forum.opennet.ru - "ASA 5510. Трафик между двумя VPN" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ASA 5510. Трафик между двумя VPN"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ASA 5510. Трафик между двумя VPN"	+/–
Сообщение от tictactoe (ok) on 24-Фев-11, 13:27
Всем доброго времени суток. Есть у меня вот такая схема подключения [Remote-Access VPN Client] <-Tunnel-> [ASA 5510] <-Tunnel-> [ASA5505] <-> [SERVER] Для Remote-Access VPN Client peer'ом является первый внешний интерфейс ASA 5510, Site-to-Site VPN между ASA 5510 и ASA 5505 поднят на втором интерфейсе ASA 5510. Remote-Access VPN Client получает IP из сети 10.10.10.х/24, SERVER имеет IP из сети 192.168.204.х/24, трафик между сетями 10.10.10.х/24 и 192.168.204.х/24 добавлен в split tunneling для Remote-Access VPN и криптуется. Отбор траффика для криптования в Site-to-Site VPN между двумя ASA осуществляется Crypto Map'ом на втором интерфейсе ASA 5510. Не могу подключиться с Remote-Access VPN Client'а на сервер SERVER, пакеты не доходят даже до сетефого интерфейса сервера (смотрел tcpdump'ом), теряются где-то внутри ASA 5510. Командой capture ни на одном интерфейсе ASA 5510 я данный трафик отследить не могу - на первом интерфейсе он закриптован, а на втором его либо нет, либо он тоже закриптован - увы, не могу понять... Вот что выдает на ASA 5510 команда packet-tracer input FIRST tcp 10.10.10.6 12586 192.168.204.20 22 deatiled --------------- Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in NET-204 255.255.255.0 INT-SECOND Phase: 3 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group ACL-OUTSIDE-FIRST in interface INT-FIRST access-list ACL-OUTSIDE-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 object-group GROUP-ALL-NET object-group network GROUP-ALL-NET network-object NET-199 255.255.255.0 network-object NET-200 255.255.255.0 network-object NET-204 255.255.255.0 Additional Information: Forward Flow based lookup yields rule: in id=0xd8b4bec8, priority=12, domain=permit, deny=false hits=630, user_data=0xd7ed4180, cs_id=0x0, flags=0x0, protocol=0 src ip=VPN-IP-POOL, mask=255.255.255.0, port=0 dst ip=NET-204, mask=255.255.255.0, port=0, dscp=0x0 Phase: 4 Type: ACCESS-LIST Subtype: aaa-user Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xdadacaf8, priority=12, domain=aaa-user, deny=false hits=3, user_data=0xa, cs_id=0x0, flags=0x0, protocol=6 src ip=10.10.10.6, mask=255.255.255.255, port=0 dst ip=NET-204, mask=255.255.255.0, port=22, dscp=0x0 Phase: 5 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xd80fac48, priority=0, domain=permit-ip-option, deny=true hits=36853091, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 Phase: 6 Type: CP-PUNT Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xdae9b348, priority=89, domain=punt, deny=true hits=55, user_data=0xd75c3e80, cs_id=0x0, flags=0x0, protocol=0 src ip=10.10.10.6, mask=255.255.255.255, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 Phase: 7 Type: VPN Subtype: ipsec-tunnel-flow Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xd8b12a90, priority=69, domain=ipsec-tunnel-flow, deny=false hits=2, user_data=0x12cc9b5c, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip=10.10.10.6, mask=255.255.255.255, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 Phase: 8 Type: FOVER Subtype: standby-update Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0xd80fda08, priority=20, domain=lu, deny=false hits=3610602, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 Phase: 9 Type: VPN Subtype: encrypt Result: DROP Config: Additional Information: Forward Flow based lookup yields rule: out id=0xda98ddc0, priority=70, domain=encrypt, deny=false hits=98, user_data=0x0, cs_id=0xd7fb9828, reverse, flags=0x0, protocol=0 src ip=VPN-IP-POOL, mask=255.255.255.0, port=0 dst ip=NET-204, mask=255.255.255.0, port=0, dscp=0x0 Result: input-interface: INT-FIRST input-status: up input-line-status: up output-interface: INT-SECOND output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule -------------- Не понимаю, отчего в Phase: 9 пакеты сбрасываются, ведь в Crypto Map'е для Site-to-Site VPN трафик между сетями 10.10.10.х/24 и 192.168.204.х/24 прописан... Может кто сталкивался с подобной ситуацией и подскажет, где тут собака порылась? Спасибо заранее!
Ответить \| Правка \| Cообщить модератору

Оглавление

ASA 5510. Трафик между двумя VPN, Николай, 13:47 , 24-Фев-11, (1)

ASA 5510. Трафик между двумя VPN, tictactoe, 14:48 , 24-Фев-11, (2)

ASA 5510. Трафик между двумя VPN, ivan, 18:55 , 24-Фев-11, (3)

ASA 5510. Трафик между двумя VPN, tictactoe, 19:02 , 24-Фев-11, (4)

ASA 5510. Трафик между двумя VPN, BJ, 19:32 , 24-Фев-11, (5)

ASA 5510. Трафик между двумя VPN, tictactoe, 14:28 , 25-Фев-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от Николай (??) on 24-Фев-11, 13:47

А собака порылась в том что вы пытаетесь отправить в тунель некриптованый трафик ессественно он туда не попадет - вот и отбивает. Это нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты на тунель) на самом деле когда пакет генериться не самой АС-ой он нормально криптуеться и проходит через тунель. Если не верите попробуйте сделать трассу в обратном направлении там будет все ок.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от tictactoe (ok) on 24-Фев-11, 14:48

> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый
> трафик ессественно он туда не попадет - вот и отбивает. Это
> нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты
> на тунель) на самом деле когда пакет генериться не самой АС-ой
> он нормально криптуеться и проходит через тунель. Если не верите попробуйте
> сделать трассу в обратном направлении там будет все ок.
Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я жвроде написал об этом...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от ivan (??) on 24-Фев-11, 18:55

>> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый
>> трафик ессественно он туда не попадет - вот и отбивает. Это
>> нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты
>> на тунель) на самом деле когда пакет генериться не самой АС-ой
>> он нормально криптуеться и проходит через тунель. Если не верите попробуйте
>> сделать трассу в обратном направлении там будет все ок.
> Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором
> прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я
> жвроде написал об этом...
Конфиг хотелось бы посмотреть.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от tictactoe (ok) on 24-Фев-11, 19:02

> Конфиг хотелось бы посмотреть.
Вот выдержка из него, где я собрал всё, что касается данной ситуации. Сам конфиг большой, т.к. ASA 5510 центральный VPN концетратор. Если что пропустил или не понятно - справшивайте, я отвечу.
---------------
interface Ethernet0/0
no nameif
no security-level
no ip address
!
interface Ethernet0/0.10
vlan 10
nameif INT-FIRST
security-level 0
ip address XXX.XXX.22.167 255.255.255.224
!
interface Ethernet0/0.20
vlan 20
nameif INT-SECOND
security-level 0
ip address 192.168.251.1 255.255.255.0
!
interface Ethernet0/3
nameif INT-LAN
security-level 0
ip address 172.20.0.1 255.255.0.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
object-group network GROUP-ALL-NET
network-object 192.168.204.0 255.255.255.0
access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0
access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0
access-list ACL-FIRST extended permit icmp any any
access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0
access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 object-group GROUP-ALL-NET
access-list ACL-Split-Tunnel standard permit 172.16.0.0 255.255.0.0
access-list ACL-Split-Tunnel standard permit 192.168.0.0 255.255.0.0
access-list ACL-DAP-DEFAULT extended deny ip any any
access-list ACL-DAP-VPN extended permit icmp VPN-IP-POOL 255.255.255.0 any
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 eq ssh
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 object-group vnc
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group rdp
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 eq ssh
access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group vnc
access-list ACL-To-Encrypt-NET-204 extended permit ip 172.16.0.0 255.255.0.0 192.168.204.0 255.255.255.0
access-list ACL-To-Encrypt-NET-204 extended permit ip 192.168.0.0 255.255.0.0 192.168.204.0 255.255.255.0
access-list ACL-To-Encrypt-NET-204 extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0
access-list ACL-FIRST-No-NAT extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0
ip local pool VPN-IP-POOL 10.10.10.1-10.10.10.254 mask 255.255.255.0
nat-control
nat (INT-FIRST) 0 access-list ACL-FIRST-No-NAT
access-group ACL-FIRST in interface INT-FIRST
route INT-FIRST 0.0.0.0 0.0.0.0 62.231.22.161
route INT-SECOND 192.168.204.0 255.255.255.0 192.168.251.2 1
dynamic-access-policy-record DAP-VPN-ADMIN
network-acl ACL-DAP-VPN
crypto ipsec transform-set VPN-Transform-Set esp-des esp-md5-hmac
crypto ipsec transform-set Transform-Set esp-des esp-md5-hmac
crypto dynamic-map VPN-Crypto-Map 65535 set pfs group2
crypto dynamic-map VPN-Crypto-Map 65535 set transform-set VPN-Transform-Set
crypto map Crypto-Map 65535 ipsec-isakmp dynamic VPN-Crypto-Map
crypto map Crypto-Map interface INT-FIRST
crypto map Crypto-Map-SECOND 30 match address ACL-To-Encrypt-NET-204
crypto map Crypto-Map-SECOND 30 set pfs
crypto map Crypto-Map-SECOND 30 set peer 192.168.251.2
crypto map Crypto-Map-SECOND 30 set transform-set Transform-Set
crypto map Crypto-Map-SECOND interface INT-SECOND
crypto isakmp identity address
crypto isakmp enable INT-FIRST
crypto isakmp enable INT-SECOND
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
!
group-policy VPN-ADMIN internal
group-policy VPN-ADMIN attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL-Split-Tunnel
tunnel-group VPN-ADMIN type remote-access
tunnel-group VPN-ADMIN general-attributes
address-pool VPN-IP-POOL
authentication-server-group RADIUS
authorization-server-group RADIUS
accounting-server-group RADIUS
default-group-policy VPN-ADMIN
tunnel-group VPN-ADMIN ipsec-attributes
pre-shared-key *
tunnel-group 192.168.251.2 type ipsec-l2l
tunnel-group 192.168.251.2 ipsec-attributes
pre-shared-key *
---------------

