Ciao , ho un problema con una vpn tra un asa e un cisco 877. L'asa ha un indirizzo pubblico, mentre il cisco 877 è in rete fastweb.
Il cisco 877 ha la seguente configurazione : crypto isakmp policy 9 encr aes 256 authentication pre-share group 5 crypto isakmp key xxx address IP_remote_ASA no-xauth crypto isakmp keepalive 10 ! ! crypto ipsec transform-set asa esp-aes 256 esp-sha-hmac ! crypto map asa 1 ipsec-isakmp set peer IP_remote_ASA set transform-set asa set pfs group2 match address 107 interface Vlan1 description $WAN$ ip address ip_valan1 255.255.255.0 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1320 crypto map asa ! access-list 107 permit ip host ip_vlan1 192.168.0.0 0.0.0.255 access-list 107 permit ip host ip_vlan1 10.10.10.0 0.0.0.7 Sull ' ASA : crypto map outside_map 3 match address outside_cryptomap_3 crypto map outside_map 3 set pfs crypto map outside_map 3 set peer ip_vlan1 crypto map outside_map 3 set transform-set ESP-AES-256-SHA crypto isakmp policy 9 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 tunnel-group ip_vlan1 type ipsec-l2l tunnel-group ip_vlan1 general-attributes default-group-policy pippo tunnel-group ip_vlan1 ipsec-attributes pre-shared-key * L'unica cosa che non comprendo è come mai oltre alla vlan1 della sede , sull'asa è visibile dai log un altro indirizzo che è quello dato dal provider . La presenza di questo secondo indirizzo rende impossibile la negoziazione della fase 1 per la richiesta di creazione VPN : %ASA-5-713041: IP = ip_vlan1, IKE Initiator: New Phase 1, Intf inside, IKE P68.5.0, Crypto map (outside_map) %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_provider, Invalid packet detected! %ASA-3-713902: IP = ip_vlan1, Removing peer from peer table failed, no match %ASA-4-713903: IP = ip_vlan1, Error: Unable to remove PeerTblEntry E con maggior dettaglio di debugging sull' ASA si riscontra : Jun 20 07:33:46 [IKEv1 DEBUG]: Pitcher: received a key acquire message, spi 0x0 Jun 20 07:33:46 [IKEv1]: IP = ip_vlan1, Queuing KEY-ACQUIRE messages to be processed when P1 SA is complete. Jun 20 07:33:48 [IKEv1 DEBUG]: IP = ip_vlan1, IKE MM Initiator FSM error history (struct &0xd5e57728) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG2, EV_RETRY-->MM_WAIT_MSG2, EV_TIMEOUT-->MM_WAIT_MSG2, NullEvent-->MM_SND_MSG1, EV_SND_MSG-->MM_SND_MSG1, EV_START_TMR-->MM_SND_MSG1, EV_RESEND_MSG-->MM_WAIT_MSG2, EV_RETRY Lato magazzino è impossibile cryptare i pacchetti provenienti dal firewall : 000216: Jun 19 12:38:23.450 CET: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from ip_remote_asa was not encrypted and it should've been Sulla sede cisco877# show crypto isakmp sa IPv4 Crypto ISAKMP SA1 dst src state conn-id slot status ip_vlan1 ip_remote_asa MM_SA_SETUP 0 0 ACTIVE ip_vlan1 ip_remote_asa MM_NO_STATE 0 0 ACTIVE (deleted) ip_vlan1 ip_remote_asa MM_NO_STATE 0 0 ACTIVE (deleted) Grazie in anticipo . _______________________________________________ http://cug.areanetworking.it Cug@ml.areanetworking.it http://ml.areanetworking.it/mailman/listinfo/cug
