Mi sembra di aver capito che il tuo client sta sull'inside di un ASA e che cerchi di passare da questo ASA per collegarti ad un PIX in VPN ... se si allora leggi il resto ... altrimenti ignoralo :D
> La connessione avviene (in soldoni, il lucchetto si chiude) Questo succede perchè la negoziazione viene fatta durante le due fasi IKE che come ben noto viaggiano su UDP/500 > L'errore che compare nell'asa e': > regular translation creation failed for protocol 50 src > inside:192.168.2.34 dst outside:88.42.x.x > Mi sembra evidente da questo log che il tuo client sta cercando di comunicare con il PIX senza il NAT traversal ossia senza l'encapsulazione in UDP/4500 (protocol 50 è appunto ESP). Il NAT traversal è abilitato di default sui dispositivi cisco perchè nella quasi totalità dei casi i client stanno dietro nat in una rete privata. (appunto il nat che fa l'ASA di cui parli) Sembra però che in questo caso il nat traversal sia disabilitato o che la negoziazione fallisca durante lo scambio IKE, non so se si può disabilitare sul client VPN, molto probabilmente lo si può disabilatare sul pix. Ti consiglio di verificare se è disabilitato in uno dei due casi e inoltre di vedere nei log del pix (usa il comando debug crypto isakmp) perchè il nat detection fallisce. Spero di esserti stato utile ciao Gori _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
