mi vanno 2 tunnel su 3... PIX 515

[rrroberto]

Buongiorno a tutti, ho un problema su un PIX 515. Ho 3 sedi remote collegate via VPN ad una sede centrale con un PIX 515.

La VPN sembra funzionare correttamente però:
- le sedi remote si connettono sempre e lavorano correttamente.
- dalla sede centrale riesco a vedere soltanto le prime 2 sedi remote con cui viene creato il tunnel VPN.
- l'ultima sede che crea il tunnel vede la sede centrale, ma non è accessibile dalla sede centrale. Tuttavia se dal firewall provo a pingare un indirizzo di quella sede ricevo risposta
- cosa più strana dopo che sono andati su tutti e 3 i tunnel, col 3° che al solito non funziona, se li cambio di ordine nella configurazione del firewall e metto per esempio il 3° al posto del primo, riparte tutto correttamente.

Il firewall dovrebbe reggere tranquillamente 3 tunnel VPN non riesco proprio a capire cosa possa essere.

Versione del firewall:

Codice: Seleziona tutto

Cisco PIX Firewall Version 6.1(4)
Cisco PIX Device Manager Version 1.1(2)

Compiled on Tue 21-May-02 08:40 by morlee

pix-mi up 16 hours 41 mins

Hardware:   PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: ethernet0: address is 000a.f4d5.ef2e, irq 10
1: ethernet1: address is 000a.f4d5.ef2f, irq 11

Licensed Features:
Failover:       Disabled
VPN-DES:        Enabled
VPN-3DES:       Disabled
Maximum Interfaces:     3
Cut-through Proxy:      Enabled
Guards:         Enabled
Websense:       Enabled
Inside Hosts:   Unlimited
Throughput:     Unlimited
ISAKMP peers:   Unlimited

Configurazioni riguardanti la VPN (tra l'altro prese pari pari da un esempio su cisco.com che mi è stato consigliato qui):

Codice: Seleziona tutto

sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set chevelle esp-des esp-md5-hmac
crypto map transam 1 ipsec-isakmp
crypto map transam 1 match address 101
crypto map transam 1 set peer xxxxxx
crypto map transam 1 set transform-set chevelle
crypto map transam 2 ipsec-isakmp
crypto map transam 2 match address 103
crypto map transam 2 set peer yyyy
crypto map transam 2 set transform-set chevelle
crypto map transam 3 ipsec-isakmp
crypto map transam 3 match address 102
crypto map transam 3 set peer zzzzz
crypto map transam 3 set transform-set chevelle
crypto map transam interface outside
isakmp enable outside
isakmp key ******** address xxx netmask 255.255.255.255
isakmp key ******** address yyy netmask 255.255.255.255
isakmp key ******** address zzz netmask 255.255.255.255
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption des
isakmp policy 1 hash md5
isakmp policy 1 group 1
isakmp policy 1 lifetime 1000

Non sto a metter dentro tutte le access-list, immagino che, se quando funziona funziona, correttamente, il problema non stia lì.

Grazie per l'attenzione.

Roberto

[emanuele.ciani]

la conf sembra a posto
mi sa che l'unica soluzione sia Debug

prova prima di tutto a Debaggare isakmp

debug crypto isakmp

fai un ping verso la rete che non riesci a raggiungere e posta il risultato

Ciao

[rrroberto]

provo a debuggare isakmp.
intanto ti dico come risponde il ping.
se pingo dal firewall mi risponde correttamente. se pingo da una macchina mi dice nessuna risposta.
grazie
ciao

[cisketto]

Il routing è configurato correttamente?
Ciao,
Cisketto!