CiscoForums.it

Riporto qui di seguito un post creato nella sezione "Configurazioni", che sicuramente qui è più appropriato.

"...Arisalve a tutti,
di seguito un altro grattacapo made by un altro ASA.
Una semplicissima e stupidissima VPN Site to Site tra due ASA 5505:

ASA1 -> Router DSL che natta tutto su ip esposto ASA1 -> INTERNET <- Router DSL che natta tutto su ip esposto ASA2 <- ASA2

Dopo aver configurato per ore tutto seguendo la bibbia di cisco.com, l'errore che vien fuori sull'ASA2 dell'altra sede è:

Deny inbound UDP from IPPUBBLICOASA1/500 to HostEsposto/500 on interface outside

Dall'ASDM si evince che nessun tunnel è stato tirato su...

Dopo decine di seghe mentali mi sono deciso a disturbare qualche volenteroso del forum allegando le due configurazioni dei 5505.

http://digilander.libero.it/ciaks_it/ASA1.txt
http://digilander.libero.it/ciaks_it/ASA2.txt

Sperando che qualcuno mi possa indicare dove sbaglio, vi ringrazio nuovamente e vi saluto.

Ma... dimmi una cosa: il router natta tutto sull'HostEsposto dell'Asa; ma guardando le configurazioni questo però non è l'ip dell'interfaccia outside, bensì l'ip del server web che poi hai nattato staticamente nella inside!
In pratica: il peer della vpn non deve essere il server web, ma l'Asa stesso. Io cambierei l'ip con quello della outside... da entrambe le parti, ovviamente. Se non l'hai già fatto prova così.

Effettivamente non c'è alcun NAT statico che fa riferimento alla VPN, se non l'exeption.
Hai un'idea della riga di nat da inserire?
Grazie, ciao.

Dunque, sui firewall non cambiare niente.

Devi modificare la configurazione dei router affinchè nattino tutto sull'ip 10.0.0.3 (per il router con dietro l'Asa 1) e 192.168.0.3 (per il router con dietro l'Asa 2). Così la vpn dovrebbe andare.

Poi vedremo se il server web che hai nattato su entrambi i firewall ti serve raggiungerlo dall'esterno, poichè il quel caso dovrai necessariamente rimodificare il nat sul router affichè giri il solo traffico web verso l'HostEsposto.

Ciao e buon weekend!