Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

ASA 5505 exemption network fail

Добрый день!

Я использую две ASA  5505, как Easy VPN соответсвенно сервер и клиент. Характеристики VPN: DES-56/IPsecOverNatT. У меня настроено правило Exemption network для NAT. Все работает хорошо, но иногда в тунеле не достраивается exemption network и ничего не работает. Помогает многократное переподключение клиента.

Asa-NEM.PNG

Товарищи эксперты, подскажите как с этим бороться и почему так происходит?

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

ASA 5505 exemption network fail

Настройка похожа на правильную. NAT exemption должно организоваться на клиенте само в момент создания IPSec SA между приватными LAN и "show vpnclient detail" должно соотв. правила NAT показать (правда в 8.3/8.4 не проверял).

Отсутствие IPsec SA между приватными LAN (remote ident (addr/mask/prot/port)) означает, что туннель отвалился и не пересоздался. При этом IPsec SA между внешними IP/32 устройств - это др. туннель, который создается/устанавливается всегда автоматически.

Если оно отваливается спорадически, то проблема не с настройкой и скорее всего не с ASA, а со связью. Т.к. нет "vpnclient nem-st-autoconnect", то переподключаться приходится вручную?

Я бы добавил на сервере:

group-policy Chechnya attributes

vpn-idle-timeout none

password-storage enable

а то вдруг оно по idle timeout отваливается.

И

crypto isakmp nat-traversal 10

с 2-х сторон чтобы чаще обновлять записи NAT на промежуточном NAT-трансляторе.

12 ОТВЕТ.

ASA 5505 exemption network fail

Александр, если честно, я не понял Ваш вопрос. Что значит "иногда в тунеле не достраивается exemption "? И ещё неплохо было бы привести конфигурацию здесь.

Community Member

ASA 5505 exemption network fail

Евгений, прошу прощения, если не понятно сформулировал вопрос.

Результат вывода команды IPsec SA Details, при корректной работе VPN тунеля. Но иногда бывает так, что в параметре remote ident (addr/mask/prot/port): не появялется конечная приватня сеть внутреннего интерфейса АСЫ, а стоит значение внешнего интерфейса, по сути, являющимся, тоже приватной сейтью, выдаваемой провайдером 10.0.0.х. В этом и заключается мой вопрос: почему так бывает и из-за чего и как это лечить? Если и этой информации не достаточно, то могу конечно и конфиги приложить.

Crypto map tag: SYSTEM_DEFAULT_CRYPTO_MAP, seq num: 5, local addr: *.*.*.*

local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

current_peer: 91.215.220.160, username: vpnuser

dynamic allocated peer ip: 0.0.0.0

#pkts encaps: 268277, #pkts encrypt: 268277, #pkts digest: 268277

#pkts decaps: 250186, #pkts decrypt: 250186, #pkts verify: 250186

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 268277, #pkts comp failed: 0, #pkts decomp failed: 0

#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0

#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0

#pkts no sa (send): 0, #pkts invalid sa (rcv): 0

#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0

#pkts invalid prot (rcv): 0, #pkts verify failed: 0

#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0

#pkts invalid pad (rcv): 0,

#pkts invalid ip version (rcv): 0,

#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0

#pkts replay failed (rcv): 0

#pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0

#pkts internal err (send): 0, #pkts internal err (rcv): 0

local crypto endpt.: *.*.*.*/4500, remote crypto endpt.: 91.215.220.160/9119

path mtu 1500, ipsec overhead 66, media mtu 1500

current outbound spi: 60F497B7

current inbound spi : 32512DDF

inbound esp sas:

spi: 0x32512DDF (844180959)

transform: esp-des esp-md5-hmac no compression

in use settings ={RA, Tunnel,  NAT-T-Encaps, }

slot: 0, conn_id: 139264, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP

sa timing: remaining key lifetime (sec): 23080

IV size: 8 bytes

replay detection support: Y

Anti replay bitmap:

0xFFFFFFFF 0xFFFFFFFF

outbound esp sas:

spi: 0x60F497B7 (1626642359)

transform: esp-des esp-md5-hmac no compression

in use settings ={RA, Tunnel,  NAT-T-Encaps, }

slot: 0, conn_id: 139264, crypto-map: SYSTEM_DEFAULT_CRYPTO_MAP

sa timing: remaining key lifetime (sec): 23080

IV size: 8 bytes

replay detection support: Y

Anti replay bitmap:

0x00000000 0x00000001

ASA 5505 exemption network fail

Уже интересные подробности. Лучше приложить конфиги и указать, какие адреса назначенны на внешних интерфейсах, если они динамические.

Community Member

ASA 5505 exemption network fail

Конфиг VPN сервера:

Result of the command: "sh run"

: Saved

:

ASA Version 8.2(5)

!

hostname ASA-Portal-KRD

domain-name Portal-ug.ru

enable password Mc299jirfFDp5E5z encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.0.29 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address *.*.*.*  255.255.255.240

!

ftp mode passive

clock timezone MSK/MSD 3

clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00

dns domain-lookup outside

dns server-group DefaultDNS

name-server 192.168.0.1

name-server 8.8.8.8

domain-name Portal-ug.ru

object-group service DM_INLINE_SERVICE_1

service-object icmp echo

service-object icmp echo-reply

service-object icmp traceroute

service-object icmp unreachable

service-object tcp eq ssh

service-object ip

object-group service DM_INLINE_SERVICE_2

service-object ip

service-object icmp echo

service-object icmp echo-reply

service-object icmp traceroute

service-object icmp unreachable

service-object tcp eq domain

access-list Chechnya_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0

access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

access-list inside_access_in extended permit object-group DM_INLINE_SERVICE_1 any any

access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_2 any any

pager lines 24

logging enable

logging asdm informational

mtu inside 1500

mtu outside 1500

ip local pool vpdn_pool 172.16.0.39-172.16.0.45 mask 255.255.255.0

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_nat0_outbound

nat (inside) 1 0.0.0.0 0.0.0.0

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

route outside 0.0.0.0 0.0.0.0 81.26.132.193 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

aaa authentication ssh console LOCAL

aaa authentication telnet console LOCAL

http server enable

http 192.168.0.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac

crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 5 set pfs group1

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 5 set transform-set ESP-DES-SHA ESP-DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP

crypto map outside_map interface outside

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

telnet 192.168.0.0 255.255.255.0 inside

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh timeout 5

console timeout 0

no threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

group-policy Chechnya internal

group-policy Chechnya attributes

vpn-tunnel-protocol IPSec

group-lock value Chechnya

split-tunnel-policy tunnelspecified

split-tunnel-network-list value Chechnya_splitTunnelAcl

default-domain value Portal-ug.ru

nem enable

username admin password zR7dtWIkDDFkmYtl encrypted

username vpnuser password 10M2xglz0pf3PFV2 encrypted privilege 0

username vpnuser attributes

vpn-group-policy Chechnya

tunnel-group Chechnya type remote-access

tunnel-group Chechnya general-attributes

address-pool vpdn_pool

default-group-policy Chechnya

tunnel-group Chechnya ipsec-attributes

pre-shared-key *****

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum client auto

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

inspect ip-options

!

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

Cryptochecksum:03b57c78f4267ba3014a9cb9c81f1161

: end

И конфиг VPN клиента:

Result of the command: "sh run"

: Saved
:
ASA Version 8.4(3)
!
hostname ASA-Portal-Chechnya
domain-name Portal-ug.ru
enable password Mc299jirfFDp5E5z encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group ISP
ip address pppoe setroute
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 192.168.0.1
name-server 8.8.8.8
domain-name Portal-ug.ru
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group service DM_INLINE_SERVICE_1
service-object ip
service-object icmp echo
service-object icmp echo-reply
service-object icmp traceroute
service-object icmp unreachable
object-group service DM_INLINE_SERVICE_2
service-object ip
service-object icmp echo
service-object icmp echo-reply
service-object icmp traceroute
service-object icmp unreachable
service-object tcp destination eq ssh
service-object udp destination eq isakmp
access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_2 any any
access-list inside_access_in extended permit object-group DM_INLINE_SERVICE_1 any any
access-list 101 standard permit 192.168.1.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 60
!
object network obj_any
nat (inside,outside) dynamic interface
!
nat (inside,outside) after-auto source dynamic any interface destination static obj_any obj_any
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.2.2.127 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
management-access inside
vpdn group ISP request dialout pppoe
vpdn group ISP localname 13967
vpdn group ISP ppp authentication chap
vpdn username 13967 password *****
vpnclient server *.*.*.*
vpnclient mode network-extension-mode
vpnclient vpngroup Chechnya password *****
vpnclient username vpnuser password *****
vpnclient enable
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 192.168.1.1 8.8.8.8 interface inside
dhcpd domain portal-ug.ru interface inside
dhcpd enable inside
!
no threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl encryption 3des-sha1
webvpn
username admin password zR7dtWIkDDFkmYtl encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny 
inspect sunrpc
inspect xdmcp
inspect sip 
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:a3b16f64e20b3ab8adb40bdbf77a6e14
: end

Result of the command: "sh run"

: Saved
:
ASA Version 8.4(3)
!
hostname ASA-Portal-Chechnya
domain-name Portal-ug.ru
enable password Mc299jirfFDp5E5z encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group ISP
ip address pppoe setroute
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns domain-lookup outside
dns server-group DefaultDNS
name-server 192.168.0.1
name-server 8.8.8.8
domain-name Portal-ug.ru
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group service DM_INLINE_SERVICE_1
service-object ip
service-object icmp echo
service-object icmp echo-reply
service-object icmp traceroute
service-object icmp unreachable
object-group service DM_INLINE_SERVICE_2
service-object ip
service-object icmp echo
service-object icmp echo-reply
service-object icmp traceroute
service-object icmp unreachable
service-object tcp destination eq ssh
service-object udp destination eq isakmp
access-list outside_access_in extended permit object-group DM_INLINE_SERVICE_2 any any
access-list inside_access_in extended permit object-group DM_INLINE_SERVICE_1 any any
access-list 101 standard permit 192.168.1.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 60
!
object network obj_any
nat (inside,outside) dynamic interface
!
nat (inside,outside) after-auto source dynamic any interface destination static obj_any obj_any
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.2.2.127 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
management-access inside
vpdn group ISP request dialout pppoe
vpdn group ISP localname 13967
vpdn group ISP ppp authentication chap
vpdn username 13967 password *****
vpnclient server 81.26.132.199
vpnclient mode network-extension-mode
vpnclient vpngroup Chechnya password *****
vpnclient username vpnuser password *****
vpnclient enable
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 192.168.1.1 8.8.8.8 interface inside
dhcpd domain portal-ug.ru interface inside
dhcpd enable inside
!
no threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl encryption 3des-sha1
webvpn
username admin password zR7dtWIkDDFkmYtl encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny 
  inspect sunrpc
  inspect xdmcp
  inspect sip 
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:a3b16f64e20b3ab8adb40bdbf77a6e14
: end

ASA 5505 exemption network fail

Насколько я понял, нужно в удаленном офисе для начала сделать NAT excemption, что то вроде:

object network LOCAL_OFFICE_NET

subnet 192.168.1.0 255.255.255.0

object network REMOTE_OFFICE_NET

subnet 192.168.0.0 255.255.255.0

nat (inside,outside) source static LOCAL_OFFICE_NET  LOCAL_OFFICE_NET  destination static  REMOTE_OFFICE_NET REMOTE_OFFICE_NET no-proxy-arp

и поместить его до

nat (inside,outside) after-auto source dynamic any interface

Остальное в NAT убрать, оно Вам не нужно.

Community Member

ASA 5505 exemption network fail

Все верно. Правило NAT Examption настроено и все работает: две сетки между собой маршрутизируются, а весь остальной трафик натится для выхода в интернет, но работает это, как то не стабильно. Иногда отваливаясь, по не известной мне причине. Я все настраивал через ASDM и VPN через визар,д в том числе и правила NEM, но все подымается и работает, но не без сбоев.

Re: ASA 5505 exemption network fail

Может я чего-то не вижу, но мне кажется что в уделенном офисе нет excempt исходя из того, что я вижу.

Community Member

ASA 5505 exemption network fail

Если я правильно понимаю, то:

со стороны срервера есть ACL

access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0и правило

nat (inside) 0 access-list inside_nat0_outbound

nat (inside) 1 0.0.0.0 0.0.0.0

Со стороны клиента

vpnclient server *.*.*.*

vpnclient mode network-extension-mode

vpnclient vpngroup Chechnya password *****

vpnclient username vpnuser password *****

vpnclient enable

Причем в интерфейсе ASDM

ASA 5505 exemption network fail

network-extension-mode  

означает, что вы работаете не в режиме клиента, пряча все внутренние адреса офиса за PAT, а в режиме оверлея локальной сети.

Все же попробуйте сделать так, как я прошу.

Community Member

ASA 5505 exemption network fail

Настройки поменять проблематично, т.к. остановится работа удаленного офиса. Если у меня не верные настройки, тогда почему все поднимается и работет маршрутизация между офисами и интернет через NAT?

Cisco Employee

ASA 5505 exemption network fail

Настройка похожа на правильную. NAT exemption должно организоваться на клиенте само в момент создания IPSec SA между приватными LAN и "show vpnclient detail" должно соотв. правила NAT показать (правда в 8.3/8.4 не проверял).

Отсутствие IPsec SA между приватными LAN (remote ident (addr/mask/prot/port)) означает, что туннель отвалился и не пересоздался. При этом IPsec SA между внешними IP/32 устройств - это др. туннель, который создается/устанавливается всегда автоматически.

Если оно отваливается спорадически, то проблема не с настройкой и скорее всего не с ASA, а со связью. Т.к. нет "vpnclient nem-st-autoconnect", то переподключаться приходится вручную?

Я бы добавил на сервере:

group-policy Chechnya attributes

vpn-idle-timeout none

password-storage enable

а то вдруг оно по idle timeout отваливается.

И

crypto isakmp nat-traversal 10

с 2-х сторон чтобы чаще обновлять записи NAT на промежуточном NAT-трансляторе.

Community Member

ASA 5505 exemption network fail

Олег, спасибо огромное за дельный совет и растолкование картины происходящего. Ты подтвердил мои предположения того, что виновата связь. Поправки в конфиг обязательно занесу. Еще раз спасибо!!!

1240
Просмотры
0
Полезный материал
12
Ответы
СоздатьДля создания публикации, пожалуйста в систему