Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1897
Visitas
0
ÚTIL
1
Respuestas

Conexión VPN site-to-site IPSec entre un CISCO 1921 y un firewall Endian

soportearq
Level 1
Level 1

‎01-29-2013 09:27 AM - editado ‎03-21-2019 04:16 PM

Hola, tengo problemas para realizar una conexión VPN site-to-site IPSec entre un CISCO 1921 y un firewall Endian. Hay que tener en cuenta que ya tengo realizada una conexión VPN site-to-site con el CISCO 1921 y un WatchWard Fireware XTM.

Os hago un resumen de la estructura que quiero realizar:

SITIO A:

CISCO 1921

WAN IP PUBLICA 212.X.X.X

LAN 10.10.0.0

SITIO B:

WatchWard Fireware XTM

WAN IP PUBLICA 147.X.X.X

LAN 10.10.10.0

SITIO C:

ENDIAN 2.5.1

WAN IP PUBLICA 163.X.X.X

LAN 10.10.20.0

Uso Cisco Configuration Professional para realizar la conexión VPN.

La VPN entre el SITIO-A y el SITIO-B está establecida correctamente y funcionando sin problema

Para la VPN entre el SITIO-A y el SITIO-C creo una nueva Crypto Map sobre la misma Interface GigabitEthernet0/0 añadiendo el nuevo Peers, transform set e ipsec rule.

Todo va correcto hasta que hago el "Test Tunnel" de la configuración que acabo de realizar. Pasa de forma correcta el Interface Status y la configuracion, pero cuando chequea el Routing Falla, devuelve el siguiente error:

Checking Routing... Failed
        Peer :163.x.x.x:Valid(Routed through the crypto interface)
        Traffic source :10.10.20.0:Invalid(Routed through the crypto interface)
        Traffic destination :10.10.0.0:Invalid(Not routed through the crypto interface)

Troubleshooting Results

Failure Reason(s)Recommended Action(s)
The following source(s) are routed through the crypto map interface.      1) 10.10.20.0 Go to 'Configure->Routing' and correct the routing table.
The tunnel traffic destination must be routed through the crypto map  interface. The following destination(s) are routed through non-crypto  map interface.      1) 10.10.0.0 Go to 'Configure->Routing' and Correct the routing table.

Ambas conexiones utilizan la misma Pre-Shared-Key.

Anexo el Running Config.

En el lado del ENDIAN tan solo creo una VPN site-site IPSec con Pre-Shared-Key, de forma estandard

¿Teneis alguna solución?

¿Por que puede estar dando este error en el Test?

¿No es posible realizar una conexion site-to-site entre 3 sitios utilizando la misma interface?

El tunnel nunca se pone en modo UP, siempre se queda en Down y no se establece la conexión.

Gracias por vuestra ayuda!

Saludos.

Etiquetas:
142275-Running Configuration.txt.zip
0 Útil
1 RESPUESTA 1

Ricardo Prado Rueda
Cisco Employee
Cisco Employee

el ‎01-29-2013 12:42 PM

Hola:

   Los errores que te está mandando la herramienta te indican que las redes que usas como origen y destino están incorrectas. Después de revisar la configuración se puede observar que la siguiente lista de acceso es la que utilizas para definir el tráfico del túnel:

ip access-list extended crypto-list-lab01-arqing

remark SITE-C

remark CCP_ACL Category=4

permit ip 10.10.20.0 0.0.0.255 10.10.0.0 0.0.0.255

   Desde el punto de vista del router 1921, el tráfico de origen debería ser al red 10.10.0.0/24 y la red destino debería ser la red 10.10.20.0/24. En esta configuración se puede observar que las redes están al revés. Necesitas cambiar el origen y destino del tráfico del túnel para que el Test sea exitoso, algo más a o menos así:

ip access-list extended crypto-list-lab01-arqing

   permit ip 10.10.0.0 0.0.0.255 10.10.20.0 0.0.0.255

   La configuración del otro túnel también parece estar incorrecta, así que deberías revisarla también.

   Saludos,

Rick.

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Calendario de Eventos Contenido Empresas Pequeñas Ayuda de la Comunidad
Customers Also Viewed These Support Documents