Назад | Перейти на главную страницу

ASA 5510 Site to Site VPN работает в одном направлении

Я установил VPN-соединение между двумя Cisco ASA 5510. Один сайт (назовем его A) может видеть частную сеть другого сайта (сайт B), но сайт B не может видеть частную сеть сайта A.

Списки доступа и маршруты обоих ASA одинаковы.

На ASA A, введя команду: показать запустить криптокарту, Я получаю следующий результат:

crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B 
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 set ikev2 pre-shared-key ********
crypto map outside_map 1 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside

и, введя ту же команду на ASA B, я получаю:

crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer IP_of_Outside_Interface_of_A 
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map Outside_map 1 set ikev2 pre-shared-key ********
crypto map Outside_map 1 set reverse-route
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside

Также путем выдачи показать крипто isakmp на ASA A я получаю:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote                Status        Role
74335965       public_IP_of_ASA_A/500     public_IP_of_ASA_B/500      READY    RESPONDER
  Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK 
  Life/Active Time: 86400/9974 sec
Child sa: local selector  172.16.0.0/0 - 172.16.255.255/65535
      remote selector 10.0.20.0/0 - 10.0.20.255/65535
      ESP spi in/out: 0xab18ad65/0x4ff34128  

и на ASA B:

There are no IKEv1 SAs

IKEv2 SAs:

Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1

Tunnel-id                 Local                Remote                 Status         Role
 83370867     public_IP_of_ASA_B/500       public_IP_of_ASA_A/500      READY    INITIATOR
  Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK 
  Life/Active Time: 86400/9499 sec
Child sa: local selector  10.0.20.0/0 - 10.0.20.255/65535
      remote selector 172.16.0.0/0 - 172.16.255.255/65535
      ESP spi in/out: 0x4ff34128/0xab18ad65  

Согласно приведенной выше информации, я могу получить доступ из частной сети (172.16.0.0/24) ASA A (ответчик роли) к частной сети (10.0.20.0/24) ASA B (инициатор роли), но не наоборот.

разрешение на подключение sysopt-vpn также включен на обоих ASA.

Есть идеи, как это может случиться?

иногда простые причины блокируют вам глаза, как в этом случае, когда я искал криптокарту, крипто isakmp, списки доступа и т. д., и причина заключалась в том, что сервер ESXi, к которому я пытался получить доступ с другого сайта, не иметь правильный шлюз !!! На самом деле все хосты на этом сервере ESXi имели правильный шлюз, но сам гипервизор не работал ... Я исправил его, и он работал как шарм ...

спасибо за все ваши комментарии и мысли.