Vpn Site-to-Site: deny inbound UDP su interface outside 500

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
ciaks
Cisco fan
Messaggi: 39
Iscritto il: ven 22 lug , 2005 10:31 pm

Riporto qui di seguito un post creato nella sezione "Configurazioni", che sicuramente qui è più appropriato.

"...Arisalve a tutti,
di seguito un altro grattacapo made by un altro ASA.
Una semplicissima e stupidissima VPN Site to Site tra due ASA 5505:

ASA1 -> Router DSL che natta tutto su ip esposto ASA1 -> INTERNET <- Router DSL che natta tutto su ip esposto ASA2 <- ASA2

Dopo aver configurato per ore tutto seguendo la bibbia di cisco.com, l'errore che vien fuori sull'ASA2 dell'altra sede è:

Deny inbound UDP from IPPUBBLICOASA1/500 to HostEsposto/500 on interface outside

Dall'ASDM si evince che nessun tunnel è stato tirato su...

Dopo decine di seghe mentali mi sono deciso a disturbare qualche volenteroso del forum allegando le due configurazioni dei 5505.
Sperando che qualcuno mi possa indicare dove sbaglio, vi ringrazio nuovamente e vi saluto.
Top
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Ma... dimmi una cosa: il router natta tutto sull'HostEsposto dell'Asa; ma guardando le configurazioni questo però non è l'ip dell'interfaccia outside, bensì l'ip del server web che poi hai nattato staticamente nella inside!
In pratica: il peer della vpn non deve essere il server web, ma l'Asa stesso. Io cambierei l'ip con quello della outside... da entrambe le parti, ovviamente. Se non l'hai già fatto prova così. :wink:
Top
ciaks
Cisco fan
Messaggi: 39
Iscritto il: ven 22 lug , 2005 10:31 pm

Effettivamente non c'è alcun NAT statico che fa riferimento alla VPN, se non l'exeption.
Hai un'idea della riga di nat da inserire?
Grazie, ciao.
Top
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Dunque, sui firewall non cambiare niente.

Devi modificare la configurazione dei router affinchè nattino tutto sull'ip 10.0.0.3 (per il router con dietro l'Asa 1) e 192.168.0.3 (per il router con dietro l'Asa 2). Così la vpn dovrebbe andare.

Poi vedremo se il server web che hai nattato su entrambi i firewall ti serve raggiungerlo dall'esterno, poichè il quel caso dovrai necessariamente rimodificare il nat sul router affichè giri il solo traffico web verso l'HostEsposto.

Ciao e buon weekend!
Top
Rispondi

Torna a “VPN”