comunicacion fallida entre host dentro del tunel VPN

oelagy · ‎04-20-2023

Buenas tardes,

estoy tratando de solucionar un problema que tengo con la VPN llevo 4 días intentando encontrar una solucion, lo hemos intentenado de todas la formas posibles:

he montado dos FTD1010 conectado entre ellos con una VPN Site to site , tengo la VPN levantada y con trafico. el problema que tengo no tengo conectividad entre los equipo que se encuentran en cada extremo ni por ping ni por tcp.

No tengo Nat configurado "estoy utilizando las direcciones físicas en ambas redes"

FTD1 :inside 192.168.88.1

FTD2 :inside 192.100.9.1

> show isakmp sa

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id Local Remote Status Role
72994367 46.35.119.14/500 46.35.117.160/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/2332 sec
Child sa: local selector 192.168.88.0/0 - 192.168.88.255/65535
remote selector 192.100.9.0/0 - 192.100.9.255/65535
ESP spi in/out: 0x5957ebb9/0x5e756ba
>

access-list |s2sAcl|c7d837fe-d3c4-11ed-8cf1-33e6e8dfe46e extended permit ip 192.168.88.0 255.255.255.0 192.100.9.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.88.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.100.9.0/255.255.255.0/0/0)
current_peer: 46.35.117.160

#pkts encaps: 165, #pkts encrypt: 165, #pkts digest: 165
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 165, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 46.35.119.14/500, remote crypto endpt.: 46.35.117.160/500
path mtu 1500, ipsec overhead 94(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 05E756BA
current inbound spi : 5957EBB9

lanzo un ping desde un hos que encuentra en FTD1 y no llego de lo contrario también me pasa lo mismo

C:\Users\usuario>ping 192.100.9.95

Haciendo ping a 192.100.9.95 con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.

alguien me puede ayudar , o le ha pasado alguna vez . gracias un saludo

Flavio Miranda · ‎04-20-2023

Hello,

Sorry reply in English.

Does your Firewall have route to the other side.

FTD1 knows 192.100.9.0 and 192.100.9. knows 192.168.88.0 ?

How both Firewalls routing table looks like?

oelagy · ‎04-20-2023

Hola,

en FTD1 tengo los siguientes datos, no tengo ninguna ruta agregada en mi FW ya con la VPN levantada conoce al otro extremo

la tabla de rutas

> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 46.35.116.1 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 46.35.116.1, outside
C 46.35.116.0 255.255.252.0 is directly connected, outside
L 46.35.119.14 255.255.255.255 is directly connected, outside
C 172.30.32.0 255.255.255.0 is directly connected, inside
L 172.30.32.1 255.255.255.255 is directly connected, inside
C 192.168.88.0 255.255.255.0 is directly connected, inside_2
L 192.168.88.1 255.255.255.255 is directly connected, inside_2

> show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Ethernet1/1 46.35.119.14 YES DHCP up up
Ethernet1/2 192.168.88.1 YES CONFIG up up
Ethernet1/3 172.30.32.1 YES unset down down
Ethernet1/4 172.30.32.1 YES unset admin down down
Ethernet1/5 172.30.32.1 YES unset admin down down

Flavio Miranda · ‎04-20-2023

This access list should be enough as long as you have it both sides.

access-list |s2sAcl|c7d837fe-d3c4-11ed-8cf1-33e6e8dfe46e extended permit ip 192.168.88.0 255.255.255.0 192.100.9.0 255.255.255.0

Julio E. Moisa · ‎04-21-2023

Hola,

Imaginemos que ya tienes configurado el tunel S2S correctamente, entonces omitimos esa parte y solo queda revisar lo siguiente:

- Comunicacion entre las direccion IP de los equipos que formaran la VPN. Utiliza ping.

- Haber creado las ACL correctas para permitir el trafico entre redes especificas, cabe mencionar que esto se incluye en la fase 2.
En esta ACL tu especifica origen y destino de redes que se comunicaran a traves de la VPN, aqui utiliza protocolo IP, no indiques TCP o UDP.

- Por lo general en equipos firewall Cisco pueda requerirse NAT estatico para evitar que el trafico de los hosts o redes permitidas dentro de la fase 2 busque irse a traves de la ruta por defecto.

- Una vez realizado esto, genera trafico interesante entre las redes permitidas a traves de un ping.

Te comparto un video, no tengo con FTD pero puede ser de ayuda: https://www.youtube.com/watch?v=woR6I3rmBFI&list=PL6oVzc9evDvBBxh-ElfgJ_VokcSIRXEl5&index=2

FTD: https://www.youtube.com/watch?v=PzMfC-zzPLc

Saludos.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<