CiscoForums.it

Ciao a tutti, un problemino di routing fra due VPN ed una linea Esterna.

Ho due Sedi A e B collegate in VPN IP SEC fra di loro. i pacchetti fra le reti locali girano correttamente e senza problemi.

La Sede A ha anche un collegamento ad una MPLS di un cliente. ho la necessità che sia la sede B che il cliente vedano i rispettivi IP passando per la VPN. Dalla sede A la rete del cliente è perfettamente raggiungibile.

premetto che sono convinto di aver configurato tutto per benino, mettendo gli IP remoti della sede B e del cliente nel tunnel, configurando gli Exempt ecc. configurato i routing ecc.

facendo però un telnet da una macchina da uno degli IP del cliente ad una macchina della sede B mi appare un errore che ho incollato sotto. a mio parere la configurazione è a posto. qualcuno mi sa dare una mano?

Max



%ASA-2-106001: Inbound TCP connection denied from IP_address/port to
IP_address/port flags tcp_flags on interface interface_name
This is a connection-related message, which occurs when an attempt to connect to an inside address is denied by the security policy that is defined for the specified traffic type. Possible tcp_flags values correspond to the flags in the TCP header that were present when the connection was denied. For example, a TCP packet arrived for which no connection state exists in the adaptive security appliance, and it was dropped. The tcp_flags in this packet are FIN and ACK.

The tcp_flags are as follows

la topologia è questa?

cliente ---- MPLS ----- sede A -----VPN-----sede B

Dalla sede B puoi raggiungere gli host del cliente dietro l'mpls?

In quale apparato vedi l'errore? Nel firewall della sede A o nella sede B?

Dall'errore ASA-2-106001 sembra che manchi una riga di acl che permetta esplicitamente il traffico dalla sede del client verso la sede B....

"sysopt connection permit-vpn" è abilitato? Dovrebbe esserlo di default nelle versioni recenti di asa.

marco.giuliani ha scritto:la topologia è questa?

cliente ---- MPLS ----- sede A -----VPN-----sede B

Dalla sede B puoi raggiungere gli host del cliente dietro l'mpls?

In quale apparato vedi l'errore? Nel firewall della sede A o nella sede B?

Dall'errore ASA-2-106001 sembra che manchi una riga di acl che permetta esplicitamente il traffico dalla sede del client verso la sede B....

"sysopt connection permit-vpn" è abilitato? Dovrebbe esserlo di default nelle versioni recenti di asa.

Ciao a tutti ho risolto, abbiamo trovato una policy su quella VPN che impediva il traffico proprio di quella rete..

Meglio così