OpenForum RSS: ASA 5510. Трафик между двумя VPN https://www.opennet.ru/openforum/vsluhforumID6/22285.html Всем доброго времени суток.<br><br>Есть у меня вот такая схема подключения<br><br>[Remote-Access VPN Client] &lt;-Tunnel-&gt; [ASA 5510] &lt;-Tunnel-&gt; [ASA5505] &lt;-&gt; [SERVER]<br><br>Для Remote-Access VPN Client peer'ом является первый внешний интерфейс ASA 5510, Site-to-Site VPN между ASA 5510 и ASA 5505 поднят на втором интерфейсе ASA 5510. Remote-Access VPN Client получает IP из сети 10.10.10.х/24, SERVER имеет IP из сети 192.168.204.х/24, трафик между сетями 10.10.10.х/24 и 192.168.204.х/24 добавлен в split tunneling для Remote-Access VPN и криптуется. Отбор траффика для криптования в Site-to-Site VPN между двумя ASA осуществляется Crypto Map'ом на втором интерфейсе ASA 5510.<br>Не могу подключиться с Remote-Access VPN Client'а на сервер SERVER, пакеты не доходят даже до сетефого интерфейса сервера (смотрел tcpdump'ом), теряются где-то внутри ASA 5510. Командой capture ни на одном интерфейсе ASA 5510 я данный трафик отследить не могу - на первом интерфейсе он закриптован, а на втором его либо нет, либо он тоже закриптован - увы, ASA 5510. Трафик между двумя VPN (tictactoe) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#6 Fri, 25 Feb 2011 11:28:38 GMT &gt; А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?<br><br>Проблема решилась, Crypto Map на ASA 5505 был симметричен, но я его ошибочно повесил на другой интерфейс...<br>Всем откликнувшимся ещё раз спасибо за помощь и советы!<br> ASA 5510. Трафик между двумя VPN (BJ) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#5 Thu, 24 Feb 2011 16:32:48 GMT А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?<br> ASA 5510. Трафик между двумя VPN (tictactoe) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#4 Thu, 24 Feb 2011 16:02:05 GMT &gt; Конфиг хотелось бы посмотреть.<br><br>Вот выдержка из него, где я собрал всё, что касается данной ситуации. Сам конфиг большой, т.к. ASA 5510 центральный VPN концетратор. Если что пропустил или не понятно - справшивайте, я отвечу.<br><br>---------------<br>interface Ethernet0/0<br> no nameif<br> no security-level<br> no ip address<br>!<br>interface Ethernet0/0.10<br> vlan 10<br> nameif INT-FIRST<br> security-level 0<br> ip address XXX.XXX.22.167 255.255.255.224<br>!<br>interface Ethernet0/0.20<br> vlan 20<br> nameif INT-SECOND<br> security-level 0<br> ip address 192.168.251.1 255.255.255.0 <br>!<br>interface Ethernet0/3<br> nameif INT-LAN<br> security-level 0<br> ip address 172.20.0.1 255.255.0.0<br>!<br>same-security-traffic permit inter-interface<br>same-security-traffic permit intra-interface<br>!<br>object-group network GROUP-ALL-NET<br> network-object 192.168.204.0 255.255.255.0<br>access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 192.168.0.0 255.255.0.0 <br>access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 <br>acce ASA 5510. Трафик между двумя VPN (ivan) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#3 Thu, 24 Feb 2011 15:55:17 GMT &gt;&gt; А собака порылась в том что вы пытаетесь отправить в тунель некриптованый <br>&gt;&gt; трафик ессественно он туда не попадет - вот и отбивает. Это <br>&gt;&gt; нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты <br>&gt;&gt; на тунель) на самом деле когда пакет генериться не самой АС-ой <br>&gt;&gt; он нормально криптуеться и проходит через тунель. Если не верите попробуйте <br>&gt;&gt; сделать трассу в обратном направлении там будет все ок.<br>&gt; Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором <br>&gt; прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я <br>&gt; жвроде написал об этом...<br><br>Конфиг хотелось бы посмотреть.<br> ASA 5510. Трафик между двумя VPN (tictactoe) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#2 Thu, 24 Feb 2011 11:48:20 GMT &gt; А собака порылась в том что вы пытаетесь отправить в тунель некриптованый <br>&gt; трафик ессественно он туда не попадет - вот и отбивает. Это <br>&gt; нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты <br>&gt; на тунель) на самом деле когда пакет генериться не самой АС-ой <br>&gt; он нормально криптуеться и проходит через тунель. Если не верите попробуйте <br>&gt; сделать трассу в обратном направлении там будет все ок.<br><br>Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я жвроде написал об этом...<br> ASA 5510. Трафик между двумя VPN (Николай) https://www.opennet.ru/openforum/vsluhforumID6/22285.html#1 Thu, 24 Feb 2011 10:47:28 GMT А собака порылась в том что вы пытаетесь отправить в тунель некриптованый трафик ессественно он туда не попадет - вот и отбивает. Это нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты на тунель) на самом деле когда пакет генериться не самой АС-ой он нормально криптуеться и проходит через тунель. Если не верите попробуйте сделать трассу в обратном направлении там будет все ок.<br>