el 10-28-2018 08:00 PM
Buenas Noches / días.
El motivo de mi tema, es leer opiniones de lo que pienso y obtener sugerencias.
Actualmente tengo configurada una VPN Site to Site con un cliente, de los 7 Crypto_map que se tienen configurados unicamente uno i cliente reporta intermitencia.
Existen dos permisos configurados por ftp; sin embargo uno de esos dos permisos mi cliente reporta "Intermitencias", el pasado Viernes realizamos Pruebas en conjunto y lo que detecte fue lo siguiente:
Del SA que si funciona, mi cliente tira la peticion por ftp y responde inmediatamente (lo observe por una captura)
Del SA que reportan fallas , primeramente tiro la prueba de ftp y marca timeout desde su cmd por lo cual es necesario (despues del timeout), tirar un ping y con ello ya permite la prueba por puerto 21 ; pero no es inmediato
Mi pensamiento me lleva a deducir que el SA reportado no permaneces estable ( aun con la vpn arriba), por lo cual deberia revisar los dominios de encripcion con el otro lado.
alguna sugerencia?
gracias por el apoyo.
10-29-2018 04:44 AM - editado 10-29-2018 05:01 AM
Hola
Has revisado que la fase 1 y 2 sean idénticas en ambos extremos y talvez revisar los tiempos (lifetime).
Saludos
el 10-29-2018 10:38 PM
el 10-29-2018 12:53 PM
Buenas tardes estimado,
¿Esta VPN la tienes en qué dispositivo? ¿un ASA? ¿has intentado monitorear el primer intento de la sesión FTP y ver que Logs te arroja el ASDM (asumiendo que es un ASA)? Si es posible para ti hacer esto sería muy bueno para que nos muestres los errores y poder analizarlos.
----No olvides calificar las respuestas útiles.----
Saludos cordiales,
el 10-29-2018 10:44 PM
Agradezco totalmente las respuestas, les comento que revise con el usuario el dominio de encricpion y se encuentra puntual en ambos lados, sin embargo se realizaron capturas en ambos lados y lo que notamos fue que del lado del cliente, de pronto en una captura no se ven los paquetes por puerto 21 desde su server hacia su ASA.
entonces quedo de revisar su comunicación, ruteo y demás.
Saludos.
el 10-30-2018 04:38 AM
Muchas gracias por la información, dejanos por favor conocer los resultados despues de la revision del cliente.
saludos
el 10-31-2018 09:37 AM
Hola Makavelo07,
Usualmente es recomendado que configures la ACL del crypto map por IP, y si que en un VPN filter crees el filtro para solo permitir FTP, te recomiendo configurar bajo el "group policy": vpn-idle-timeout none, para que no haya timeout relacionado a inactividad en el túnel, de igual manera que revises sí el NAT en el ASA esté haciendo proxy-arp y lo deshabilites, muchas veces el proxy-arp causa problemas como este con subredes que no están conectadas directamente, si nos compartes la configuración sería de gran utilidad.
Por favor califica todas las respuestas que han sido útiles.
Saludos,
David Castro,
el 11-28-2018 12:17 PM
el 11-28-2018 12:18 PM
Señores de ante mano muchas gracias por su respuestas, todas de utilidad .
El problema se solvento; siendo una falla en sus equipos servers los que ocasionaban la intermitencia en este flujo de la VPN.
Muchas Gracias.
el 11-28-2018 12:20 PM
Hola Makavelo07,
Claro sí funciona, y su función es que aunque no haya tráfico activamente en el túnel, este no se va a venir abajo por inactividad.
Saludos,
Por favor califica todas las respuestas que son de ayuda,
David Castro,
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad