本站已运行

攻城狮论坛

搜索
立即注册用户登录
123456下一页
返回列表 发新帖
作者: mgh8858
查看: 4021|回复: 56

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[安全] ASA5520 8.3.1 环境下建立Site-Site VPN失败,求高手乱入

  [复制链接]
mgh8858 [Lv4 初露锋芒] 发表于 2013-9-8 21:32:09 | 显示全部楼层 |阅读模式
查看: 4021|回复: 56
开通VIP 免金币+免回帖+批量下载+无广告
ASA1:" v# h0 `! i3 A/ L
object network test
* T& V8 y; M3 N  l) U; c% s# ksubnet 192.168.101.32 255.255.255.224( m3 L  ~* P% ~& {
object network ServerGroup   ]* i2 Z  O+ ^3 n" Q
subnet 172.16.48.0 255.255.255.0! v' a/ r7 ~, N1 Q
: S6 I% w/ d& V# S4 @1 H
object-group network VPN: z5 u6 {; k  S* K$ Q
network-object object ServerGroup
1 W6 R% \2 M' d& P; xnetwork-object object test
% c8 C( ^6 ~1 [/ L7 X
1 E$ y3 Z5 r0 z% h4 `! Taccess-list l2l_list extended permit ip object-group VPN 192.168.3.0 255.255.255.0 , L$ u5 O$ I# L9 a, I6 R' b* f# P, Z
- ^4 g* F" M0 E/ ^
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 9 t- F3 E/ @9 O- }. d5 ~" G7 J
crypto ipsec security-association lifetime seconds 28800
8 B5 b7 c0 y9 z1 D6 X, m" O% Mcrypto ipsec security-association lifetime kilobytes 46080004 j) @0 d! H$ u
crypto map shtestmap 1 match address l2l_list5 h- T% h1 v5 N0 w
crypto map shtestmap 1 set peer 192.245.0.14
) `7 z4 V0 S+ ]- e$ U/ x( [8 a3 ]crypto map shtestmap 1 set transform-set ESP-DES-SHA
* {" ?) C# y; @7 l6 p5 B5 n& }% Z) Dcrypto map shtestmap interface outside5 w- o5 H; k0 k7 F* H3 _
crypto isakmp enable outside/ M! O  U& N2 ^; o6 K: u' ]
crypto isakmp policy 1
! L* H; k' C0 i. kauthentication pre-share
! z9 V& c7 L- [- m9 z0 u' R# e/ y9 hencryption des9 \  G0 T  M+ O. J+ k: C4 {
hash sha% ~. }4 B7 g& B1 r. N
group 2
, g$ o, F+ P5 E: I* H! ]lifetime 43200# k; s8 k, }$ C
no crypto isakmp nat-traversal' t5 e$ f. _2 D+ G: O) N7 q

3 k7 _9 f9 s+ @$ T) C2 W$ q( ?  }; B- K( q7 q8 ]  N- O  c; g
tunnel-group 192.245.0.14 type ipsec-l2l
; d; R, f* v" Y/ V& A% G+ Ctunnel-group 192.245.0.14 ipsec-attributes% ?- W3 v/ ]' D5 V$ S
pre-shared-key *****
, |, [! C% ]; f# Ltunnel-group-map default-group 192.245.0.14
& Z! T, {3 K# U
/ @9 ^2 O' g6 W& r7 ^( Y+ s2 ^
# J/ b- u5 C' `) H) s( cASA2:- R2 E% u0 k1 y8 V
object network 192.168.3.0 * X6 |+ F& W: p4 G
subnet 192.168.3.0 255.255.255.0
" |" S8 w- m- [. g$ R& mobject network test 4 d$ H* u6 T5 u- s- M+ s
subnet 192.168.101.32 255.255.255.224; O& V( o9 K; w. M6 U5 F& r

