服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ASA 5510站点到站点VPN在一个方向上工作
Intereting Posts
DNSSEC MITM攻击 nftables替代命令如iptables -L -n -v TP-Link AP EAP120正确设置:SSID和2.4GHz频率 无法使用ldapsearch连接到Azure AD域服务LDAPS KVM主机应该做托pipe虚拟机以外的事情吗? (如ZFS)? AIX 5.3 – 如何将操作系统备份到可引导的ISO映像 如何确定程序正在使用的文件 旋转haproxy日志 将工作的耳朵文件部署到weblogic服务器时出现503服务不可用错误! 重新学习bayes autolearned当邮件已经处理的交换 PHPMailer电子邮件转到垃圾邮件,Outlook电子邮件不 安装SQL Server客户端工具的问题 如何用haproxy设置openfire 多个FTP服务器pipe理工​​具 在一台主机上redirect多个域的正确方法 – NGINX

ASA 5510站点到站点VPN在一个方向上工作

我在两台Cisco ASA 5510之间build立了一个站点到站点的VPN连接。一个站点(我们称之为A)可以看到另一个站点(站点B)的专用networking,但是站点B不能看到站点A的专用networking。

两个ASA的访问列表和路由是相同的。

在ASA A上,通过发出以下命令: show run crypto map ,得到以下结果: 

crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map 1 set ikev2 pre-shared-key ******** crypto map outside_map 1 set reverse-route crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside

并通过在ASA B上发出相同的命令,我得到: 

 crypto map Outside_map 1 match address Outside_cryptomap crypto map Outside_map 1 set peer IP_of_Outside_Interface_of_A crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map Outside_map 1 set ikev2 pre-shared-key ******** crypto map Outside_map 1 set reverse-route crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map Outside_map interface Outside

同样通过在ASA A上发布show crypto isakmp ,我得到: 

 There are no IKEv1 SAs IKEv2 SAs: Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 74335965 public_IP_of_ASA_A/500 public_IP_of_ASA_B/500 READY RESPONDER Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/9974 sec Child sa: local selector 172.16.0.0/0 - 172.16.255.255/65535 remote selector 10.0.20.0/0 - 10.0.20.255/65535 ESP spi in/out: 0xab18ad65/0x4ff34128

和ASA B: 

 There are no IKEv1 SAs IKEv2 SAs: Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 83370867 public_IP_of_ASA_B/500 public_IP_of_ASA_A/500 READY INITIATOR Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/9499 sec Child sa: local selector 10.0.20.0/0 - 10.0.20.255/65535 remote selector 172.16.0.0/0 - 172.16.255.255/65535 ESP spi in/out: 0x4ff34128/0xab18ad65

根据以上信息,我可以从ASA A(angular色响应者)的专用networking(172.16.0.0/24)访问ASA B(angular色发起者)的专用networking(10.0.20.0/24),但是反之亦然。

在两个ASA上也启用了sysopt连接许可证VPN

任何想法如何发生?

有时候很简单的理由就像在这种情况下阻止你的眼睛,在这种情况下,我正在寻找encryption映射,encryptionisakmp,访问列表等,原因是我试图从其他网站访问它的ESXi服务器没有有一个正确的网关! 实际上,ESXi服务器上的所有主机都有一个正确的网关,但pipe理程序本身没有…我修复了它,它的function就像一个魅力…

感谢您的所有意见和想法。