Hola @dinnerrodriguez, 

Pues sería lo mejor para que realices tus pruebas lo más cercano a la realidad posible pero de igual manera ten en cuenta las versiones de los ASAs ya que están bastante viejas y la sintaxis de los comandos cambia una vez lo vayas a realizar en una versión actualizada. 

Mi recomendación sería actualizar los ASAs a la versión de producción para que puedas realizar las pruebas con la version actual, añadir el NAT que dependiendo del formato cambia, por ejemplo: 

Versión < 8.3

nat 0 (outside) access-list NAT

Versión > 8.3

nat (outside,outside) source static Red-AC Red-AC destination static Red-Davi Red-Davi route-lookup no-proxy-arp

Eso es para mostrar un ejemplo de que tanto cambian los NATs en las diferentes versiones. 

Saludos, 

Gio

Hola GioGonza,

claro cuando ya todo trabaje vete la actualización de las versiones.

Te comento que ya aplique el comando: same-security-traffic permit intra-interface , en ambos ASAs sin embargo continuo si poder hacer ping de lado a lado , no se que mas me puede estar faltando, en uno de los ASAs cuando hago ping me da este mensaje teniendo un debut activo:

ASA-DAVIVI(config)# Jan 23 23:03:42 [IKEv1]: Group = 196.40.x.x, IP = 196.40.x.x, QM FSM error (P2 struct &0xd7d186c0, mess id 0x7f7b1c55)!
Jan 23 23:03:42 [IKEv1]: Group = 196.40.x.x, IP = 196.40.x.x, Removing peer from correlator table failed, no match!
Jan 23 23:03:42 [IKEv1]: Group = 196.40.x.x, IP = 196.40.x.x, Session is being torn down. Reason: Phase 2 Mismatch

Hola GioGonza,

ahora si ya esta funcionando bien y puedo hacer ping de lado a lado, de verdad muchas gracias por tu ayuda, tengo que analizar un poco mas que se hizo con esos cambios que me pediste hacer pero te puedo decir que ya esta funcionando, ahora quiero probar pero haciendo un NAT en ambos lados para no usar rutas estáticas , creo que por las versiones serian algo asi:

Del lado de ASA-DATA:

nat (outside) 0 access-list Davivienda-STS

Del lado del ASA-DAVI:

nat (outside) 0 access-list Davivienda-STS

quedan igual ya que tengo el mismo nombre de ambos lados.

no se que te parece.

voy a probarlo y te comento. Gracias de nuevo.

Hola @dinnerrodriguez, 

Lo que pasó con los comandos anteriores es que sólo puedes tener un crypto map por interfaz entonces sólo tenías disponible el dinámico más no tenías activo el Site to Site, si te das cuentas sólo cambie el nombre para el otro, colocar el número de secuencia lo más alto posible (mejores prácticas) y ya con eso debería servir. 

Realiza las pruebas pertinentes y me comentas, también te recuerdo de marcar el post como solucionado y calificarme 🙂

Gio

Hola @dinnerrodriguez, 

Si al parecer el NAT está mal hecho ya que lo que está sucediendo en estos momentos es que el ASA está traduciendo el tráfico a la IP de la interfaz y eso no está en la ACL que tienes en el crypto map por esa razón no funciona. 

El NAT que necesitas es diferente y lo mejor es que no utilices la misma ACL para el NAT, deberías crear una nueva ya que si haces un cambio pensando en el "NAT" también lo vas a realizar en el crypto map 🙂

El NAT debería ser algo como esto: 

nat (outside) 0 access-list DaviNAT-Exemption

Saludos,

Gio

Hola de nuevo GioGonza,

he aplicado los NATs pero me siguen sin funcionar, los he aplicado de esta forma y quería ver si me puedes decir en que estoy fallando, gracias de antemano:

ASADavi:

access-list DaviNAT-Exemption extended permit ip 166.148.62.0 255.255.255.0 any
access-list DaviNAT-Exemption extended permit ip 166.148.12.0 255.255.255.0 any

nat (outside) 0 access-list DaviNAT-Exemption

ASAData:

access-list DataNAT-Exemption extended permit ip 179.168.231.0 255.255.255.0 any

nat (outside) 0 access-list DataNAT-Exemption

le doy un show xlate sin embargo no veo traslaciones, de nuevo no se que estoy haciendo mal, si estoy apuntando mal hacia donde debe ir el trafico.

Saludos

¿Podrías agregar las configuraciones nuevamente para revisar como está con los cambios?

Gio

Claro gracias, 

aqui las adjunto.

Saludos de nuevo

DRM

Ya he hecho el NAT en varias formas considerando el flujo del trafico pero no se porque no funciona.