BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Tunel IPSEC Site-To-Site entre Cisco 1800 y ASA 5200

BocaDePez
BocaDePez

Buenas a todos,

Os comento mi problema, tengo un tunel ipsec a través de internet montado entre un router cisco 1800 y un ASA 5200.

En la interface del ASA puedo ver que el tunel está establecido. y en el router también veo que el tunel está activo (sh crypto session). Hasta aquí todo perfecto, el problema es el siguiente:

Desde el lado del ASA lanzo un ping a la ip interna del router, veo como el paquete ICMP sale del asa, pasa por el tunel, llega hasta el router y.... DESAPARECE :) jejeje,,, me explico, en el router veo el ping lanzado desde desde el ASA, veo que viene por el tunel pero cuando llega y el router tiene que contestar al ASA el echo de respuesta no se enruta por el tunel ?¿?¿?¿? es la primera vez que me encuentro con esto y no encuentro el motivo... algún alma caritativa que me pueda echar una mano?

Os paso parte de la configuración del router por si os hace falta:

Explicación: Interface Publica FastEthernet0 - interface Privada FastEthernet1

El tunel debe poder comunicar las redes 192.168.1.0/24 (router) con la red 192.168.0.0/24 (ASA)

......

crypto isakmp policy 2
authentication pre-share
crypto isakmp key pimpamtomalacasitos address 194.XXX.XXX.XXX

......

crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to pimpam
set peer 194.XXX.XXX.XXX
set transform-set ASA-IPSEC
match address 183

......

interface FastEthernet0
ip address 196.XXX.XXX.XXX 255.255.255.248
ip nat outside
ip virtual-reassembly
speed auto
half-duplex
crypto map SDM_CMAP_1

.......

interface FastEthernet1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
half-duplex
!

ip route 0.0.0.0 0.0.0.0 196.XXX.XXX.XXX

ip route 192.168.0.0 255.255.255.0 FastEthernet0

ip nat inside source route-map nonat interface FastEthernet0 overload

....

access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any

access-list 183 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

........

route-map nonat permit 10
match ip address 110

¿alguna idea?????

BocaDePez
BocaDePez

Mas pistas:

Si el tunel está caido, y desde el asa hago un ping, el tunel se levanta.

si el tunel está caido, y desde el router hago un ping hacia el asa, pasa de mi... el tunel sigue abajo.

🗨️ 2
JoeDalton

Revisa el acl del router, debes de permitir el tráfico que venga del ASA, y tienes que permitir que el tráfico de la red 192.168.0.x pueda llegar a la 192.168.1.x

🗨️ 1
BocaDePez
BocaDePez

HECHO!!!

Lancé un ping (-t) desde el asa al router y en el router mire los paquetes ICMP (ip nat translation icmp) la cosa es que veía como me entraba el paquete pero cuando llegaba el router intentaba hacer nat para responder, de forma que, lo que realmente veía era el "intento de respuesta" y no el echo entrante.. :) , ya que el tunel ipsec cifra hasta la cabecera y no puedo ver el tipo de tráfico, ip's, etc... desde el router...

el problema se ha resuelto revisando las ACL tal y como comentabas!

muchas gracias!