CiscoForums.it

Ciao a tutti,

Sto configuando degli ASA della CISCO, ma purtroppo ho questo problema:

La vpn funziona solo se inizializzata da un site e non dall'altro.

Il tipo di vpn è bidirectional ed il problema consiste che uno dei 2 asa (sul quale ci sono configurate già delle site-to-site VPN e delle VPN dinamiche (clientvpn)) droppa la connessione se inizializzata dall'altro ASA che ha configurato solo una SITE-TO-SITE VPN.

In debug sull'asa che droppa la connessione la crypto map associata mentre viene inizializzata la vpn è quella CLIENTVPN e non quella appositamente configurata.

Ogni consiglio è apprezzato!

In debug sull'asa che droppa la connessione la crypto map associata mentre viene inizializzata la vpn è quella CLIENTVPN e non quella appositamente configurata.

Sinceramente non ho ben capito cosa hai scritto...
Cmq facci vedere le config che ci daremo un occhio

Ho trovato dov'è il problema! cmq grazie.

Adesso vi spiego:

Se sull'asa vengono configurate delle dynamic vpn prima delle site-to-site vpn le crypto map applicate alle site-to-site saranno sempre quelle dynamic e non quelle static e il tunnel non funzionerà se la vpn verrà inizializzata dal firewall remoto.

le vpn client devono sempre essere dopo cronologicamente delle l2l:

crypto map *** 65535 ipsec-isakmp dynamic outside_dyn_map

è vero.....

Ma in questo caso basta restringere nelle IPSEC RULES il pool di indirizzi IP che vengono effettivamente utilizzati dalle dynamic vpn, a mai utilizzare "any" come ip sorgente.

Complimeti per il forum!!!