Форум системных администраторов

IT => Networks => Тема начата: slon от 06 марта 2018, 14:44:09

Название: [РЕШЕНО] ASA 5506, односторонний VPN
Отправлено: slon от 06 марта 2018, 14:44:09
Схема:

172.16.100.0/24-(ASA)-IPSEC-(PFSENSE)-192.168.0.0/24
PFSense не мой, по этому заменить его на что то чуть более адекватное - немогу.

На ASA конфиг такой (выдержки):

interface GigabitEthernet1/8.100
 vlan 100
 nameif inside
 security-level 100
 ip address 172.16.100.1 255.255.255.0

interface GigabitEthernet1/7
 nameif outside
 security-level 0


object network LAN
 subnet 172.16.100.0 255.255.255.0
object network MSKIX
 subnet 192.168.0.0 255.255.255.0

access-list ouside_inbound extended permit icmp 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list ouside_inbound extended permit ip 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list vpn1 extended permit ip object LAN object MSKIX
access-list vpn1 extended permit ip object MSKIX object LAN

access-group ouside_inbound in interface outside

nat (inside,outside) source static LAN LAN destination static MSKIX MSKIX no-proxy-arp route-lookup

crypto ipsec ikev1 transform-set pfSense-AES128SHA esp-aes esp-sha-hmac
crypto map outside 10 match address vpn1
crypto map outside 10 set peer x.x.164.3
crypto map outside 10 set ikev1 transform-set pfSense-AES128SHA
crypto map outside 10 set reverse-route
...
crypto map outside interface outside

tunnel-group x.x.164.3 type ipsec-l2l
tunnel-group x.x.164.3 ipsec-attributes
 ikev1 pre-shared-key *****


Обе фазы подымаются, счетчики пакетов совпадают, роут на ASA-е добавляется динамически, packet-tracer показывает ок обе стороны (allow)
Самое интересное: трафик от них мне идет (есть icmp обмен, открывается сессия RDP, видно входящие в TCPDump-е), а вот трафик от меня к ним не идет никак

В чем может быть проблема? чего я не донастроил??


Updated: 06 March 2018, 15:52:15

"противоположная сторона" допилила pfsense, у меня всё правильно настроено.