CiscoForums.it

Cisco Users Group
https://ciscoforums.it/

VPN ASA--> CISCO 877

https://ciscoforums.it/viewtopic.php?f=16&t=10927

Pagina 1 di 1

VPN ASA--> CISCO 877

Inviato: sab 20 giu , 2009 11:19 am
da vincent774
Ciao , ho un problema con una vpn tra un asa e un cisco 877.

Il cisco 877 ha la seguente configurazione :

crypto isakmp policy 9
encr aes 256
authentication pre-share
group 5
crypto isakmp key xxx address IP_remote_ASA no-xauth
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set asa esp-aes 256 esp-sha-hmac
!
crypto map asa 1 ipsec-isakmp
set peer IP_remote_ASA
set transform-set asa
set pfs group2
match address 107


interface Vlan1
description $WAN$
ip address ip_valan1 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1320
crypto map asa
!



access-list 107 permit ip host ip_vlan1 192.168.0.0 0.0.0.255
access-list 107 permit ip host ip_vlan1 10.10.10.0 0.0.0.7



Sull ' ASA :

crypto map outside_map 3 match address outside_cryptomap_3
crypto map outside_map 3 set pfs
crypto map outside_map 3 set peer ip_vlan1
crypto map outside_map 3 set transform-set ESP-AES-256-SHA

crypto isakmp policy 9
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400

tunnel-group ip_vlan1 type ipsec-l2l
tunnel-group ip_vlan1 general-attributes
default-group-policy pippo
tunnel-group ip_vlan1 ipsec-attributes
pre-shared-key *

L'unica cosa che non comprendo è come mai oltre alla vlan1 della sede , sull'asa è visibile dai log un altro
indirizzo che è quello dato dal provider .

La presenza di questo secondo indirizzo rende impossibile la negoziazione della fase 1 per la richiesta di creazione

VPN :

%ASA-5-713041: IP = ip_vlan1, IKE Initiator: New Phase 1, Intf inside, IKE P68.5.0, Crypto map (outside_map)
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_provider, Invalid packet detected!
%ASA-3-713902: IP = ip_vlan1, Removing peer from peer table failed, no match
%ASA-4-713903: IP = ip_vlan1, Error: Unable to remove PeerTblEntry

Lato cisco877 è impossibile cryptare i pacchetti provenienti dal firewall :

000216: Jun 19 12:38:23.450 CET: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from ip_remote_asa was not encrypted and
should've been it

Sulla sede

cisco877# show crypto isakmp sa
IPv4 Crypto ISAKMP SA1
dst src state conn-id slot status
ip_vlan1 ip_remote_asa MM_SA_SETUP 0 0 ACTIVE
ip_vlan1 ip_remote_asa MM_NO_STATE 0 0 ACTIVE (deleted)
ip_vlan1 ip_remote_asa MM_NO_STATE 0 0 ACTIVE (deleted)


Grazie in anticipo.

Inviato: lun 22 giu , 2009 11:01 am
da Wizard
In sostaza devi fare uscire la vpn con l'ip della vlan 1?
La vlan 1 ha ip pubblico?
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it