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от BJ (ok) on 24-Фев-11, 19:32

А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ASA 5510. Трафик между двумя VPN" +/–

Сообщение от tictactoe (ok) on 25-Фев-11, 14:28

> А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?
Проблема решилась, Crypto Map на ASA 5505 был симметричен, но я его ошибочно повесил на другой интерфейс...
Всем откликнувшимся ещё раз спасибо за помощь и советы!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASA 5510. Трафик между двумя VPN"	+/–
Сообщение от Николай (??) on 24-Фев-11, 13:47
А собака порылась в том что вы пытаетесь отправить в тунель некриптованый трафик ессественно он туда не попадет - вот и отбивает. Это нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты на тунель) на самом деле когда пакет генериться не самой АС-ой он нормально криптуеться и проходит через тунель. Если не верите попробуйте сделать трассу в обратном направлении там будет все ок.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ASA 5510. Трафик между двумя VPN"	+/–
	Сообщение от tictactoe (ok) on 24-Фев-11, 14:48
	> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый > трафик ессественно он туда не попадет - вот и отбивает. Это > нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты > на тунель) на самом деле когда пакет генериться не самой АС-ой > он нормально криптуеться и проходит через тунель. Если не верите попробуйте > сделать трассу в обратном направлении там будет все ок. Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я жвроде написал об этом...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ASA 5510. Трафик между двумя VPN"	+/–
	Сообщение от ivan (??) on 24-Фев-11, 18:55
	>> А собака порылась в том что вы пытаетесь отправить в тунель некриптованый >> трафик ессественно он туда не попадет - вот и отбивает. Это >> нормальная практика (разве что проверте на всякий сплит тунелинг и ацл-фильты >> на тунель) на самом деле когда пакет генериться не самой АС-ой >> он нормально криптуеться и проходит через тунель. Если не верите попробуйте >> сделать трассу в обратном направлении там будет все ок. > Почему некриптованный то? На втором интерфейсе ASA5510 висит Crypto Map, в котором > прописано, что трафик от 10.10.10.х/24 до 192.168.204.х/24 заворачивать в туннель. Я > жвроде написал об этом... Конфиг хотелось бы посмотреть.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ASA 5510. Трафик между двумя VPN"	+/–
	Сообщение от tictactoe (ok) on 24-Фев-11, 19:02
	> Конфиг хотелось бы посмотреть. Вот выдержка из него, где я собрал всё, что касается данной ситуации. Сам конфиг большой, т.к. ASA 5510 центральный VPN концетратор. Если что пропустил или не понятно - справшивайте, я отвечу. --------------- interface Ethernet0/0 no nameif no security-level no ip address ! interface Ethernet0/0.10 vlan 10 nameif INT-FIRST security-level 0 ip address XXX.XXX.22.167 255.255.255.224 ! interface Ethernet0/0.20 vlan 20 nameif INT-SECOND security-level 0 ip address 192.168.251.1 255.255.255.0 ! interface Ethernet0/3 nameif INT-LAN security-level 0 ip address 172.20.0.1 255.255.0.0 ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface ! object-group network GROUP-ALL-NET network-object 192.168.204.0 255.255.255.0 access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 192.168.0.0 255.255.0.0 access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 access-list ACL-No-NAT extended permit ip 172.16.