeza ...
object network our-network
subnet 172.16.1.0 255.255.255.0
object network their-network
subnet 192.168.70.0 255.255.255.0
access-list outside_cryptomap extended permit ip object our-network object their-network
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer THEIR_IP
crypto map outside_map 1 set ikev1 phase1-mode aggressive
crypto map outside_map 1 set ikev1 transform-set ESP-3DES-MD5
crypto map outside_map 1 set ikev2 pre-shared-key *****
crypto map outside_map 1 set reverse-route
crypto map outside_map interface outside
webvpn
group-policy GroupPolicy_THEIR_IP internal
group-policy GroupPolicy_THEIR_IP attributes
vpn-filter value outside_cryptomap
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1
tunnel-group THEIR_IP type ipsec-l2l
tunnel-group THEIR_IP general-attributes
default-group-policy GroupPolicy_THEIR_IP
tunnel-group THEIR_IP ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
Essa é a saída do rastreador de pacotes. Eu uso meu ip como fonte, seu firewall como destino e IP com protocolo 0 na interface OUR
ROUTE-LOOKUP
Type -ROUTE-LOOKUP Action -ALLOW
Info
in 0.0.0.0 0.0.0.0 outsied
IT-OPTIONS
Type -IP-OPtions Action -ALLOW
NAT
Tyope -NAT Action -DROP Show rule in NAT Rules table.
Config
object network obj_any
nat (any,outside) dynamic interface
RESULT - The packet is dropped
Input Interface: OUR
Output Interface:outside
Info: (acl-drop) Flow is denied by configured rule
Você config parece sensato à primeira vista, mesmo que eu não veja a necessidade da rota inversa. Você esqueceu de adicionar a política isakmp que começa com "política isakmp de criptografia", embora a entrada na Fase 2 obviamente signifique que a Fase 1 foi concluída.
1) Você deixa passar pela ACL normal (por config: sysopt connection permit-vpn)?
2) Você pode fazer um rastreador de pacotes e colar o resultado?
Ok, havia duas coisas que precisava corrigir:
1) UN-NAT o tráfego passando pelo túnel nat (any,any) source static their-network their-network no-proxy-arp
2) Atualize a ACL para que ela seja dos dois lados:
access-list outside_cryptomap extended permit ip object our-network object their-network
access-list outside_cryptomap extended permit ip object their-network object our-network
Agora funciona bem.