) u+ G6 X  `- `object-group network DM_INLINE_NETWORK_17 C# k6 Q, Z' Z% v# M7 w+ F
network-object 172.16.48.0 255.255.255.0# W7 H" u4 t- w! B7 a
network-object object test
. B% U1 @& ?) x, w0 w# h+ J) l# Z) q2 I/ G; Z& v2 f
access-list l2l_list extended permit ip object 192.168.3.0 object-group DM_INLINE_NETWORK_1 ! F% }8 g8 N4 j0 f2 h8 l, r
0 }  ^% E$ w% S3 E2 [. }
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
/ D8 A# x5 A' lcrypto ipsec security-association lifetime seconds 288000 S$ n) S# n2 c, l" @: p/ ?
crypto ipsec security-association lifetime kilobytes 4608000+ B) |2 {% [: ?- c" m
crypto map shtestmap 1 match address l2l_list- e0 F' j4 D8 a, }8 [
crypto map shtestmap 1 set peer 192.245.0.10 % k% E8 ^9 b% B, v4 m% L
crypto map shtestmap 1 set transform-set ESP-DES-SHA
/ d8 t" k; h$ `- q8 _9 wcrypto map shtestmap interface outside  V# f& }6 H# Z& B5 Q3 Z
crypto isakmp enable outside
4 j- X; u, o1 ]. B; c' ucrypto isakmp policy 1
/ ^3 m1 j- X  }# Hauthentication pre-share
0 u6 |& T% N7 g+ T8 H$ iencryption des
3 \. l- Y; X3 P, W- fhash sha
; l# F) ?9 m' Y$ A8 f. S, c! ^+ Dgroup 2
0 ?7 a8 w; s, w0 h  d7 I  h% h. Clifetime 43200
9 X9 m- _5 w; v* K( R, i" Ano crypto isakmp nat-traversal. B% @9 Q' m: p% l7 X" t
9 O) f' e1 s/ H4 A
tunnel-group 192.245.0.10 type ipsec-l2l  j0 a) H) c" C8 \7 u& Q4 V
tunnel-group 192.245.0.10 ipsec-attributes
# X. ^' h/ y0 y7 @( w4 {6 q! ?8 npre-shared-key *****
3 I8 J, y3 h( j' |tunnel-group-map default-group 192.245.0.10
# K8 N* I- S- g8 P- }  M  \( _) v' i7 G1 p/ v$ J+ ]- j/ b

. o+ o: F0 b# T( Cshow isakmp sa% c( H! ~7 a1 I3 [! ]
显示
* A7 m+ X0 B0 d  E/ m! c3 zThere are no isakmp sas
! b6 ~* q) d6 u* `2 B
' N0 L' Z1 W3 T2 K+ c请教各位大大,如何解决; H0 x8 y$ p4 d# }. Y
% S2 N* e" P& r2 G$ i
网络结构如下- E( ^  Q: L. b5 K* N6 n. Q; ?
4 g: d0 @- _7 F3 Y
192.168.3.0/24 INSIDE----ASA---OUTSIDE 192.245.0.14/30--Internet--OUTSIDE 192.245.0.10/30----ASA---INSIDE 192.168.101.32/28--- Route 172.16.48.0/24
interface, network, address, seconds, enable

相关帖子

CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

onerexli [Lv5 不断成长] 发表于 2013-9-9 03:30:16 | 显示全部楼层
ASA1: 9 s; C# _* d1 m
! ~4 J  r6 S' ]3 ^; }5 q
object-group network VPN12 G) k  o/ ~0 a8 c: ?/ L
network-object 192.168.3.0 255.255.255.0 4 o7 U6 o2 N/ c, {& `/ {1 l

6 ~" h7 ?% ~& S$ \nat (inside,outside) source static VPN VPN destination static VPN1 VPN1

2000人 活跃的 IT技术 & CCNA/CCNP 题库/战报/备考交流QQ群 2258097
回复 支持 反对

使用道具 举报

Firedog [Lv8 技术精悍] 发表于 2013-9-9 09:15:24 | 显示全部楼层
更新了配置,但好像还是不行,无论如何还是要感谢楼上的回复,希望能继续给些指点...
8 q8 R* W  E) g) x% u192.168.3.0/24 INSIDE----ASA2---OUTSIDE 192.245.0.14/30--Internet--OUTSIDE 192.245.0.10/30----ASA1---INSIDE 192.168.101.32/28--- Route 172.16.48.0/24
% j( X6 }4 j; h# P% o
; J: ]8 N& f; I# ~0 ?7 b6 m2 \ASA1! w  v3 p, ~, ]  P
Local 172.16.48.0/24,192.168.101.32/288 h6 j5 q: I# d% T2 q4 v
Remote 192.168.3.0/24
% ~% A9 r2 |& {  A( T0 |* a7 ]! ?( j: T+ j' w
object network ASA1-inside1
: t# U) e, V7 F6 _% |4 q subnet 192.168.101.32 255.255.255.224
5 G, g/ Z$ l+ o/ }; e4 O- @object network ASA1-inside2" t3 @! X3 y% I6 T5 d
subnet 172.16.48.0 255.255.255.0
# W& P' Z1 j7 O6 }7 j" `0 w8 H: s# B& q3 ~- n/ H$ y7 q
object network ASA1_vpn_outside9 D" z9 L# Q: D3 d9 Y
subnet 192.168.101.32 255.255.255.2242 l. n+ F+ p% X

