vpn con cisco asa 5505

santi-ti 7 mayo 2008 17:49

⋮

Hola a tod@s

Tengo dos cisco asa 5505, conectados en dos sitios diferentes. He configurado la vpn entre los dos pero sólo puedo hacer ping entre los dos sitios no puedo, por ejemplo conectarme en remoto, abrir las carpetas compartidas de los dos sitios, en fin, me podéis ayudar en decirme que tipo de protocolos me hacen falta???

Por cierto entre las interfaces no puedo hacer ping, tengo dos una es inside y la otra es outside, tengo habilitado en NAT y icmp permit any any inside y outside...

Gracias por la ayuda pero estoy un poco desesperado con este tema....

BocaDePez 7 mayo 2008 18:23

⋮

A ver si te vale esto o esto otro...

Saludos ;-)

✖

santi-ti 8 mayo 2008 09:30

⋮

Muchas gracias pero no me vale, porque lo que estoy montando es site-to-site o lan-to-lan, no cliente vpn. De todas formas muchas gracias porque lo tendré en cuenta lo que me has enviado....

JoeDalton 8 mayo 2008 22:28

⋮

¿puedes poner la configuración de ambos?
Reemplaza las ips públicas, y las claves que usas.

✖

santi-ti 9 mayo 2008 09:22

⋮

Esta es la configuración que tengo, cómo verás estoy tan desesperado que tengo todo "any" para poder ver el por qué no puedo hacer ping a la IP de la interfaces!!!!

: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name odsiberia.com
enable password m7me0z.N6aAtMQCr encrypted
multicast-routing
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.22.28.7 255.255.252.0
ospf cost 10
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.2.2 255.255.255.0
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name odsiberia.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network inside
description Red interna Local
network-object 172.22.28.0 255.255.255.0
object-group network outside
description Red router ISP
network-object 192.168.251.0 255.255.255.0
access-list inside extended permit icmp 172.22.28.0 255.255.252.0 any
access-list outside_access_in_1 remark Implicit rule: Permit all traffic to less secure networks
access-list outside_access_in_1 extended permit ip any any
access-list outside_access_in_1 extended permit tcp any any
access-list outside_access_in_1 extended permit udp any any
access-list outside_access_in_1 extended permit icmp any any
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit tcp any any
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit udp any any
access-list inside_nat0_outbound extended permit ip any any
access-list inside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 172.22.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 192.168.251.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 172.22.0.0 255.255.0.0
access-list outside_access_in extended permit icmp any host 80.x.x.x
access-list outside_nat0_outbound extended permit ip any any
access-list outside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 192.168.251.0 255.255.255.0
access-list outside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 192.168.251.0 255.255.255.0
access-list outside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 172.22.0.0 255.255.0.0
access-list outside_20_cryptomap extended permit ip any any
access-list outside_20_cryptomap extended permit tcp any any
access-list outside_20_cryptomap extended permit icmp any any
access-list outside_20_cryptomap extended permit udp any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
nat (outside) 0 access-list outside_nat0_outbound
nat (outside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 0.0.0.0 172.22.0.0 netmask 255.255.0.0
access-group inside_access_in in interface inside
access-group outside_access_in_1 in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.2.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
password-storage disable
ip-comp disable
re-xauth disable
group-lock value 80.x.x.x
pfs disable
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
intercept-dhcp 255.255.255.255 disable
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout none
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
msie-proxy server none
msie-proxy method no-modify
msie-proxy except-list none
msie-proxy local-bypass disable
nac disable
nac-sq-period 300
nac-reval-period 36000
nac-default-acl none
address-pools none
client-firewall none
client-access-rule none
webvpn
functions url-entry
html-content-filter none
homepage none
keep-alive-ignore 4
http-comp gzip
filter none
url-list none
customization value DfltCustomization
port-forward none
port-forward-name value Application Access
sso-server none
deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
svc none
svc keep-installer installed
svc keepalive none
svc rekey time none
svc rekey method none
svc dpd-interval client none
svc dpd-interval gateway none
svc compression deflate
username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15
username admin attributes
vpn-group-policy DfltGrpPolicy
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
password-storage disable
group-lock none
username cisco password K0bVd/XEvWqLUKox encrypted
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 10.1.2.0 255.255.255.0 outside
http 172.22.0.0 255.255.0.0 outside
http 172.22.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt connection tcpmss 0
service resetinbound interface inside
service resetinbound interface outside
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 80.x.x.x
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable inside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 80.x.x.x type ipsec-l2l
tunnel-group 80.x.x.x ipsec-attributes
pre-shared-key *
no tunnel-group-map enable ike-id
no vpn-addr-assign dhcp
telnet 192.168.251.0 255.255.255.0 inside
telnet 172.22.0.0 255.255.0.0 inside
telnet 192.168.251.0 255.255.255.0 outside
telnet 172.22.0.0 255.255.0.0 outside
telnet timeout 5
ssh scopy enable
ssh 172.22.0.0 255.255.0.0 inside
ssh 192.168.251.0 255.255.255.0 inside
ssh 10.1.2.0 255.255.255.0 inside
ssh 172.22.0.0 255.255.0.0 outside
ssh 192.168.251.0 255.255.255.0 outside
ssh 10.1.2.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
dhcp-client update dns server none
dhcpd address 172.22.28.8-172.22.28.254 inside
!

