Site-to-Site VPN Tunnel ?

[MYOEY]

Hallo,
folgende Konstellation:
zwei Cisco ASA bauen eine Site-to-Site VPN Verbindung zwischen Zentrale(ASA5510) und einer Außenstelle(ASA5505).
Der Tunnel kann sauber von beiden Seiten aufgebaut werden.

In der Außenstelle befindet sich hinter der ASA das Netz 10.0.0.0/24 und in der Zentrale mehrere Netze 172.16.0.0/16, 172.18.0.0/16 und 192.168.0.0/16.

wenn ich von der zentrale irgendeinen Host in der Außenstelle anpinge, kriege ich sofort Antwort aber wenn ich von der Außenstelle irgendeinen Host in der Zentrale anpinge, bekomme keine Antwort solange bis ich von diesem Host(in der Zentrale) erst einen Ping auf den Host in der Außenstelle setze dann funktioniert die Kommunikation von beiden Seiten.

ACL’s auf beiden Seiten habe ich bereit überprüft und da wird überhaupt nichts geblockt!

woran könnte es liegen, dass die Hosts in der Zentrale erst erreichbar, wenn die Kommunikation von der Zentrale schon mal getestet wurde?

was kann die Ursache sein?

Für jeden Tipp bzw. Idee dankbar!

[blackbox]

Hi,

da würde ich sagen, werden die Phase 2 Sessions nicht sauber aufgebaut - das wenn die eine Seite versucht diese aufzubauen es schief geht und von der anderen geht es. Am besten das VPM Debuggen - wenn du versuchst von b nach a und dann von a nach B - auf beiden Firewalls (Debug Level 255)

[Wordo]

Bei der Konfiguration der Crypto-Map gibts doch noch nen Haken fuer "Bidirektional" .. schau mal ob der drin is ...

[Otaku19]

bidirektional ? kenn ich nicht...

zeig mal die crypto config. in dem Fall hier mal cryptp-map und die zugehörige crypto ACL

[Wordo]

Hmm .. jetzt find ich nicht mal mehr den Punkt mit dem ich das verwechselt haben koennte

[hegl]

Zitat von Otaku19 bidirektional ? kenn ich nicht...

siehe Anhang.

Könnte es - wenn es daran nicht liegt - sogar sein, dass das VPN keine Site-2-Site, sondern ein Eazy-VPN ist? Dann wäre das Verhalten normal.

[Wordo]

Danke, ich mir sicher das irgendwo mal gelesen zu haben

[MYOEY]

Vielen Dank für euere Tipps... nun funktioniert es, es lag an unstimmigkeiten in der Phase1 bzw. Phase2 --> not acceptable proposals

Mit hilfe von "debug cry isa 255" und "debug cry ips 255" konnte es festgestellt und anschließend beseitigt werden.


Danke & Gruß

[Otaku19]

dann dürfts aber in keine der Richtungen klappen, eigentlich

[blackbox]

Doch - genau das habe ich mir gedacht - drum meinte ich den Debug - das habe ich bei der ASA schon häufiger gehabt - z.B. das PFS zickt da teils rum oder auf einer Seite ist eine mehr als auf der anderen Definiert. Dann geht eine und die andere Richtung nicht.