Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
1567
Apresentações
10
Útil
3
Respostas

VPN-IPSEC

botelhorocha
Level 1
Level 1

em ‎06-22-2021 05:30 AM

Boa Tarde Pessoal,

 

Preciso muito da vossa ajuda. 

Tenho uma ligação com um provedor VPN Site-To-Site para o serviço de SMS. O Túnel só sobe quando é o lado dele a gerar tráfego. Ou seja quando ele faz um ping para o meu servidor. Quando faço o ping para o servidor dele o trafego não sobe. Já pensei no caso dele ser o INICIATOR e eu o RESPONDER. Tem como alterar isso com base em configurações.

 

Abraços

Rótulos:
0 Útil
3 RESPOSTAS 3

Bruno Rangel
Spotlight
Spotlight

em ‎06-22-2021 07:33 AM

Fala botelhorocha

Qual é o Firewall que voce está utilizando do lado remoto? O ping que está tentando realizar ele está sendo "roteado" para dentro do tunnel?
Esse tipo de problema geralmente ocorre por algum mismach de Configuração nos Peers/Lados envolvidos na vPN, é importatissimo que as configurações e Timers do Tunnel seja bem definido entre ambos os lados tais como lifetime ou Rekey Time keepalive threshold e DPD, MainMode/Agressive Mode.
Assim voce consegue aplicar alguns WorkAround para minimizar seu impacto, tais como, Persistent IPSec Tunneled Flows, DTP,etc.

é importatissimo voce saber a causa que o tunnel vpn caiu (do ponto de vista do seu Firewall) e analizar e cojunto com o "outro lado" e chegarem em uma solução
Para esse tipo de troubleshooting os mais relevantes comandos a serem coletados são:
show crypto isakmp sa
show crypto ipsec sa
debug crypto isakmp
debug crypto ipsec

Cheers
Bruno Rangel
Please remember to rate helpful responses using the star bellow and identify helpful or correct answers

botelhorocha
Level 1
Level 1

em ‎06-24-2021 01:47 AM

Fala Bruno,

Obrigado pela resposta parceiro. Do lado do Provedor tem um ASA e do meu lado um Router 2811.

O Túnel só sobe quando é ele a iniciar o tráfego. set security-association lifetime seconds 86400
, pfs 2, group2, crypto isakmp keepalive 3600.

 

Alguma ideia??

0 Útil

Bruno Rangel
Spotlight
Spotlight

em ‎06-24-2021 09:58 AM - última edição em ‎03-09-2022 11:08 PM por Community Manager

BotelhoRocha

Importante a se verificar é como voce está tentando "Subir o tunel", note que em alguns casos vc e ou Firewall não permite trafico ICMP/Ping, tente usar o Packet Tracer command por exemplo:
packet-tracer input inside tcp 10.2.1.1 1024 192.168.2.1 http
Verifique a Rota entre os 2 lados e se há algum dispositivo intermediário que haja falta de rota ou nat.
Certifique-se de que ambos os lados tenham o mesmo intervalo de rede / endereço de host para definir o tráfego interessante

PS:
Notei que vc tem o PFS group 2 habilitado isso é algo que voce precisa confirmar se o ASA tem isso habilitado tambem, pois é um parametro opcional, mas se você ativá-lo em um lado, ele deverá ser ativado no outro lado também, e vice-versa, caso tenha Grupos diferentes isso pode impedir do tunel iniciar.
PFS garante que as "cryptographic keys" não sejam renegociadas na Phase 2, caso seja um requisito do Service Provider, o recomendado é usar um grupo mais seguro como o grupo 5.

Reforço que os parametros do tunnel devem ser revistos em ambos os lados Router 28XX e ASA.
se possivel compartilhe a configuração do seu tunnel
show run crypto (lembre-se de mascarar senhas e enderço IP

Cheers
Bruno Rangel
Please remember to rate helpful responses using the star bellow and identify helpful or correct answers
0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Documentos de Ajuda sobre a Comunidade Podcast Comunidades do Brasil Vídeo dos últimos eventos
Customers Also Viewed These Support Documents