cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Community Member

VPN Site-to-Site entre 2 ASA5512-X

Hola.

Resulta que no consigo hacer funcionar una VPN Site-to-Site entre dos ASA5512-X, uno en la oficina central, y el otro en una delegación.

He creado un acceso remoto VPN en cada uno, para conectarme con el VPN Client, y esto funciona perfectamente; de hecho los puedo administrar desde casa sin problemas. He seguido el Wizard para crear la VPN Site-to-Site, en los dos equipos exactamente igual (intercambiando las IP's, claro), pero no hay manera de establecer una conexión. La versión ASA es la 9.1(2), en los dos equipos. Uno se conecta a una línea ADSL de Telefónica por PPPoE (el router está en modo bridge), y el otro se conecta a una línea de fibra de ONO, cuyo modem-router tiene desactivado el NAT, y le pasa la IP pública directamente al I/F WAN del ASA. Las dos IP's públicas son fijas.

¿Alguien tiene alguna idea de por qué no funciona la VPN Site-to-Site?

Los usuarios se conectan a internet perfectamente, y yo puedo conectarme a los dos equipos remotamente a través del VPN Client sin problemas.

Se agradece todo tipo de ayuda.

Un saludo a todos. 

5 RESPUESTAS
Cisco Employee

Hola,Sería necesario comparar

Hola,

Sería necesario comparar ambas configuraciones, habilitando los siguientes debugs para obtener más información.

debug crypto isa

debug crypto ipsec

 

Saludos,

 

Itzcoatl

Community Member

Gracias por responder,

Gracias por responder, itespino.

He habilitado esos dos debugs, pero no me muestran absolutamente nada.

Te adjunto dos archivos con la configuración del tunel que tengo en cada extremo; a ver si ves algo raro.

Un saludo,

Manel

Cisco Employee

La configuración parecería

La configuración parecería estar cierta, sin embargo sería necesario verificar si el túnel se levanta en fase I , fase II, correr debugs y capturas para saber que ocurre con el tráfico.

 

El packet tracer es una herramienta que puede ayudar a conocer el flujo del paquete.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa80/command/reference/cmd_ref/p.html#wp1878788

 

Espero sirva de ayuda

 

Community Member

Gracias de nuevo, Itespino.He

Gracias de nuevo, Itespino.

He pasado el PacketTracer, y siempre se me para en el mismo sitio; dice que falla el NAT, pero creo que el NAT está bien.

Adjunto una imagen con el resultado del Packet Tracer, a ver si te da alguna pista del problema.

Un saludo,

Manel

Buenos dias Manuel, Revisando

Buenos dias Manuel,

 

Revisando el packet tracer, la fase en la que esta pegando es un NAT dinámico, asi que basicamente el paquete esta siendo traducido a la IP de la interfaz (PAT), por lo cual el paquete sale eficientemente de el ASA pero luego el paquete sera botado por un ISP. 

 

Pasos a solucionar este problema:

1. Adjunte la configuracion de los dos dispositivos VPN, para asi verificar politicas de fase 1 y igual verifiique por su propia cuenta si el pre-shared key es el mismo en los dos lados:

  more system:running-config | beg tunnel-group

2. Con el comando: show crypto isakmp sa --> se verifica si fase 1 esta arriba

3. Con el comando Show crypto ipsec sa peer <IP publica remota> se verifica si fase 2 esta arriba.

3. Cree un NAT exemption, para evitar el trafico ser PATed en la interfaz WAN:

  Por ejemplo:

192.168.11.0/24-ASA-LOCAL<---------Internet----------->ASA-Remoto-172.16.1.0/24

 

ASA local:

object-group network LOCAL

  network-object 192.168.11.0 255.255.255.0

object-group network REMOTE

  network-object 172.16.1.0 255.255.255.0

 

nat (LAN-192.168.11,WAN) 1 source static LOCAL LOCAL destination static REMOTE REMOTE no-proxy-arp route-lookup

 

Luego puedes correr otro packet tracer y ver si pasa NAT, y pega algun VPN phase.

 

Despues de esto puedes correr los mismos debugs pero especificos a ese peer:

- Debug crypto ipsec sa peer <Peer IP>

- Debug crypto ikev1 250

- Debug crypto ipsec 250

 

Por favor proceda a calificar y marcar como correcto las repuesta que le ayudo!

 

David Castro,

Gracias

295
Visitas
4
ÚTIL
5
Respuestas
CrearPor favor para crear contenido