!
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
!
client-update enable
prompt hostname context
Cryptochecksum:7d7bf8c4d87852549d0dadd905f0c04a
: end
asdm image disk0:/asdm-522.bin
no asdm history enable

Muchas gracias.

✖

imakoki 9 mayo 2008 21:47

⋮

Al margen del tema cometarte que no tienen mucho sentido estas dos líneas:

access-list inside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 192.168.251.0 255.255.255.0
access-list outside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 192.168.251.0 255.255.255.0

Si te fijas en ambas todas las ips que aparecen son las mismas, bueno, las redes, todo hace referencia a

192.168.251.0 255.255.255.0

lo que no tiene ningun sentido porque si dentro de una red la comunicacion es por mac y no pasa por el ASA.

A estas dos les pasa lo mismo, no tiene sentido:

access-list outside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 172.22.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 172.22.0.0 255.255.0.0

veo que la red inside es: 172.22.28.7 255.255.252.0
y la del otro extremo de la VPN es: 192.168.251.0 255.255.255.0

Segun eso, esta entrada esta al reves:

access-list inside_nat0_outbound extended permit ip 192.168.251.0 255.255.255.0 172.22.0.0 255.255.0.0

Entiendo que esa entrada es para que no haga nat al trafico que pasa por la vpn, pues esta al reves, de lo que no se ha de hacer nat es de lo que va de 172.22.0.0 255.255.0.0 a 192.168.251.0 255.255.255.0

La entrada seria asi:

access-list inside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 192.168.251.0 255.255.255.0

y esta sobraria:

access-list outside_nat0_outbound extended permit ip 172.22.0.0 255.255.0.0 192.168.251.0 255.255.255.0

La configuracion de los traficos a encritar es la misma que hay que poner en el EXEMPT, vamos en el nonat.

Lo que hay que configurar referente a la encriptacion es el tráfico saliente del asa, y por tanto se ha de configurar siempre, tomando como ejemplo tu configuracion, lo que va de 172.22.0.0 255.255.0.0 a 192.168.251.0 255.255.255.0, tanto al marcar el trafico para ipsec, como para los EXEMPTS (nonat).

En el otro extremo las entadas han de ser justo al reves.

Creo que con eso te funcionara.

No hagas las pruebas entre interfaces inside de los ASA, hazlas de equipo a equipo, para que no te de problemas con los pings en las interfaces del asa, aunque en teoria con los icmp permit any inside y icmp permit any outside en los dos extremos deberia ir pero no se si había que configurar algo mas para que pingen o con eso era suficiente. Yo no me como la cabeza con eso y lo hago de equipo a equipo por que con los pix me daba esto muchos dolores de cabeza :P ;)

Saludos ;)
Imakoki

✖

santi-ti 10 mayo 2008 11:39

⋮

De acuerdo lo haré el lunes a primera hora. en serio me alegro muchisimo que respondieras de esta forma tan clara, es dificil encontrar info del jodido cisco asa, gracias gracias. El lunes te comento que tal, pero seguro que funcionará.

Gracias nuevamente.

✖

santi-ti 10 mayo 2008 11:43

⋮

✖

imakoki 10 mayo 2008 14:02

⋮

✖

santi-ti 10 mayo 2008 14:48

⋮

✖

imakoki 10 mayo 2008 15:51 ✎

⋮

imakoki 10 mayo 2008 16:16 ✎

⋮

✖

santi-ti 10 mayo 2008 17:24

⋮

✖

santi-ti 13 mayo 2008 13:59

⋮

✖

imakoki 13 mayo 2008 20:43

⋮

✖

santi-ti 14 mayo 2008 09:54

⋮

✖

imakoki 14 mayo 2008 23:02

⋮

imakoki 14 mayo 2008 23:08

⋮

✖

santi-ti 15 mayo 2008 21:57

⋮

✖

imakoki 15 mayo 2008 23:03

⋮

✖

santi-ti 16 mayo 2008 10:07

⋮

✖

santi-ti 29 mayo 2008 14:13

⋮

✖

imakoki 2 junio 2008 21:29

⋮

✖

santi-ti 3 junio 2008 09:20

⋮

✖

JoeDalton 4 junio 2008 22:46

⋮

✖

santi-ti 5 junio 2008 10:13

⋮

✖

JoeDalton 5 junio 2008 10:14

⋮

✖

santi-ti 5 junio 2008 10:16

⋮

✖

JoeDalton 5 junio 2008 10:22

⋮