4 Z3 M# ^, M4 t1 oobject-group network ASA1-vpn_inside
: C) R- \/ W: } network-object object ASA1-inside1. n; q/ g& P1 \9 i
network-object object ASA1-inside2
. |& ^/ l, q7 g. z& U$ {2 o
6 L9 F" y7 j' e9 ?% raccess-list l2l_list extended permit ip object-group vpn_inside  object  ASA1_vpn_outside0 u, P2 W0 ~5 O- \0 W* o
   
3 G% A3 t8 s8 _) I+ B
! H) Y$ J& Z2 h" z5 f' h( Kcrypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac ) @4 v" r' k4 n+ g! L# _- y
crypto ipsec security-association lifetime seconds 288005 J. G' m- V4 B* i) d1 w; q
crypto ipsec security-association lifetime kilobytes 4608000( q- y! k" \# b8 ?
crypto map shtestmap 1 match address l2l_list& j" `, \6 n6 b( q' I
crypto map shtestmap 1 set peer 192.245.0.14, _* {2 X" W" Z! b" R/ F
crypto map shtestmap 1 set transform-set ESP-DES-SHA
5 r! g* ^! E( U1 a0 Rcrypto map shtestmap interface outside5 g- j1 y0 w) Z: j* {
crypto isakmp enable outside4 U7 n/ A. m/ r# J, x1 G
crypto isakmp policy 1
6 }( v' X, L9 V) g; N* D) X; B8 u authentication pre-share
$ i1 J" y/ B0 M  W  m; Z1 u% B encryption des1 ]( U  e& f0 C
hash sha% @6 K' v8 D0 E
group 2
; I, j; Z1 e5 M$ s0 K- d lifetime 43200
! X2 |+ {  e8 \no crypto isakmp nat-traversal- m  L/ ^4 Y# S: n4 z& `0 f

- D/ P2 X  @! ~4 p" g: w6 V1 T9 j9 ^* E& o' ]
tunnel-group 192.245.0.14 type ipsec-l2l
3 P3 c/ r/ r2 qtunnel-group 192.245.0.14 ipsec-attributes
6 T0 \. `& q  W) x/ K pre-shared-key *****$ l( P1 X6 t6 V+ Q2 X% E' Y
tunnel-group-map default-group 192.245.0.14
2 n  @- q2 R+ K$ ?  ?0 ^  ?. W3 V
nat (inside,outside) source static  ASA1-vpn_inside  ASA1-vpn_inside destination static  ASA1_vpn_outside ASA1_vpn_outside
  N1 S( S: A- P; p) E8 S  I1 ^' I, [' L- O8 x# u$ v
( ?% z* B( q3 w3 _+ g2 f2 T2 r" d
ASA27 D! x7 N  M: J3 R( Q! Q9 }0 t
Local  192.168.3.0/24
# a* I! n+ g$ M+ Y5 QRemote 172.16.48.0/24,192.168.101.32/28; f7 C4 p0 G! F# |( g, H5 i$ p
; C* _. [7 u. q( I* z2 W- E# T
object network ASA2-outside1
# J' f; o1 c5 f6 N1 ?2 x subnet 192.168.101.32 255.255.255.2242 s& W) `( n' q5 P8 c9 H% T
object network ASA2-outside2% X: f3 n7 {) l
subnet 172.16.48.0 255.255.255.00 d2 [9 H+ t2 S& ^/ Y, Z2 E" I) q
+ H. K7 m2 H4 D) z6 X( d  b
object network ASA2_vpn_inside
; s' t5 `: `; k/ g4 g) b subnet 192.168.101.32 255.255.255.224; z9 w3 }/ h' S7 E' D% X

: S$ L, y8 h. q" M: h. Z" Sobject-group network ASA2-vpn_outside2 l. u$ O! V; O& y2 L1 E$ E* H7 X" |
network-object object ASA2-outside10 ~7 h" p! o1 ^3 A
network-object object ASA2-outside2
0 ?3 q' d: e) e2 [7 ?& P
( S# z0 W4 B6 k# q0 y, t, l& Uaccess-list l2l_list extended permit ip object ASA2_vpn_inside  object-group ASA2_vpn_outside0 _9 G; j' [% R8 H1 k2 Z* P
   
" o& ^& V7 X3 G2 d0 [5 S/ n9 y# }4 M  b
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
, F$ C; u% h/ P9 S2 C0 U1 Ocrypto ipsec security-association lifetime seconds 28800
" v! e, l* s8 D& \- k! _crypto ipsec security-association lifetime kilobytes 4608000
  v3 R& x) @0 ]7 S. o. Lcrypto map shtestmap 1 match address l2l_list* p+ {! K  h# x' {; ]
crypto map shtestmap 1 set peer 192.245.0.145 [3 @7 a* ^9 t* x5 u6 G& |
crypto map shtestmap 1 set transform-set ESP-DES-SHA
3 D0 `+ J( ^* kcrypto map shtestmap interface outside
0 Q$ g+ K( X. h9 Z3 C6 ccrypto isakmp enable outside
1 f/ E! I7 g+ d1 Y0 m; F+ p2 n/ acrypto isakmp policy 1  W# b! N+ i) c* w
authentication pre-share
3 W4 [7 h/ q; n' b7 Y encryption des
0 Q9 W* c3 V- t  ?/ q hash sha
; ]; M6 U- g4 b group 2
2 f! h  l* i) S$ S3 a! u& ]' D7 c' ^ lifetime 43200
- W9 D2 l2 p5 {no crypto isakmp nat-traversal! s. f- `/ B9 K5 F5 R2 T0 I7 v

5 O( U. Z* j& H5 `, k; u
' V% U7 c' U0 ?6 H2 w( n) btunnel-group 192.245.0.14 type ipsec-l2l+ G% T  R' n/ L* X6 \4 O
tunnel-group 192.245.0.14 ipsec-attributes5 X* Z2 s+ G0 Z) g6 j- c/ v
pre-shared-key *****" N) S. d4 ?, M& B( ~  H
tunnel-group-map default-group 192.245.0.14 6 Y) R( M4 P& W, K
9 W* K$ [9 C8 U  _6 i

  e0 V8 B* |/ O- z/ `nat (inside,outside) source static ASA2_vpn_inside ASA2_vpn_inside destination static  ASA2-vpn_outside ASA2-vpn_outside
回复 支持 反对

使用道具 举报

zhanglizhong [Lv4 初露锋芒] 发表于 2013-9-9 09:17:51 | 显示全部楼层
开debug,或者安装asdm后看log
回复 支持 反对

使用道具 举报

ngailik [Lv4 初露锋芒] 发表于 2013-9-9 09:19:29 | 显示全部楼层
太乱,错误太多。贴原始配置。
回复 支持 反对

使用道具 举报

彗星 [Lv4 初露锋芒] 发表于 2013-9-9 09:24:06 | 显示全部楼层
搞明白两个东东% i6 e  A1 R& v( Z' }, O
根据你的TOP4 d+ C9 k' Y2 w% B2 w
加密点为 192.245.0.14  192.245.0.101 h- ]  G9 o5 T9 o8 e+ c
通讯点为 192.168.3.0 /24  172.16.48.0/248 y9 G5 k! q" B* M! K
  {; \" Z; @* {1 M/ ]& g- Q* L
看下你ASA2上tunnel group写的什么?
6 D( G. ]- f1 l" k做ASA or PIX L2L 时需要注意一点就是 tunnel-group必须为对端加密点IP
回复 支持 反对

使用道具 举报

刚刚 [Lv4 初露锋芒] 发表于 2013-9-9 12:17:14 | 显示全部楼层
object network ASA1_vpn_outside
  e6 R. ^% V- M9 `9 A% b+ vsubnet 192.168.101.32 255.255.255.224
4 s7 U- k4 t+ D) u这个应该是对端的IP
0 _3 t: T& |" W* h0 ~) M还有要在外网的接口上放ACL,允许isakmp,esp以及对端的数据进来。
回复 支持 反对

使用道具 举报

ericyuenhk0913 [Lv8 技术精悍] 发表于 2013-11-7 10:05:15 | 显示全部楼层
真是 收益 匪浅
回复 支持 反对

使用道具 举报

ynfield [Lv8 技术精悍] 发表于 2013-11-9 12:43:09 | 显示全部楼层
写的真的很不错
回复 支持 反对

使用道具 举报

红色14# [Lv8 技术精悍] 发表于 2013-11-9 17:29:03 | 显示全部楼层
回复 支持 反对

使用道具 举报

下一页 »
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2025-6-14 23:20 , Processed in 0.124054 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn