Conexão Matriz/Filial com VPN IPSec via ASA5510 e Roteador C1905

Unanswered Question
Mar 5th, 2012

Olá a todos, tenho uma situação onde preciso conectar dois escritórios (matriz e filial) de uma empresa por um túnel IPSec onde no lado matriz possuo um link Internet corporativo com o ISP (com endereçamento IP fixo) conectado à um firewall ASA5510 com a feature de VPN IPSec habiltada. Neste firewall já recebo conexões remotas via VPN Client da Cisco e L2L de uma das filiais via Mikrotik RB1200 que está conectado à Internet através de um link ADSL com atribuição de endereçamento IP dinâmico na mesma operador (ou seja, uso modo aggressive para conectar à Matriz).

Agora preciso interligar outra filial que possui o mesmo tipo de conexão à Internet (link ADSL com endereçamento IP dinâmico), só que através de um roteador Cisco 1905 com o IOS 15.0 e com a feature de security habilitada no mesmo e até agora não consegui configurar este roteador para autenticar no túnel VPN através do modo "aggressive" e por isso, como o endereçamento IP é dinâmico, toda vez que há uma reconexão tenho que reconfigurar no ASA5510 o túnel e o peer da crypto map que está habilitada neste.

Já fiz configurações de crypto map dynamic mas mesmo assim não consigo fazer a conexão funcionar deste modo.

Alguém poderia indicar onde está o problema que venho enfrentando? Seguem abaixo as configurações utilizadas no roteador e no firewall:

ROTEADOR C1905:

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key XXXXXXXXXX address <IP_FW_MATRIZ>

!

!

crypto ipsec transform-set ESP-3DES esp-3des esp-md5-hmac

!

crypto dynamic-map Filial2 10

set peer <IP_FW_MATRIZ>

set transform-set ESP-3DES

match address 100

!

crypto map Filial2 10 ipsec-isakmp

description Tunnel2Matriz

set peer <IP_FW_MATRIZ>

set transform-set ESP-3DES

match address 100

!

interface Dialer1

description $FW_OUTSIDE$

crypto map QualySantosDumont

!

access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.0.255

FIREWALL ASA5510:

crypto ipsec transform-set VPN_IPSEC esp-3des esp-md5-hmac

crypto ipsec transform-set VPN_IPSEC1 esp-aes-256 esp-sha-hmac

crypto ipsec transform-set VPN_IPSEC2 esp-aes esp-sha-hmac

crypto ipsec security-association lifetime seconds 3600

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map VPN_CLIENT 10 set transform-set VPN_IPSEC

crypto dynamic-map TESTE 10 match address filial2-l2l-1

crypto dynamic-map TESTE 10 set transform-set VPN_IPSEC VPN_IPSEC1 VPN_IPSEC2

crypto dynamic-map TESTE 10 set security-association lifetime seconds 3600

crypto map outside_map 5 match address filial2-l2l-1

crypto map outside_map 5 set peer <IP_FILIAL2>

crypto map outside_map 5 set transform-set VPN_IPSEC

crypto map outside_map 5 set security-association lifetime seconds 3600

crypto map outside_map 65495 ipsec-isakmp dynamic TESTE

crypto map outside_map 65500 ipsec-isakmp dynamic VPN_CLIENT

crypto map outside_map interface outside

crypto map management_map interface management

tunnel-group <IP_FILIAL2> type ipsec-l2l

tunnel-group <IP_FILIAL2> ipsec-attributes

pre-shared-key *

access-list filial2-l2l-1 extended permit ip 172.16.0.0 255.255.255.0 172.16.20.0 255.255.255.0

==============================================================================

Nas configurações acima, a filial 1 (que possui o equipamento Mikrotik) conecta-se através das configurações da crypto dynamic-map "VPN_CLIENT" como é feito também para os usuários remotos (VPN client Cisco).

Já a filia 2 consegue conectar-se somente através das configurações da crypto map "outside_map".

Desde já agradeço qualquer ajuda, e estou à disposição para dúvidas.

Att.

Marlon

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
davigar Fri, 08/31/2012 - 09:30

Boa tarde, Marlon!

Você ainda está enfrentando esse problema? Caso não, favor marcar essa discussão como respondida.

Grande abraço,

Davi Garcia

Actions

Login or Register to take actions

This Discussion

Posted March 5, 2012 at 5:39 AM
Stats:
Replies:1 Avg. Rating:
Views:2290 Votes:0
Shares:0
Tags: No tags.