cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
867
Visitas
15
ÚTIL
4
Respuestas

Consulta vpn S2S ASA

kristianrgc
Spotlight
Spotlight

Hola buenos dias quisiera saber si me pueden ayudar con una consulta, tengo un ASA 5555 con IOS 9.14(4)12, en el cual estoy levantando una vpn s2s con un proveedor externo, la vpn ya esta funcionando pero me gustaria poder limitar los puertos de conexion ya que actualmente en el trafico permitido en la vpn esta permitiendo todo el trafico entre las redes a cifrar.

 

Actualmente la configuracion esta asi

crypto map outside_map 18 match address outside_cryptomap_16
crypto map outside_map 18 set peer X.X.X.X
crypto map outside_map 18 set ikev2 ipsec-proposal Azure-Ipsec-Tunnel-Azure

Esta es la Lista de acceso LA cual esta permitiendo todo el trafico entre las redes y funciona bien

access-list outside_cryptomap_16 extended permit ip object-group red-origen object-group red-destino

pero quisiera limitar la lista de acceso para permitir solo la comunicación de icmp y a un puerto por ejemplo 8080 y realice la siguiente ACL

access-list acl-vpn extended permit icmp object-group red-origen object-group red-destino
access-list acl-vpn extended permit tcp object-group red-origen object-group red-destino eq 8080
access-list acl-vpn extended permit esp any any

Pero cuando aplico la ACL por puerto en la vpn esta se cae y ya no funciona mas, por lo que agradeceria si me pudieran indicar si la lista de acceso debe tener permitido algun otro puerto u orientar en como poder realizar la restriccion de puertos en la vpn, muchas gracias 

 

 

 

 

 

 

 

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Javier Acuña
Spotlight
Spotlight

Saludos @kristianrgc Gracias por comunicarte con la comunidad de cisco es muy normal que se caiga la VPN ya que esta utiliza el puerto UDP 500 o 4500 para establecer comunicación con el peer Remoto, por favor monta una captura en el asa para validar por que puerto se esta comunicación la vpn y permítala en el trafico.

Recuerda es muy importante que apoyes en la comunidad con un like y si esto solventa el problema por favor selecciona como respuesta solucionada.

Ver la solución en mensaje original publicado

4 RESPUESTAS 4

Javier Acuña
Spotlight
Spotlight

Saludos @kristianrgc Gracias por comunicarte con la comunidad de cisco es muy normal que se caiga la VPN ya que esta utiliza el puerto UDP 500 o 4500 para establecer comunicación con el peer Remoto, por favor monta una captura en el asa para validar por que puerto se esta comunicación la vpn y permítala en el trafico.

Recuerda es muy importante que apoyes en la comunidad con un like y si esto solventa el problema por favor selecciona como respuesta solucionada.

Muchas gracias por la asistencia @Javier Acuña 

Esperamos la información sea de ayuda @kristianrgc 

Javier muchas gracias por tu tiempo y respuesta realizaremos las pruebas permitiendo esos puertos y confirmare como ba, muchas gracias

Saludos @kristianrgc gracias por favor dejarme un like y si solventa la falla selecciona como respuesta solucionada.