Eu configurei um site para site VPN conexão entre dois Cisco ASA 5510. Um site (vamos chamá-lo de A) pode ver a rede privada do outro site (site B), mas o site B não pode ver a rede privada do site A.
As listas de acesso e rotas de ambos os ASAs são as mesmas.
No ASA A, emitindo o comando: show run crypto map , recebo o seguinte resultado:
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 set ikev2 pre-shared-key ********
crypto map outside_map 1 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
e emitindo o mesmo comando no ASA B, recebo:
crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer IP_of_Outside_Interface_of_A
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map Outside_map 1 set ikev2 pre-shared-key ********
crypto map Outside_map 1 set reverse-route
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside
Também emitindo o show ispmp de criptografia no ASA A, eu recebo:
There are no IKEv1 SAs
IKEv2 SAs:
Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
74335965 public_IP_of_ASA_A/500 public_IP_of_ASA_B/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/9974 sec
Child sa: local selector 172.16.0.0/0 - 172.16.255.255/65535
remote selector 10.0.20.0/0 - 10.0.20.255/65535
ESP spi in/out: 0xab18ad65/0x4ff34128
e no ASA B:
There are no IKEv1 SAs
IKEv2 SAs:
Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
83370867 public_IP_of_ASA_B/500 public_IP_of_ASA_A/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/9499 sec
Child sa: local selector 10.0.20.0/0 - 10.0.20.255/65535
remote selector 172.16.0.0/0 - 172.16.255.255/65535
ESP spi in/out: 0x4ff34128/0xab18ad65
De acordo com as informações acima, posso acessar da rede privada (172.16.0.0/24) do ASA A (Respondente de Função) para a rede privada (10.0.20.0/24) do ASA B (iniciador de função), mas não vice versa.
conexão sysopt permit-vpn também está habilitada em ambos os ASAs.
Alguma idéia de como isso pode acontecer?
algumas vezes razões simples bloqueiam seus olhos como neste caso, no qual eu estava procurando por crypto map, crypto isakmp, listas de acesso etc. e a razão era que o servidor ESXi, que eu estava tentando acessá-lo do outro site , não tinha um gateway adequado !!! Na verdade, todos os hosts nesse servidor ESXi tinham um gateway adequado, mas o hypervisor em si não ... eu consertei e funcionou como um encanto ...
obrigado por todos os seus comentários e pensamentos.