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0 access-list ACL-No-NAT extended permit ip 192.168.0.0 255.255.0.0 VPN-IP-POOL 255.255.255.0 access-list ACL-FIRST extended permit icmp any any access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 access-list ACL-FIRST extended permit ip VPN-IP-POOL 255.255.255.0 object-group GROUP-ALL-NET access-list ACL-Split-Tunnel standard permit 172.16.0.0 255.255.0.0 access-list ACL-Split-Tunnel standard permit 192.168.0.0 255.255.0.0 access-list ACL-DAP-DEFAULT extended deny ip any any access-list ACL-DAP-VPN extended permit icmp VPN-IP-POOL 255.255.255.0 any access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 eq ssh access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 object-group vnc access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group rdp access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 eq ssh access-list ACL-DAP-VPN extended permit tcp VPN-IP-POOL 255.255.255.0 172.16.0.0 255.255.0.0 object-group vnc access-list ACL-To-Encrypt-NET-204 extended permit ip 172.16.0.0 255.255.0.0 192.168.204.0 255.255.255.0 access-list ACL-To-Encrypt-NET-204 extended permit ip 192.168.0.0 255.255.0.0 192.168.204.0 255.255.255.0 access-list ACL-To-Encrypt-NET-204 extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 access-list ACL-FIRST-No-NAT extended permit ip VPN-IP-POOL 255.255.255.0 192.168.204.0 255.255.255.0 ip local pool VPN-IP-POOL 10.10.10.1-10.10.10.254 mask 255.255.255.0 nat-control nat (INT-FIRST) 0 access-list ACL-FIRST-No-NAT access-group ACL-FIRST in interface INT-FIRST route INT-FIRST 0.0.0.0 0.0.0.0 62.231.22.161 route INT-SECOND 192.168.204.0 255.255.255.0 192.168.251.2 1 dynamic-access-policy-record DAP-VPN-ADMIN network-acl ACL-DAP-VPN crypto ipsec transform-set VPN-Transform-Set esp-des esp-md5-hmac crypto ipsec transform-set Transform-Set esp-des esp-md5-hmac crypto dynamic-map VPN-Crypto-Map 65535 set pfs group2 crypto dynamic-map VPN-Crypto-Map 65535 set transform-set VPN-Transform-Set crypto map Crypto-Map 65535 ipsec-isakmp dynamic VPN-Crypto-Map crypto map Crypto-Map interface INT-FIRST crypto map Crypto-Map-SECOND 30 match address ACL-To-Encrypt-NET-204 crypto map Crypto-Map-SECOND 30 set pfs crypto map Crypto-Map-SECOND 30 set peer 192.168.251.2 crypto map Crypto-Map-SECOND 30 set transform-set Transform-Set crypto map Crypto-Map-SECOND interface INT-SECOND crypto isakmp identity address crypto isakmp enable INT-FIRST crypto isakmp enable INT-SECOND crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 2 lifetime 86400 ! group-policy VPN-ADMIN internal group-policy VPN-ADMIN attributes vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value ACL-Split-Tunnel tunnel-group VPN-ADMIN type remote-access tunnel-group VPN-ADMIN general-attributes address-pool VPN-IP-POOL authentication-server-group RADIUS authorization-server-group RADIUS accounting-server-group RADIUS default-group-policy VPN-ADMIN tunnel-group VPN-ADMIN ipsec-attributes pre-shared-key * tunnel-group 192.168.251.2 type ipsec-l2l tunnel-group 192.168.251.2 ipsec-attributes pre-shared-key * ---------------
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ASA 5510. Трафик между двумя VPN"	+/–
	Сообщение от BJ (ok) on 24-Фев-11, 19:32
	А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ASA 5510. Трафик между двумя VPN"	+/–
	Сообщение от tictactoe (ok) on 25-Фев-11, 14:28
	> А на 5505 ACL для крипты симметричен ACL-To-Encrypt-NET-204? Проблема решилась, Crypto Map на ASA 5505 был симметричен, но я его ошибочно повесил на другой интерфейс... Всем откликнувшимся ещё раз спасибо за помощь и советы!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору