ASA 5510 Site para Site VPN funciona em uma direção

2

Eu configurei um site para site VPN conexão entre dois Cisco ASA 5510. Um site (vamos chamá-lo de A) pode ver a rede privada do outro site (site B), mas o site B não pode ver a rede privada do site A.

As listas de acesso e rotas de ambos os ASAs são as mesmas.

No ASA A, emitindo o comando: show run crypto map , recebo o seguinte resultado:

crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B 
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 set ikev2 pre-shared-key ********
crypto map outside_map 1 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside

e emitindo o mesmo comando no ASA B, recebo:

crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer IP_of_Outside_Interface_of_A 
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map Outside_map 1 set ikev2 pre-shared-key ********
crypto map Outside_map 1 set reverse-route
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside

Também emitindo o show ispmp de criptografia no ASA A, eu recebo:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote                Status        Role
74335965       public_IP_of_ASA_A/500     public_IP_of_ASA_B/500      READY    RESPONDER
  Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK 
  Life/Active Time: 86400/9974 sec
Child sa: local selector  172.16.0.0/0 - 172.16.255.255/65535
      remote selector 10.0.20.0/0 - 10.0.20.255/65535
      ESP spi in/out: 0xab18ad65/0x4ff34128  

e no ASA B:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote                 Status         Role
 83370867     public_IP_of_ASA_B/500       public_IP_of_ASA_A/500      READY    INITIATOR
  Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK 
  Life/Active Time: 86400/9499 sec
Child sa: local selector  10.0.20.0/0 - 10.0.20.255/65535
      remote selector 172.16.0.0/0 - 172.16.255.255/65535
      ESP spi in/out: 0x4ff34128/0xab18ad65  

De acordo com as informações acima, posso acessar da rede privada (172.16.0.0/24) do ASA A (Respondente de Função) para a rede privada (10.0.20.0/24) do ASA B (iniciador de função), mas não vice versa.

conexão sysopt permit-vpn também está habilitada em ambos os ASAs.

Alguma idéia de como isso pode acontecer?

    
por Feri 19.07.2013 / 13:29

1 resposta

1

algumas vezes razões simples bloqueiam seus olhos como neste caso, no qual eu estava procurando por crypto map, crypto isakmp, listas de acesso etc. e a razão era que o servidor ESXi, que eu estava tentando acessá-lo do outro site , não tinha um gateway adequado !!! Na verdade, todos os hosts nesse servidor ESXi tinham um gateway adequado, mas o hypervisor em si não ... eu consertei e funcionou como um encanto ...

obrigado por todos os seus comentários e pensamentos.

    
por 01.08.2013 / 10:48