Buenas a todos,
Os comento mi problema, tengo un tunel ipsec a través de internet montado entre un router cisco 1800 y un ASA 5200.
En la interface del ASA puedo ver que el tunel está establecido. y en el router también veo que el tunel está activo (sh crypto session). Hasta aquí todo perfecto, el problema es el siguiente:
Desde el lado del ASA lanzo un ping a la ip interna del router, veo como el paquete ICMP sale del asa, pasa por el tunel, llega hasta el router y.... DESAPARECE :) jejeje,,, me explico, en el router veo el ping lanzado desde desde el ASA, veo que viene por el tunel pero cuando llega y el router tiene que contestar al ASA el echo de respuesta no se enruta por el tunel ?¿?¿?¿? es la primera vez que me encuentro con esto y no encuentro el motivo... algún alma caritativa que me pueda echar una mano?
Os paso parte de la configuración del router por si os hace falta:
Explicación: Interface Publica FastEthernet0 - interface Privada FastEthernet1
El tunel debe poder comunicar las redes 192.168.1.0/24 (router) con la red 192.168.0.0/24 (ASA)
......
crypto isakmp policy 2
authentication pre-share
crypto isakmp key pimpamtomalacasitos address 194.XXX.XXX.XXX
......
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to pimpam
set peer 194.XXX.XXX.XXX
set transform-set ASA-IPSEC
match address 183
......
interface FastEthernet0
ip address 196.XXX.XXX.XXX 255.255.255.248
ip nat outside
ip virtual-reassembly
speed auto
half-duplex
crypto map SDM_CMAP_1
.......
interface FastEthernet1
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
half-duplex
!
ip route 0.0.0.0 0.0.0.0 196.XXX.XXX.XXX
ip route 192.168.0.0 255.255.255.0 FastEthernet0
ip nat inside source route-map nonat interface FastEthernet0 overload
....
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 183 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
........
route-map nonat permit 10
match ip address 110
¿alguna idea?????