отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

537
Просмотры
5
Полезный материал
4
Ответы
Evgeniy Khokhlov
Beginner

Не работает IPSec через ASA.

Добрый день!

ASA 5520 v.9.1(4)

Через эту асу не работает IPSec.как изнутри с anyconnect наружу на другую удаленную ASA, так и входящие IPSec через static NAT на внутренний сервер Linux. IPSec-и L2L с самой ASA работают и Remote IPSec тоже работает. Пробовал включать/отключать inspect IPSec-pass-thru и PPTP - ничего не меняет. Направьте куда копать, плз.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

В таком случае Я бы посмотрел в логах Linux сервера. Также можно захватить пакеты на ASA и на сервере, чтобы убедиться, что соединение проходит через ASA. Как ловить пакеты:

 

capture CAP1 interface inside match udp host x.x.x.x host 10.0.1.1 eq 500

 

show capture CAP1

 

Это покажет Вам какие пакеты были пойманы на внутреннем интерфейсе. Если видите двусторонний поток, значит ASA ни при чём скорее всего.

Просмотреть решение в исходном сообщении

4 ОТВЕТ 4
Sergey Lisitsin
Collaborator

Здравствуйте,

 

А можно немного конкретики, например - что значит IPSec через static NAT? Не совсем понятно. Приведите пожалуйста топологию и конфигурацию. Также было бы полезно какую-нибудь диагностику, например packet tracer.

 

Через static NAT - это значит из вне пользователь из винды пытается установить IPSec/L2TP соединение через АСУ внутрь локальной сети с Linux-сервером (10.0.1.1). Настройки static NAT на асе:

object network obj_10.0.1.1
host 10.0.1.1

nat (inside,outside) static 2.2.2.2

 

Packet-tracer при проверке udp/500 показывает везде Allow. Что при попытке соединения из вне, что во вне. Ах да, забыл сразу указать на то, что во всех этих случаях соединение IPSec пытается установиться и запрашивает авторизацию, но на ввод правильного аккаунта говорит, что not authorized (как-то так) и обратитесь к админу. Через роутеры все эти соединения во все стороны работают.

В таком случае Я бы посмотрел в логах Linux сервера. Также можно захватить пакеты на ASA и на сервере, чтобы убедиться, что соединение проходит через ASA. Как ловить пакеты:

 

capture CAP1 interface inside match udp host x.x.x.x host 10.0.1.1 eq 500

 

show capture CAP1

 

Это покажет Вам какие пакеты были пойманы на внутреннем интерфейсе. Если видите двусторонний поток, значит ASA ни при чём скорее всего.

Просмотреть решение в исходном сообщении

Evgeniy Khokhlov
Beginner

Похоже так и есть. Будем копать в линуксе. Спасибо за подсказки.

Создать
Выразить признание своим коллегам
Опросы
Какой контент Вы хотели бы чаще видеть в Сообществе?
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу