OpenForum RSS: site to site vpn asa 5505 routing problem https://www.opennet.ru/openforum/vsluhforumID6/22244.html Всем доброго времени суток.<br>Имеется следующая схема:<br><br>192.168.239.0/24---(sonicwall)172.20.20.1---172.20.20.2(asa 5505)public_ip1===public_ip2(cisco)---10.1.150.0/24<br><br>Собственно, настроен vpn между asa 5505 public_ip1 и cisco public_ip2.<br>VPN поднимается в случае: 172.20.20.0/24-&gt; 10.1.150.0/24<br>На sonicwall включен NAT: 192.168.239.0/24 -&gt; 172.20.20.1/24<br>Проблема заключается в том, что при попытке пропинговать к примеру с хоста 192.168.239.250 хост 10.1.150.1 фаервол asa 5505 получает arp запросы:<br><br><br>arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000<br>arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 34794710<br>arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000<br>arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 34794750<br>arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000<br>arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 347 site to site vpn asa 5505 routing problem (diezzz) https://www.opennet.ru/openforum/vsluhforumID6/22244.html#5 Thu, 17 Feb 2011 07:30:37 GMT thnx BJ). действительно, я не правельно настроил маршрут.<br> site to site vpn asa 5505 routing problem (diezzz) https://www.opennet.ru/openforum/vsluhforumID6/22244.html#4 Thu, 17 Feb 2011 06:33:30 GMT Src: 192.168.239.0/24<br>Dst: 10.1.150.0/24<br>Srv: Any<br>Gw: 0.0.0.0<br>Int: X3<br><br><br> site to site vpn asa 5505 routing problem (BJ) https://www.opennet.ru/openforum/vsluhforumID6/22244.html#3 Thu, 17 Feb 2011 06:22:50 GMT Однозначно проблема в неправильной настройке маршрутизации на sonicwall. Каким образом на нём настроен маршрут на сеть 10.1.150.0/24?<br><br>&gt;[оверквотинг удален]<br>&gt; 192.168.239.250 хост 10.1.150.1 фаервол asa 5505 получает arp запросы: <br>&gt; arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000 <br>&gt; arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 34794710 <br>&gt; arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000 <br>&gt; arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 34794750 <br>&gt; arp-in: request at inside from 172.20.20.1 0006.b127.3317 for 10.1.150.1 0000.0000.0000 <br>&gt; arp-set: added arp inside 172.20.20.1 0006.b127.3317 and updating NPs at 34794800 <br>&gt; но в ответ ничего не отправляет.<br>&gt; Т.е получается asa 5505 не знает, что делать с подсеткой 10.1.150.0 <br>&gt; Вот что ловит capture: <br><br> site to site vpn asa 5505 routing problem (diezzz) https://www.opennet.ru/openforum/vsluhforumID6/22244.html#2 Thu, 17 Feb 2011 06:19:27 GMT дело в том, что нужно чтоб на стороне 10.1.150.0/24 видели запросы от сетки 172.20.20.0/24, а не от 192.168.239.0.24<br> site to site vpn asa 5505 routing problem (ural_sm) https://www.opennet.ru/openforum/vsluhforumID6/22244.html#1 Thu, 17 Feb 2011 05:17:57 GMT &gt; Всем доброго времени суток.<br>&gt; Имеется следующая схема: <br>&gt; Может кто сталкивался с такой проблемой или есть советы как можно траблшутить <br>&gt; проблему?<br><br>Проблемы скорее всего на НАТ и НАТ0 на АСА<br><br>Попробуй так.<br>NAT: 192.168.239.0/24 -&gt; 172.20.20.1/24<br>убрать НАТ и сделать маршрутизацию<br><br>поправить АСЛ на АСА<br><br>access-list nonat extended permit ip 172.20.20.0 255.255.255.0 10.1.150.0 255.255.255.0<br>access-list nonat extended permit ip 192.168.239.0 255.255.255.0 10.1.150.0 255.255.255.0<br><br>access-list 110 extended permit ip 172.20.20.0 255.255.255.0 10.1.150.0 255.255.255.0<br>access-list 110 extended permit ip 192.168.239.0 255.255.255.0 10.1.150.0 255.255.255.0<br>