Új hozzászólás Aktív témák

• #4709 tusi_ addikt

  Új Válasz 2013-10-15 12:21:38 #4709

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  tusi_

  addikt

  Pedig a Juniper, Checkpoint menőbb itt, mint otthon. Tegnap beszélgettem egy guruval, aki fikázta nagyon az ASA-t.

  Következő volt a VPN-es.

  R1-R2-R3 összekötve R4 en keresztül , ami egy internetes routert emulál. Azon csak az intefészek vannak belőve, semmi más.

  R1 kapcsolódik R2höz egy CMAP1 nenű crypto mappal és egy CMAP 2 nevűvel R3 hoz. A peer address természetesen R2 és R3 cime a CMAP1/2 ben más a transform set és a isakmp key is, de a match address nél egy darab aclt csináltam.

  access- list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (R2 hálózata)
  access- list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 (R3é)

  Tehát mind2 CMAPban ugyanaz a 100-as ACL volt benne.

  Az érdekes az, hogy az SA felépült mind2 irányba. Sh cry session, sh cry isakmp sa azt mutatta, hogy QM_IDLE és Activ. Viszont a pingek R1-R3 között nem mentek, a sh cry ipsec sa nem mutatott en/decrypted csomagokat.
  A sh access-l nél meg azt muatatta, hogy van matchelés a forgalmora, folyamatosan nőtt 5-el, amikor pingeltem.
  Aztán kitöröltem a 100 acl ből a második sort és csináltam egy 101-st és azt tettem bele a CMAP2 be, ami R3 felé megy és ment a ping és az ipsec sa is számolta a csomagokat.

  Lehet, csak GNS3 hiba? EZVPN-nél hiába kapcsolódok be a zentral officeba, nem megy sem a ping, se a csomagok tikositása. Ugyanezt a konfigot felhúzva az igazi routerre, minden tökéletes, virtualboxos Win 2008- serverhez tudtam kapcsolódni.

Új hozzászólás Aktív témák