el 10-27-2023 04:45 AM - fecha de última edición 10-27-2023 04:38 PM por Jimena Saez
Hola.
Cuando Anyconnect
endpoint traceroute to 172.25.1.1,it exits ASA5525 public outside interfacee (which is 0.0.0.0 0.0.0.0 LAN default route.) (Tunneled default route is 172.16.x.x = inside interface)
ASA5525# sh route 172.25.1.1
Routing entry for 172.25.0.0 255.255.0.0 Known via "eigrp 1", distance 170, metric 282112, type external Redistributing via eigrp 1 Last update from 172.16.28.66 on inside, Routing Descriptor Blocks: * 172.16.28.66 , from 172.16.28.66 , 0:59:30 ago, via inside
ASA5525# sh route
!! output pruned. !!
Gateway of last resort is 60.1.6.5 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 65.51.196.65, outside
D EX 172.25.0.0 255.255.0.0
[170/282112] via 172.16.28.66, inside
S 0.0.0.0 0.0.0.0 [255/0] via 172.16.1.1, inside tunneled
ASA5525 # traceroute 172.25.1.1
1 172.16.28.66 1 msec 1 msec 1 msec
3 172.25.1.1 11 msec 10 msec 10 msec
trace complete.
=====
Mi conexión WebVPN de estación de trabajo a través de este
ASA5525...
>TRACERT 172.25.1.1
1 13 ms * 13 ms 60.1.6.5
2 26 ms 25 ms 30 ms 172.25.1.1
PREGUNTA: ¿Por qué mi estación de trabajo conectada WebVPN enruta a este
172.25.1.1
destino a través del
ASA outside interface
, en lugar de la ruta enumerada a través del
inside interface
"?
Gracias.
¡Resuelto! Ir a solución.
el 10-27-2023 04:46 AM
Tal vez hay algo que no estoy entendiendo en su situación. Pero me parece que la explicación es que la estación de trabajo está llegando a su ASA utilizando un túnel encriptado y que el
outside interface
es donde se conecta el túnel.
el 10-27-2023 04:46 AM
Tal vez hay algo que no estoy entendiendo en su situación. Pero me parece que la explicación es que la estación de trabajo está llegando a su ASA utilizando un túnel encriptado y que el
outside interface
es donde se conecta el túnel.
el 10-27-2023 04:46 AM
Así que estás diciendo que...
workstation>TRACERT 172.25.1.1
1 13 ms * 13 ms 60.1.6.5
2 26 ms 25 ms 30 ms 172.25.1.1
---
...60.1.6.5
es el primer salto a la LAN. Pues bien, como se ve en el traceroute ASA
...
---
ASA5525# traceroute 172.25.1.1
1 172.16.28.66 1 msec 1 msec 1 msec
3 172.25.1.1 11 msec 10 msec 10 msec
trace complete.
---
...¿Por qué no
172.16.28.66
aparecen en el
workstation traceroute?
(Este es un salto importante en el circuito; es un túnel DMVPN. Necesito confirmar que este tráfico de Anyconnect está atravesando este túnel DMVPN.)
el 10-27-2023 04:46 AM
La pregunta original era por qué
tracert
desde la estación de trabajo utilizó el ASA externo como salto siguiente. Creo que mi sugerencia aborda eso. Ahora la pregunta es por qué lo hace
tracert
desde la estación de trabajo, consulte la
172.25.1.1
sin ver
172.16.28.66.
No sé lo suficiente sobre su entorno como para tener una explicación para eso.
el 10-27-2023 04:46 AM
Me alegra que mi sugerencia sobre la primera pregunta haya sido útil. Gracias por marcarlo como resuelto. Lamento que no hayamos avanzado en la segunda cuestión, pero me he dado cuenta de que explicar los detalles de su entorno podría haber puesto de manifiesto cierta información sensible que no es apropiada en un foro público como este.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad