cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Problemas VPN entre ASA 5510 y un Cisco 881

Buenos dias,

Estoy configurando una vpn lan to lan para enrutar el trafico de una oficina pequena a la casa matriz pero tengo problemas.

La configuracion la he realizado de varias maneras y la ultima la hize toda con los asistentes del asa y de 881.

La vpn se establece bien entre los dos puntos mas cuanto trato de hacer ping entre las redes o extremos no funcionan.

Alguna idea de que pueda estar pasando ?

El diagram de red es :

10.57.88.1      : C881: 181.81.57.47 --- Internet --- 90.11.11.202 : ASA5510 : 10.57.1.10

10.57.88.0/27                                                                                                    10.57.0.0/18

Le dejo lo que veo viendo el estatus de la vpn y luego dejo la configuracion del 881 :

MCQ#sh cry session detail

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection

K - Keepalives, N - NAT-traversal, T - cTCP encapsulation

X - IKE Extended Authentication, F - IKE Fragmentation

Interface: FastEthernet4

Uptime: 02:19:33

Session status: UP-ACTIVE

Peer: 90.11.11.202 port 500 fvrf: (none) ivrf: (none)

      Phase1_id: 90.11.11.202

      Desc: (none)

  IKEv1 SA: local 181.81.57.47/500 remote 90.11.11.202/500 Active

          Capabilities:(none) connid:2001 lifetime:21:40:26

  IPSEC FLOW: permit ip 10.57.88.0/255.255.255.224 10.57.0.0/255.255.192.0

        Active SAs: 2, origin: crypto map

        Inbound:  #pkts dec'ed 2643 drop 0 life (KB/Sec) 4210590/2043

        Outbound: #pkts enc'ed 5410 drop 0 life (KB/Sec) 4210567/2043

******************************************************************************

******************************************************************************

MCQ#sh crypto ipsec sa detail

interface: FastEthernet4

    Crypto map tag: SDM_CMAP_1, local addr 181.81.57.47

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (10.57.88.0/255.255.255.224/0/0)

   remote ident (addr/mask/prot/port): (10.57.0.0/255.255.192.0/0/0)

   current_peer 90.11.11.202 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 5422, #pkts encrypt: 5422, #pkts digest: 5422

    #pkts decaps: 2643, #pkts decrypt: 2643, #pkts verify: 2643

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0

    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0

    #pkts invalid prot (recv) 0, #pkts verify failed: 0

    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0

    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0

    ##pkts replay failed (rcv): 0

    #pkts tagged (send): 0, #pkts untagged (rcv): 0

    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0

    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 181.81.57.47, remote crypto endpt.: 90.11.11.202

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4

     current outbound spi: 0xA9082DFD(2835885565)

     PFS (Y/N): N, DH group: none

     inbound esp sas:

      spi: 0x9C615383(2623624067)

        transform: esp-3des esp-sha-hmac ,

        in use settings ={Tunnel, }

        conn id: 5, flow_id: Onboard VPN:5, sibling_flags 80000040, crypto map: SDM_CMAP_1

        sa timing: remaining key lifetime (k/sec): (4210590/1988)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0xA9082DFD(2835885565)

*******************************************************************************

La configuracion es :

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key 1234567890 address 90.11.11.202

!

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

mode tunnel

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

mode tunnel

crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac

mode tunnel

!

!

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

description Tunnel to90.11.11.202

set peer 90.11.11.202

set transform-set ESP-3DES-SHA2

match address 103

!

!

!

!

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

description $ETH-WAN$

ip address 181.81.57.47 255.255.248.0

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

crypto map SDM_CMAP_1

!

interface Vlan1

description $ETH_LAN$

ip address 10.57.88.1 255.255.255.224

ip nat inside

ip virtual-reassembly in

ip tcp adjust-mss 1452

!

ip forward-protocol nd

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload

ip route 0.0.0.0 0.0.0.0 186.80.64.1

!

ip sla auto discovery

access-list 1 remark CCP_ACL Category=2

access-list 1 permit 10.57.88.0 0.0.0.31

access-list 23 permit 10.57.88.0 0.0.0.31

access-list 100 remark CCP_ACL Category=4

access-list 100 remark IPSec Rule

access-list 100 permit ip 10.57.88.0 0.0.0.31 10.57.0.0 0.0.63.255

access-list 101 remark CCP_ACL Category=2

access-list 101 remark IPSec Rule

access-list 101 deny   ip 10.57.88.0 0.0.0.31 10.57.0.0 0.0.63.255

access-list 101 permit ip 10.57.88.0 0.0.0.31 any

access-list 102 remark CCP_ACL Category=4

access-list 102 remark IPSec Rule

access-list 102 permit ip 186.80.56.0 0.0.7.255 10.57.0.0 0.0.63.255

access-list 103 remark CCP_ACL Category=4

access-list 103 remark IPSec Rule

access-list 103 permit ip 10.57.88.0 0.0.0.31 10.57.0.0 0.0.63.255

no cdp run

!

route-map SDM_RMAP_1 permit 1

match ip address 101

!

!

banner exec ^C

^C.

^C

!

line con 0

login local

no modem enable

line aux 0

line vty 0 4

access-class 23 in

privilege level 15

login local

transport input telnet ssh

!

!

end

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
Cisco Employee

Problemas VPN entre ASA 5510 y un Cisco 881

Buen dia Santiago,

Podria haber un problema de enrutamiento y o seguridad, con la informacion actual podria sugerirte lo siguiente:

-Valida que la comunicacion por ICMP puede ir y venir entre tus sitios (checa Firewalls, ASA, etc)

-Valida que las rutas estan correctamente instaladas en tus equipos, es decir que ambas puntas sepan que trafico debe ser enviado por el tunnel y cual no.

Para lo anterior usaria la metodologia de seguir el camino es decir, ir a cada salto para ver donde se pierde la comunicacion, esto pensando que el tunnel no tenga problemas ya que al parecer tenemos trafico cifrado y el tunel levanta.

Espero te sea de utilidad esto.

2 RESPUESTAS

Problemas VPN entre ASA 5510 y un Cisco 881

Hola Santiago,

Paquetes estan siendo encriptados y decriptados lo cual es un buen síntoma.

Podemos ver la config del ASA?

Rate all of the helpful posts!!!

Regards,

Jcarvaja

Follow me on http://laguiadelnetworking.com

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
Cisco Employee

Problemas VPN entre ASA 5510 y un Cisco 881

Buen dia Santiago,

Podria haber un problema de enrutamiento y o seguridad, con la informacion actual podria sugerirte lo siguiente:

-Valida que la comunicacion por ICMP puede ir y venir entre tus sitios (checa Firewalls, ASA, etc)

-Valida que las rutas estan correctamente instaladas en tus equipos, es decir que ambas puntas sepan que trafico debe ser enviado por el tunnel y cual no.

Para lo anterior usaria la metodologia de seguir el camino es decir, ir a cada salto para ver donde se pierde la comunicacion, esto pensando que el tunnel no tenga problemas ya que al parecer tenemos trafico cifrado y el tunel levanta.

Espero te sea de utilidad esto.

382
Visitas
0
ÚTIL
2
Respuestas