OpenForum RSS: IPSec между 2-мя ASA5505 https://www.opennet.ru/openforum/vsluhforumID6/19101.html Приветствую. <br><br>Столкнулся с проблемой: пытаюсь поднять IPSec между 2-я ASA5505. Тоннель поднимается, но только между ихних outside интерфейсов, то есть трафик через IPSec ходит только по внешним адресам, во внутреннюю сеть трафик почему-то не идёт. Если пинговать с одной Асы внутренний айпишник удалённой сети, то трафик идёт не в тоннель, а по дефолт роуту. Ната нет вообще. Что я не так делаю?<br><br>Данные:<br><br>ASA1<br><br>inside 172.19.225.253/24<br>outside 192.168.2.38/30<br><br>ASA2 <br><br>inside 172.19.230.253/24<br>outside 192.168.2.22/30<br><br>Конфиги:<br><br>ASA1<br><br>ASA Version 8.0(3)9 <br>!<br>hostname ASA1<br>enable password 8Ry2YjIyt7RRXU24 encrypted<br>passwd 2KFQnbNIdI.2KYOU encrypted<br>names<br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 172.19.225.253 255.255.255.0 <br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> ip address 192.168.2.38 255.255.255.252 <br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br>interface Ethernet0/1<br>!<br>interface Ethernet0/2<br>!<br>interface Ethernet0/3<br>!<br>interface IPSec между 2-мя ASA5505 (sh_) https://www.opennet.ru/openforum/vsluhforumID6/19101.html#3 Mon, 22 Jun 2009 08:52:32 GMT Сделайте no nat-control на обоих асах.<br>И уберите вот эти записи из ACL, вам же уже писали.<br>&gt;&gt;access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22 <br>&gt;&gt;access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38 IPSec между 2-мя ASA5505 (sintez) https://www.opennet.ru/openforum/vsluhforumID6/19101.html#2 Mon, 22 Jun 2009 05:48:12 GMT &gt;&gt;access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22 <br>&gt;&gt;access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38 <br>&gt;<br>&gt;А вот это зачем? <br>&gt;<br>&gt;Пингуй не с АСА, а с клиентских машин с правильно настроенными <br>&gt;шлюзами. <br><br>Не пингуется :( А без этих аксесс листов тоннель не поднимается даже между внешними интерфейсами. Если пинговать внутренние адреса, матчей в эксесс-листе ipsec нету.<br> IPSec между 2-мя ASA5505 (ural_sm) https://www.opennet.ru/openforum/vsluhforumID6/19101.html#1 Mon, 22 Jun 2009 05:44:10 GMT &gt;access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22 <br>&gt;access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38 <br><br>А вот это зачем?<br><br>Пингуй не с АСА, а с клиентских машин с правильно настроенными шлюзами.<br>