Tráfego unidirecional pela VPN Site-to-Site

Answered Question
Aug 4th, 2011

Olá a todos,

Tenho um par de ASA5510 que fecham uma VPN Site-to-Site entre dois escritórios, que possuem redes locais 192.168.1.0/24 e 10.10.2.0/24 respectivamente. O que acontece é que na saida do comando "show crypto ipsec sa peer XXX" no ASA-A só os contadores "#pkts decaps" , "#pkts decrypt" e "#pkts verify" incrementam; no ASA-B o comportamento é normal, todos os contadores são incrementados.

Portanto me parece que o tráfego só está trafegando em uma única direção, de B para A. Alguém teria alguma idéia de uma possível causa?

Obrigado pela atenção,
Julio Carvalho

I have this problem too.
0 votes
Correct Answer by davigar about 2 years 8 months ago

Bom dia, Julio!

Você poderia executar o comando abaixo e verificar se o tráfego local do ASA-A com destino a rede local do ASA-B está sendo enviado corretamente para a VPN. Lembre-se que caso você tenha NAT configurado pra essa rede você precisará configurar um NAT-0 (NAT EXEMPT) para evitar que o mesmo seja traduzido.

packet-tracer input tcp detailed

Ex.: packet-tracer input inside tcp 192.168.1.1 2048 10.10.1.1 23456 detailed

As lacunas desse comando devem ser preenchidas de forma que reflitam o tráfego real da VPN. Esse comando deve ser executado mais de uma vez, caso o túnel não esteja ativo no momento.

Atenciosamente,

Davi Garcia

  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 5 (1 ratings)
Correct Answer
davigar Thu, 08/04/2011 - 07:17

Bom dia, Julio!

Você poderia executar o comando abaixo e verificar se o tráfego local do ASA-A com destino a rede local do ASA-B está sendo enviado corretamente para a VPN. Lembre-se que caso você tenha NAT configurado pra essa rede você precisará configurar um NAT-0 (NAT EXEMPT) para evitar que o mesmo seja traduzido.

packet-tracer input tcp detailed

Ex.: packet-tracer input inside tcp 192.168.1.1 2048 10.10.1.1 23456 detailed

As lacunas desse comando devem ser preenchidas de forma que reflitam o tráfego real da VPN. Esse comando deve ser executado mais de uma vez, caso o túnel não esteja ativo no momento.

Atenciosamente,

Davi Garcia

juliocarv Tue, 08/09/2011 - 06:48

Opa,

Obrigado pela dica! Na saida do "packet-tracer" eu ví que o tráfego estava sendo traduzido no NAT que eu uso pra acesso à Internet. Coloquei um NAT-0 pro trafego com destino a rede remota e agora está funcionando.

Abraços,

Julio Carvalho

davigar Tue, 08/09/2011 - 06:54

Bom dia, Julio!

Que bom que o seu problema foi solucionado. Se possível, marque a minha resposta como correta para que essa pergunta seja encerrada corretamente.

Atenciosamente,

Davi Garcia

Actions

Login or Register to take actions

This Discussion

Posted August 4, 2011 at 6:58 AM
Stats:
Replies:4 Avg. Rating:5
Views:1365 Votes:0
Shares:0
Tags: vpn, asa
+

Related Content