Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
604
Visitas
0
ÚTIL
1
Respuestas

VPN Site to Site

rbaeditores
Level 1
Level 1

‎02-22-2013 05:08 AM - editado ‎03-21-2019 04:47 PM

Buenas tardes,

Tengo configurado un tunel VPN que esta conectando correctamente. El problema es que no consigo acceder por RDP, telnet u otro protocolo a los equipos al otro lado del tunel. Solo tengo acceso ICMP.

El FW principal es un ASA5520 y el remoto es un PIX501.

Cada vez que intento acceder por RDP a un equipo del otro lado del tunel en el log del FW veo esto:

Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name.

¿Podeis ayudarme, por favor?

Un saludo

Etiquetas:
0 Útil
1 RESPUESTA 1

Jorge Garcia
Cisco Employee
Cisco Employee

el ‎03-04-2013 06:04 PM

Que tal,

Espero que todo vaya excelente! Te recomiendo seguir los siguientes pasos:

1) Puedes verificar que las ACLs del trafico interesante sean como un espejo en los dos equipos? Es decir, si tienes la red Inside (172.16.1.0/24) en el ASA que necesita ir a la Inside (10.0.0.0/24) del Router las ACL deberan ir de la siguiente forma:

ASA:

access-list VPN permit ip 172.16.1.0 255.255.255.0 10.0.0.0 255.255.255.0

Router

access-list VPN permit ip 10.0.0.0 255.255.255.0 172.16.1.0 255.255.255.0

2) Lo siguiente que tenemos que revisar es que tus access-lists esten definidas para el protocolo IP y no para cualquier otro (e.g. TCP, ESP, UDP) esto es para seguir las mejores practicas de Cisco, inclusive la utilización de puertos dentro de la ACL no es la mejor forma de configurar las ACLs

Usar:

acess-list PRUEBA permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0

No usar:

access-list PRUEBA permit TCP 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0    ó

access-list PRUEBA permit TCP 192.168.1.0 255.255.255.0 host 172.16.1.10 eq 22

No se que versión de ASA y PIX estes utilizando, pero te mando las guias para configurar un VPN site-to-site, sin embargo esta guia es para cuando se necesita utilizar NAT para el trafico que pasa por el tunel (si no necesitas de esta configuracion recuerda que solo necesitas crear una regla para No Natear el trafico del tunel):

http://tools.cisco.com/squish/90b9b

Que tengas una excelente tarde!

Saludos,

Osvaldo Garcia.

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents