Não é possível executar ping no gateway depois que a VPN é estabelecida

Navegue suas respostas
1

Eu tenho dois servidores:

  1. Checkpoint Safe @ Office 500 com ip x.x.x.x e rede local a.a.a.a / 24
  2. Cisco ASA5505 com ip y.y.y.y e rede local b.b.b.b / 28

Antes de configurar uma VPN eu era capaz de pingar y.y.y.y de qualquer máquina em a.a.a.a / 24.

Meu problema é que depois de configurar uma vpn entre os dois servidores em questão, não consigo mais fazer o ping de y.y.y.y de a.a.a.a / 24. Alguém sabe por que isso pode ser?

Meu palpite é que um ping para y.y.y.y está sendo roteado desnecessariamente através do túnel vpn, mas não sei como evitar que isso aconteça. Além disso, se ele está passando pela vpn, então por que a vpn não permite isso? Uma pista para isso pode estar nos logs da asa5505 que declaram: 

Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside

Mais uma vez, meu problema é que sou incapaz de interpretar esse erro.

    
por James 15.09.2011 / 14:15

2 respostas

1

Se isso é uma VPN de lan para lan com uma topologia como esta: 

                       <------VPN------> 
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
               x.x.x.x                y.y.y.y

Você não consegue executar o ping do ASA quando a VPN está ativa porque os firewalls do Check Point se incluem no domínio de criptografia local, enquanto o ASA não o faz.

A solução mais fácil seria adicionar o endereço externo do ASA ao seu domínio de criptografia local, para que o crypto acl no ASA seja algo como: 

access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0
    
por 16.09.2011 / 11:09
1

No caso de um client vpn, o cliente vpn é instruído a enviar todo o tráfego através da VPN por padrão, ou seja, qualquer coisa em uma rede que não esteja diretamente conectada. Sua tabela de roteamento é ignorada. Você precisará ativar o tunelamento dividido no ASA se não quiser que todo o tráfego seja enviado pelo túnel VPN quando estiver conectado.

Como separar o tunelamento da Cisco

    
por 15.09.2011 / 15:39

Tags

Montar volume criptografado TrueCrypt pelo evento de pré-backup Cobian Enable-PSRemoting: Existem ameaças de segurança?