Questione : Lan di Cisco asa al problema di configurazione di lan VPN

Ho due luoghi a distanza, uno con un'asa 5510, la denomino luogo A e si con un'asa 5505, la denomina che il luogo B.

I sta provando come pazzesco a generare un VPN fra queste due posizioni, inizialmente con lo stregone del Luogo--Luogo VPN, ma ultimamente sto provando ad usare il CLI. Ho seguito le numerose guide del Cisco per aiutare con gli ordini, ma non posso sembrare convincere il vpn per venire in su al risultato di all.

The “isakmp crypto sa di esposizione„ e “ipsec crypto sa di esposizione„ entrambe risultato in “là è isakmp/ipsec SRS„, in modo da indosso penso che il VPN stia venendo in su affatto. Tutti i rumori metallici da una lan all'altro fails.

There è una parte unica circa la mia messa a punto. Sto provando a collegare la sottorete di DMZ (10.7.20.0) del mio luogo A con la sottorete interna (10.10.20.0) del mio luogo B. Inoltre, ho alcun pubblico IPS ad ogni posizione ed in modo da ho NAT installato fra alcuni degli ospiti di DMZ (collocare A) e degli ospiti della parte interna (luogo B). Fa questo richiamo per qualcosa più del normale nella configurazione di VPN? So che la maggior parte dei vpns di L2L sono installati fra entrambi interfacce della parte interna, ma quello non è di che cosa ho bisogno qui. Ho bisogno del segmento di DMZ al luogo A di potere comunicare con il segmento interno al luogo B.

I ho provato ad effettuare un analisi guasti di questa configurazione ma ho non potuto convincere qualunque tipo di comunicazione per andare comunque, in modo da devo mancare qualcosa. Aiutare prego se possible.

Here sono le sezioni applicabili del >Site A " della sottolineatura " del class= del config

di 192.168.2.1 255.255.255.0 di IP address del sicurezza-livello 100
del inside
del nameif del
interface Ethernet0/0
di

… ha costato 10
! il OSPF del
di 192.168.4.1 255.255.255.0 di IP address del sicurezza-livello 100
del nameif Inside2
dello shutdown
del
interface Ethernet0/1
ha costato 10
! il OSPF del
di 10.7.20.1 255.255.255.0 di IP address del sicurezza-livello 50
di DMZ
del nameif del
interface Ethernet0/2
ha costato 10
! il OSPF del
di 66.20.20.162 255.255.255.224 di IP address del sicurezza-livello 0
del outside
del nameif del
interface Ethernet0/3
ha costato 10
! il outside_access_in del
access-list del
del
…… ha esteso il permesso tcp tutto il interface
nat del
nat-control
global del
del IP 10.7.20.0 255.255.255.0 10.10.20.0 255.255.255.0 del permesso esteso lan2lan_list del
access-list di WWW del eq di 66.20.20.170 ospite… (all'esterno) (all'interno) 101
nat del
nat (Inside2) 101 0.0.0.0 0.0.0.0 di 0.0.0.0 0.0.0.0 (DMZ) che 101 il outside_access_in del
access-group di 0.0.0.0 0.0.0.0 nel
route di 255.255.255.255 del netmask del
static (DMZ, all'interno) 66.20.20.170 10.7.11.50 di 255.255.255.255 del netmask del outside
static (DMZ, all'esterno) 66.20.20.170 10.7.11.50 dell'interfaccia fuori del ipsec di 0.0.0.0 0.0.0.0 66.20.20.161 1
route DMZ 10.10.20.0 255.255.255.0 72.20.20.34 1
crypto trasformare-ha regolato i kilobyti 4608000
crypto di corso della vita di sicurezza-associazione del ipsec del
crypto di FirstSet esp-3des esp-md5-hmac l'insieme stabilito del programma l2lmap 1 del
crypto di 72.20.20.34 del pari del programma l2lmap 1 di indirizzo lan2lan_list
crypto del fiammifero del programma l2lmap 1 di/>crypto trasformare-ha regolato il isakmp del
crypto di indirizzo di identità del isakmp del outside
crypto dell'interfaccia del programma l2lmap di FirstSet
crypto permette al tipo il
del
tunnel-group 72.20.20.34 del
di corso della vita 43200
del gruppo 2
dello sha
del hash di crittografia 3des
del pre-share
di autenticazione di politica 1
del isakmp del outside
crypto…… del >Site B

" della sottolineatura " del class= del



del
del ***** di pre-ripartire-chiave del ipsec-attributes
di ipsec-l2l
tunnel-group 72.20.20.34………!
di 10.10.20.1 255.255.255.0 di IP address del sicurezza-livello 99
del inside
del nameif del
interface Vlan1
!
di 72.20.20.34 255.255.255.248 di IP address del sicurezza-livello 0
del outside
del nameif del
interface Vlan2
!
di 10.20.20.1 255.255.255.0 di IP address del sicurezza-livello 50
del dmz
del nameif del
interface Vlan3
! il outside_access_in del
access-list del
del
…… ha esteso il permesso tcp tutto il
global del
del IP 10.10.20.0 255.255.255.0 10.7.20.0 255.255.255.0 del permesso esteso lan2lan_list del
access-list del eq 13500 di 72.20.20.36 ospite… (all'esterno) 1 interface
nat (all'interno) 1
nat di 0.0.0.0 0.0.0.0 (dmz) che 1 outside_access_in del
access-group di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 72.20.20.36 10.10.20.10 del
di 0.0.0.0 0.0.0.0… nel outside
route dell'interfaccia fuori di 0.0.0.0 0.0.0.0 72.20.20.33 1
route fuori del ipsec del
crypto del
di 10.7.20.0 255.255.255.0 66.20.20.162 1
…… trasformare-ha regolato il programma l2lmap 1 di indirizzo lan2lan_list
crypto del fiammifero del programma l2lmap 1 di kilobyti 4608000
crypto di corso della vita di sicurezza-associazione del ipsec di secondi 28800
crypto di corso della vita di sicurezza-associazione del ipsec del
crypto di FirstSet esp-3des esp-md5-hmac regolare il pari l'insieme del programma l2lmap 1 che del
crypto di 66.20.20.162 trasformare-ha regolato il isakmp del
crypto di indirizzo di identità del isakmp del outside
crypto dell'interfaccia del programma l2lmap di FirstSet
crypto permette al gruppo dello sha
del hash di crittografia 3des
del pre-share
di autenticazione di politica 1
del isakmp del outside
crypto il isakmp di corso della vita 43200
crypto di 2
ricarica-wait
tunnel-group 66.20.20.162 di/>… del



Any del ***** di pre-ripartire-chiave del ipsec-attributes
di ipsec-l2l
tunnel-group 66.20.20.162 notevolmente sarebbe apprezzato. Thanks. class= del

Risposta : Lan di Cisco asa al problema di configurazione di lan VPN

Ciao,

Sì, perché sta provando a caricare una delle lime rotte di .mov (AntrimIntro.mov).

Se potete ottenere tutto il .mov archiva per giocarlo funzionerà bene.

Chris.