Pagina 1 di 1
ASA VPN Site to Site
Inviato: mar 13 gen , 2009 1:32 pm
da pipos
Da un pò di giorni ho un problema strano,
ho messo in piedi una VPN site to site con la sede remota dell'azienda per utilizzare il VoIP.
Il problema che ho è che il tunnel VPN "sale" solo se faccio partire un ping o una telefonata dalla sede principale.
Da cosa può dipendere?
Devo abilitare qualcosa oltre alle regole firewall che consentono il traffico dalla sede remota a quella interna ?
Grazie
R
Inviato: mar 13 gen , 2009 1:56 pm
da pipos
Se può essere di aiuto, con show run sysopt ho ottenuto:
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt connection permit-vpn
no sysopt connection reclassify-vpn
Inviato: mar 13 gen , 2009 2:37 pm
da pipos
Ho provato un Packet Tracer con sorgente l'ip del centralino remoto e destinazione l'ip de centralino della sede master.
Il pacchetto è droppato e la motivazione è:
--IPSEC Spoof detected---
Da una breve ricerca sembra che il pacchetto è droppato perchè deve essere cifrato per passare sul tunnel mentre sembra giungere al mio ASA in non cifrato...
Soluzioni????
Inviato: mar 13 gen , 2009 4:18 pm
da Wizard
Hai la funzione di anti spoofing abiliato sui fw?
Su quali int?
Inviato: mar 13 gen , 2009 4:37 pm
da pipos
No purtroppo non no...
Posso dirti di più, ho dato uno show crypto isakmp sa da CLI e per il tunnel in questione ho letto
Type: L2L Role:Initiator.
Potrebbe essere questo oppure il Role ha un valore che dipende da chi ha cominciato la sessione VPN?
Grazie
Inviato: mar 13 gen , 2009 4:53 pm
da pipos
Codice dell'errore preso dal sito Cisco.
402117
Error Message %PIX|ASA-4-402117: IPSEC: Received a non-IPSec (protocol) packet from
remote_IP to local_IP.
Explanation This message is displayed when the received packet matched the crypto map ACL, but it is not IPSec-encapsulated. The IPSec Peer is sending unencapsulated packets. This error can occur because of a policy setup error on the peer. For example, the firewall may be configured to only accept encrypted Telnet traffic to the outside interface port 23. If you attempt to Telnet without IPSec encryption to the outside interface on port 23, this message appears, but not on telnet or traffic to the outside interface on ports other than 23. This error can also indicate an attack. This system log message is not generated except under these conditions (for example, it is not generated for traffic to the firewall interfaces themselves). See messages 710001, 710002, and 710003 for messages that track TCP and UDP requests. This message is rate limited to no more than one message every five seconds
protocol—IPSec protocol
remote_IP—IP address of the remote endpoint of the tunnel
local_IP—IP address of the local endpoint of the tunnel
Recommended Action Contact the peer administrator to compare policy settings.
Inviato: mer 14 gen , 2009 4:15 pm
da Wizard
1) Controlla che le acl per il traffico vpn siano identiche ma reciproche sui 2 apparati
2) Aggiorna la IOS! che apparati usi?
Inviato: gio 15 gen , 2009 11:04 am
da pipos
Le ACL sui due apparati sono identiche e sono fatte in modo tale che tutte la rete della sede master può vedere la sede slave ( esplicita richiesta, io non l'avrei mai fatto
).
Gli apparati sono:
Master: ASA 5510
Slave: m0n0wall su soekris.
P.S.: sto provando vari magheggi ma continua a salire solo se parte un ping dalla sede master...
Mi sa che metto un ping -t su un server sempre attivo e buonanotte!
Inviato: gio 15 gen , 2009 12:10 pm
da Wizard
Aggiorna alla 8.0.4 la IOS del ASA ma la vpn se da un lato si tira su e va tutto bene è ok...
Nn voorei dirtelo ma nn è la prima volta che vedo incompatibilità tra cisco e fw linux x le vpn...
Inviato: gio 15 gen , 2009 12:17 pm
da pipos
Infatti credo che lascero tutto cosi com'è e metto il famoso ping -t
Se risolvo posto la soluzione.