 Cisco l2tp/ipsec ipsec-pass-thru,  McLeod095, 24-Мрт-14, 16:22 [смотреть все]Всем доброго вемени суток
Вопрос довольно странный наверное, но все же
Есть ASA
Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 6.6(1)Есть у нее сеть из которой все разрешено, ACL там нет, просто все разрулено весом интерфейсов
Также для удаленного доступа настроены клиентские впн
l2tp over ipsec
cisco ipsec
ну и докучи для связи с площадками настроено пару ipsec site-to-site
все работает как надо
из сети все имеют доступы куда надо но вот незадача
надо из сети подключаться по тому же l2tp over ipsec к другим объектам. И вот тут засада. Не происходит подлючение.
Вроде все включил для прохождения ipsec
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect ipsec-pass-thru
inspect pptp куда копать дальше ума не приложу Есть конечно идея что скорее всего внешний клиентский ipsec перехватывает пакеты и тк ни не его дропает их, но вот подтверждения этому не могу найти. Спасибой за помощь!
|
- Cisco l2tp/ipsec ipsec-pass-thru, eek, 07:42 , 25-Мрт-14 (1)
packet-tracer чего говорит?
- Cisco l2tp/ipsec ipsec-pass-thru, McLeod095, 12:00 , 25-Мрт-14 (2)
> packet-tracer чего говорит?Вопрос,
а куда какие пакеты проверять?
Если из сети на удаленный узел то везде все accept для udp 500 4500 esp
обратно вот вопрос что проверять?
- Cisco l2tp/ipsec ipsec-pass-thru, eek, 16:00 , 25-Мрт-14 (3)
>> packet-tracer чего говорит?
> Вопрос,
> а куда какие пакеты проверять?
> Если из сети на удаленный узел то везде все accept для udp
> 500 4500 esp
> обратно вот вопрос что проверять?Сначала от себя туда, потом на той стороне смотрим дебаг, если сессия не поднимается. На этом этапе думаю уже будет понятно. Если все везде поднимается, а у вас все одно не работает, пробуем из другой сети.
- Cisco l2tp/ipsec ipsec-pass-thru, McLeod095, 16:25 , 25-Мрт-14 (4)
>>> packet-tracer чего говорит?
>> Вопрос,
>> а куда какие пакеты проверять?
>> Если из сети на удаленный узел то везде все accept для udp
>> 500 4500 esp
>> обратно вот вопрос что проверять?
> Сначала от себя туда, потом на той стороне смотрим дебаг, если сессия
> не поднимается. На этом этапе думаю уже будет понятно.
> Если все везде поднимается, а у вас все одно не работает, пробуем
> из другой сети.На той стороне все работает нормально
Из другой сети которую в инет выпускает другая аса все норм
А вот из моей вот такая засада
Просто куда хоть смотреть?
Куда копать?
что почитать?
- Cisco l2tp/ipsec ipsec-pass-thru, McLeod095, 18:03 , 25-Мрт-14 (5)
>[оверквотинг удален]
>> Сначала от себя туда, потом на той стороне смотрим дебаг, если сессия
>> не поднимается. На этом этапе думаю уже будет понятно.
>> Если все везде поднимается, а у вас все одно не работает, пробуем
>> из другой сети.
> На той стороне все работает нормально
> Из другой сети которую в инет выпускает другая аса все норм
> А вот из моей вот такая засада
> Просто куда хоть смотреть?
> Куда копать?
> что почитать?посмотрел на логи
Та циска которая является впн сервером пишет в лог вот такое
<164>Mar 25 2014 18:02:58 CISCOASA5515 : %ASA-4-113019: Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKEv1, Duration: 0h:00m:23s, Bytes xmt: 140733193388032, Bytes rcv: 0, Reason: Lost Service На той которая выпускает в интернет ничего нет
|
Версия для распечатки
