Схема:
172.16.100.0/24-(ASA)-IPSEC-(PFSENSE)-192.168.0.0/24
PFSense не мой, по этому заменить его на что то чуть более адекватное - немогу.
На ASA конфиг такой (выдержки):
interface GigabitEthernet1/8.100
vlan 100
nameif inside
security-level 100
ip address 172.16.100.1 255.255.255.0
interface GigabitEthernet1/7
nameif outside
security-level 0
object network LAN
subnet 172.16.100.0 255.255.255.0
object network MSKIX
subnet 192.168.0.0 255.255.255.0
access-list ouside_inbound extended permit icmp 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list ouside_inbound extended permit ip 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list vpn1 extended permit ip object LAN object MSKIX
access-list vpn1 extended permit ip object MSKIX object LAN
access-group ouside_inbound in interface outside
nat (inside,outside) source static LAN LAN destination static MSKIX MSKIX no-proxy-arp route-lookup
crypto ipsec ikev1 transform-set pfSense-AES128SHA esp-aes esp-sha-hmac
crypto map outside 10 match address vpn1
crypto map outside 10 set peer x.x.164.3
crypto map outside 10 set ikev1 transform-set pfSense-AES128SHA
crypto map outside 10 set reverse-route
...
crypto map outside interface outside
tunnel-group x.x.164.3 type ipsec-l2l
tunnel-group x.x.164.3 ipsec-attributes
ikev1 pre-shared-key *****
Обе фазы подымаются, счетчики пакетов совпадают, роут на ASA-е добавляется динамически, packet-tracer показывает ок обе стороны (allow)
Самое интересное: трафик от них мне идет (есть icmp обмен, открывается сессия RDP, видно входящие в TCPDump-е), а вот трафик от меня к ним не идет никак
В чем может быть проблема? чего я не донастроил??
Updated: 06 March 2018, 15:52:15
"противоположная сторона" допилила pfsense, у меня всё правильно настроено.