Fråga : Cisco ASA LAN till konfigurationproblemet för LAN VPN

Jag har två avlägsna platser, en med en ASA 5510, appell det plats A och en med en ASA 5505, appellen som det, har platsen B.

I varit pröva likt galet att skapa en VPN mellan dessa två lägen, initialt med Placera-till-Placerar VPN-trollkarlen, men sent har jag varit pröva att använda CLIEN. Jag följde talrika cisco vägleder för att hjälpa med befaller, men jag kan inte verka för att få vpnen för att komma upp på resultatet för all.

The av ”crypto isakmp sa för showen”, och ”båda crypto ipsec sa för showen” resultatet i ”där är ingen isakmp/ipsec sas”, så jag universitetslärarefunderare VPNEN är kommande övre alls. Några pings från ett LAN till den annan fails.
There är en unik del om mitt ställer in. Pröva förmiddag I att anknyta DMZ-subneten (10.7.20.0) av min plats A med den inre subneten (10.10.20.0) av min plats B. Också jag har några offentliga IPs på varje läge, och, så jag har NAT att ställa in mellan någon av DMZEN varar värd (placerar A), och insida varar värd (plats B). Gör denna betalningspåminnelse för något som är extra i VPN-konfigurationen? Jag vet att mest L2L-vpns är ställer in mellan båda insida har kontakt, men det inte är vad jag behöver här. Jag behöver DMZEN segmenterar på plats A för att vara kompetent att meddela med insidan segmenterar på platsen B.

I har försökt att felsöka denna konfiguration men har varit oförmögen att få någon typ av kommunikationen för att gå though, så jag måste vara saknad något. Behaga hjälp, om possible.

Here är det tillämpbart delar upp av för den class=" underlinen " för config

Siten A: inside
för nameif för
interface Ethernet0/0
för

… säkerhet-jämnar för IP address192.168.2.1 255.255.255.0 för 100
ospf
kostar 10
! nameif Inside2
för shutdown
för
interface Ethernet0/1
säkerhet-jämnar för IP address192.168.4.1 255.255.255.0 för 100
ospf
kostar 10
! nameif DMZ
för
interface Ethernet0/2
säkerhet-jämnar för IP address10.7.20.1 255.255.255.0 för 50
ospf
kostar 10
! nameifoutside
för
interface Ethernet0/3
säkerhet-jämnar för IP address66.20.20.162 255.255.255.224 för 0
ospf
kostar 10
! tillstånd tcp för
access-list för
för
…… fördjupade det outside_access_in varar värd any interface
nat för
nat-control
global för
för ip 10.7.20.0 255.255.255.0 10.10.20.0 255.255.255.0 för tillstånd för 66.20.20.170 eqwww
access-list lan2lan_list fördjupad… (utanför) (insida) 101
nat för 0.0.0.0 0.0.0.0
nat (Inside2) 101 0.0.0.0 0.0.0.0 (DMZ) som 101 outside_access_in för 0.0.0.0 0.0.0.0
access-group har kontakt in för netmask255.255.255.255 för outside
static (DMZ, utanför) 66.20.20.170 10.7.11.50 255.255.255.255 för netmask
static (DMZ, insida) 66.20.20.170 10.7.11.50
route utanför säkerhet-anslutningen för ipsec för den 0.0.0.0 0.0.0.0 66.20.20.161 1
route DMZ 10.10.20.0 255.255.255.0 72.20.20.34 1
crypto ipsecomforma-uppsättningen FirstSet esp-3des esp-md5-hmac
crypto, livstid understöder för ipsecsäkerhet-anslutningen för 28800
crypto kilobyte 4608000
crypto kartlägger matchen för l2lmap 1 tilltalar lan2lan_list
crypto kartlägger den fastställda jämliket för l2lmap 1, 72.20.20.34 som
crypto kartlägger l2lmap, 1 den fastställda omforma-uppsättningen FirstSet
crypto kartlägger l2lmap har kontakt isakmpidentitet för outside
crypto tilltalar isakmp för
crypto möjliggör för isakmppolitik 1
för outside
crypto gruppen för sha
för pölsa för kryptering 3des
för pre-share
för legitimation, ipsec-attributes
för typ ipsec-l2l
tunnel-group 72.20.20.34 för
tunnel-group 72.20.20.34 för
för livstid 43200
för 2
…… pre-dela-stämm
för >Site B

" för underlinen " för class= för



för *****
………! nameifinside
för
interface Vlan1
säkerhet-jämnar IP address10.10.20.1 255.255.255.0 för 99

! nameifoutside
för
interface Vlan2
säkerhet-jämnar IP address72.20.20.34 255.255.255.248 för 0

! nameifdmz
för
interface Vlan3
säkerhet-jämnar IP address10.20.20.1 255.255.255.0 för 50

! tillstånd tcp för
access-list för
för
…… fördjupade det outside_access_in varar värd any
global för
för ip 10.10.20.0 255.255.255.0 10.7.20.0 255.255.255.0 för tillstånd för
access-list för 72.20.20.36 eq 13500 lan2lan_list fördjupad… (utanför) 1 interface
nat (insida) 1 0.0.0.0 0.0.0.0
nat (dmz) som 1 för 255.255.255.255 för netmask för
static (insida, utanför) 72.20.20.36 10.10.20.10 för 0.0.0.0 0.0.0.0
… outside_access_in
access-group har kontakt in outside
route utanför 0.0.0.0 0.0.0.0 72.20.20.33 1
route utanför för omforma-uppsättningen för ipsec för
crypto för 10.7.20.0 255.255.255.0 66.20.20.162 1
…
… säkerhet-anslutningen för ipsec FirstSet esp-3des esp-md5-hmac
crypto, livstid understöder för ipsecsäkerhet-anslutning för 28800
crypto kilobyte livstid, 4608000
crypto kartlägger matchen för l2lmap 1 tilltalar lan2lan_list
crypto kartlägger l2lmap 1 fastställd jämlike66.20.20.162
crypto kartlägger l2lmap, 1 som den fastställda omforma-uppsättningen FirstSet
crypto kartlägger l2lmap har kontakt isakmpidentitet för outside
crypto tilltalar isakmp för
crypto möjliggör för isakmppolitik 1
för outside
crypto gruppen för sha
för pölsa för kryptering 3des
för pre-share
för legitimation, isakmp för livstid 43200
crypto för 2
lägger tillbaka-wait
för typ ipsec-l2l
tunnel-group 66.20.20.162 för -/>…
tunnel-group 66.20.20.162 pre-dela-stämm skulle hjälp för *****



Any uppskattas väldeliga. Thanks. " klar "

Svar : Cisco ASA LAN till konfigurationproblemet för LAN VPN

Hi,

Ja därför att den är pröva att ladda, en av den brutna .moven sparar (AntrimIntro.mov).

Om du kan få, alla .mov sparar för att leka det ska arbetsok.

Chris.