em 06-22-2021 05:30 AM
Boa Tarde Pessoal,
Preciso muito da vossa ajuda.
Tenho uma ligação com um provedor VPN Site-To-Site para o serviço de SMS. O Túnel só sobe quando é o lado dele a gerar tráfego. Ou seja quando ele faz um ping para o meu servidor. Quando faço o ping para o servidor dele o trafego não sobe. Já pensei no caso dele ser o INICIATOR e eu o RESPONDER. Tem como alterar isso com base em configurações.
Abraços
em 06-22-2021 07:33 AM
Fala botelhorocha
Qual é o Firewall que voce está utilizando do lado remoto? O ping que está tentando realizar ele está sendo "roteado" para dentro do tunnel?
Esse tipo de problema geralmente ocorre por algum mismach de Configuração nos Peers/Lados envolvidos na vPN, é importatissimo que as configurações e Timers do Tunnel seja bem definido entre ambos os lados tais como lifetime ou Rekey Time keepalive threshold e DPD, MainMode/Agressive Mode.
Assim voce consegue aplicar alguns WorkAround para minimizar seu impacto, tais como, Persistent IPSec Tunneled Flows, DTP,etc.
é importatissimo voce saber a causa que o tunnel vpn caiu (do ponto de vista do seu Firewall) e analizar e cojunto com o "outro lado" e chegarem em uma solução
Para esse tipo de troubleshooting os mais relevantes comandos a serem coletados são:
show crypto isakmp sa
show crypto ipsec sa
debug crypto isakmp
debug crypto ipsec
em 06-24-2021 01:47 AM
Fala Bruno,
Obrigado pela resposta parceiro. Do lado do Provedor tem um ASA e do meu lado um Router 2811.
O Túnel só sobe quando é ele a iniciar o tráfego. set security-association lifetime seconds 86400
, pfs 2, group2, crypto isakmp keepalive 3600.
Alguma ideia??
em 06-24-2021 09:58 AM - última edição em 03-09-2022 11:08 PM por smallbusiness
BotelhoRocha
Importante a se verificar é como voce está tentando "Subir o tunel", note que em alguns casos vc e ou Firewall não permite trafico ICMP/Ping, tente usar o Packet Tracer command por exemplo:
packet-tracer input inside tcp 10.2.1.1 1024 192.168.2.1 http
Verifique a Rota entre os 2 lados e se há algum dispositivo intermediário que haja falta de rota ou nat.
Certifique-se de que ambos os lados tenham o mesmo intervalo de rede / endereço de host para definir o tráfego interessante
PS:
Notei que vc tem o PFS group 2 habilitado isso é algo que voce precisa confirmar se o ASA tem isso habilitado tambem, pois é um parametro opcional, mas se você ativá-lo em um lado, ele deverá ser ativado no outro lado também, e vice-versa, caso tenha Grupos diferentes isso pode impedir do tunel iniciar.
PFS garante que as "cryptographic keys" não sejam renegociadas na Phase 2, caso seja um requisito do Service Provider, o recomendado é usar um grupo mais seguro como o grupo 5.
Reforço que os parametros do tunnel devem ser revistos em ambos os lados Router 28XX e ASA.
se possivel compartilhe a configuração do seu tunnel
show run crypto (lembre-se de mascarar senhas e enderço IP
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: