Назад | Перейти на главную страницу

Не удается проверить связь с шлюзом после установки VPN

У меня два сервера:

  1. Checkpoint Safe @ Office 500 с ip x.x.x.x и локальной сетью a.a.a.a / 24
  2. Cisco ASA5505 с ip y.y.y.y и локальной сетью b.b.b.b / 28

Перед настройкой vpn я мог пинговать y.y.y.y с любого компьютера на a.a.a.a / 24.

Моя проблема в том, что после настройки vpn между двумя рассматриваемыми серверами я больше не могу пинговать y.y.y.y с a.a.a.a / 24. Кто-нибудь знает, почему это может быть?

Я предполагаю, что пинг на y.y.y.y без нужды направляется через туннель vpn, но я не уверен, как этого избежать. Кроме того, если он проходит через vpn, то почему vpn не позволяет это .. ключ к этому может быть в журналах asa5505, в которых говорится:

Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside

И снова моя проблема в том, что я не могу интерпретировать эту ошибку.

В случае с vpn-клиентом, vpn-клиент по умолчанию получает указание отправлять весь трафик через VPN, то есть все, что в сети не подключено напрямую. Ваша таблица маршрутизации игнорируется. Вам нужно будет включить разделенное туннелирование на ASA, если вы не хотите, чтобы весь трафик передавался по VPN-туннелю, когда вы подключены.

Разделенное туннелирование Cisco Howto

Если это lan для lan vpn с топологией примерно так:

                       <------VPN------> 
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
               x.x.x.x                y.y.y.y

Вы не можете проверить связь с ASA, когда VPN работает, потому что межсетевые экраны Check Point включают себя в локальный домен шифрования, а ASA - нет.

Самым простым решением было бы добавить внешний адрес ASA к его локальному домену шифрования, поэтому криптографический acl на ASA должен быть чем-то вроде:

access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0