النتائج 1 إلى 15 من 15

الموضوع: مشكلة مع ASA 5500 في عمب site-to-site vpn

  1. #1
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    مشكلة مع ASA 5500 في عمب site-to-site vpn



    السلام عليكم ورحمة الله وبركاته

    عندي جهازين واحد 5510 والتاني 5505 والمطلوب ربط موقعين ببعض عن طريق site-to-site vpn بس بعد ما عملت الكونفيجريشن ال led بتاعة ال VPN منورتش وساعات بتعمل Flashing وساعات لأ الحقيقة مش عارف ايه المشكلة

    الأخطاء اللي ممكن اكون وقعت فيها ممكن تكون ايه ؟؟
    وجزاكم الله خيرا

    CCNA certified

  2. #2
    عضو برونزي الصورة الرمزية one-zero
    تاريخ التسجيل
    Jul 2007
    المشاركات
    8,296
    معدل تقييم المستوى
    59

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    اكتب الكونفجريشن اذا سمحت ختى نعرف ماذا فعلت
    [CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
    [URL="http://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
    [/URL][URL="http://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="http://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
    [/URL][URL="http://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
    [/URL][URL="http://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
    [/URL][/SIZE][/SIZE][SIZE=3][URL="http://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]

  3. #3
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    وعليكم السلام,

    ممكن نشوف configuration عشان نقدر نساعدك؟

    في نقطة ثانية, vpn tunnel عمره ما حيكون UP إذا ما في interesting traffic بيمر بين الموقعين

    طبعا إنت تحدد interesting traffic عن طريق crypto acl

    خلي بالك من security associations وأنه ما بيصير Expiration ليها

    أخر نقطة , في كل موقع - لازم يكون فيه route للموقع التاني - لازم يكون فيه Route ل interesting traffic

  4. #4
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    السلام عليكم ورحمة الله وبركاته
    شكرا على اهتمامكم
    الحمد لله المشكلة اتحلت بمساعدة أحد الأصدقاء بس لسه في حاجات مش واضحه بالنسبة لي أنا هكتل ابConfiguration وياريت حد يعلقلي عليها ]بتاعة الsite الأول
    hostname Main-Site
    enable password M9kFm8nwzdRLJxXs encrypted
    passwd M9kFm8nwzdRLJxXs encrypted
    names
    !
    interface Ethernet0/0
    nameif Outside
    security-level 0
    ip address 196.219.220.50 255.255.255.240
    !
    interface Ethernet0/1
    nameif Inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet0/2
    nameif DMZ
    security-level 70
    ip address 10.10.10.1 255.255.255.0
    !
    interface Ethernet0/3
    <--- More --->

    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    !
    ftp mode passive
    access-list Inbound extended permit tcp any host 196.219.220.53 eq www
    access-list Inbound extended permit tcp any host 196.219.220.53 eq https
    access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
    access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
    access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
    access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
    access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
    access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389
    access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
    access-list Outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

    pager lines 24
    mtu Outside 1500
    mtu Inside 1500
    mtu DMZ 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-613.bin
    no asdm history enable
    arp timeout 14400
    global (Outside) 1 interface
    global (DMZ) 1 interface
    nat (Inside) 0 access-list Inside_nat0_outbound
    nat (Inside) 1 192.168.1.0 255.255.255.0
    static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
    static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
    static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
    access-group Inbound in interface Outside

    route Outside 0.0.0.0 0.0.0.0 196.219.220.49 1

    http server enable
    http 10.10.10.0 255.255.255.0 DMZ
    http 192.168.1.0 255.255.255.0 Inside
    no snmp-server location
    no snmp-server contact
    crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    crypto map Outside_map 1 set security-association lifetime seconds 28800
    crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
    crypto map Outside_map0 1 match address Outside_1_cryptomap
    crypto map Outside_map0 1 set peer 196.202.88.122
    crypto map Outside_map0 1 set transform-set ESP-3DES-MD5
    crypto map Outside_map0 1 set security-association lifetime seconds 28800
    crypto map Outside_map0 1 set security-association lifetime kilobytes 4608000
    crypto map Outside_map0 interface Outside
    crypto isakmp enable Outside
    crypto isakmp policy 10
    authentication pre-share
    encryption 3des
    hash md5
    group 2
    lifetime 86400
    crypto isakmp policy 65535
    authentication pre-share
    encryption 3des
    hash sha
    group 2
    lifetime 86400
    telnet 192.168.1.0 255.255.255.0 Inside
    telnet 192.168.2.0 255.255.255.0 Inside
    telnet 10.10.10.0 255.255.255.0 DMZ
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    management-access Inside
    threat-detection basic-threat
    threat-detection statistics access-list
    no threat-detection statistics tcp-intercept
    tunnel-group 196.202.88.122 type ipsec-l2l
    tunnel-group 196.202.88.122 ipsec-attributes
    pre-shared-key *
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    <--- More --->

    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
    inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
    inspect icmp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:77e63b10631e6f541a3658117eb1024e
    : end

    Main-Site# sh ver

    Main-Site# sh version

    Cisco Adaptive Security Appliance Software Version 8.0(4)
    Device Manager Version 6.1(3)

    Compiled on Thu 07-Aug-08 20:53 by builders
    System image file is "disk0:/asa804-k8.bin"
    Config file at boot was "startup-config"

    Main-Site up 3 hours 50 mins

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 256MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    CCNA certified

  5. #5
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    site 2
    hostname SSBCASA
    enable password M9kFm8nwzdRLJxXs encrypted
    passwd M9kFm8nwzdRLJxXs encrypted
    names
    !
    interface Vlan1
    nameif Inside
    security-level 100
    ip address 192.168.2.1 255.255.255.0
    !
    interface Vlan2
    nameif Outside
    security-level 0
    ip address 196.202.88.122 255.255.255.248
    !
    interface Ethernet0/0
    switchport access vlan 2
    !
    interface Ethernet0/1
    !
    interface Ethernet0/2
    shutdown
    !
    interface Ethernet0/3
    shutdown
    !
    interface Ethernet0/4
    shutdown
    !
    interface Ethernet0/5
    shutdown
    !
    interface Ethernet0/6
    shutdown
    !
    interface Ethernet0/7
    shutdown
    !
    ftp mode passive
    access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389
    access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    pager lines 24
    mtu Inside 1500
    mtu Outside 1500
    <--- More --->

    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-621.bin
    no asdm history enable
    arp timeout 14400
    global (Outside) 1 interface
    nat (Inside) 0 access-list Inside_nat0_outbound
    nat (Inside) 1 192.168.2.0 255.255.255.0
    static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255
    access-group Inbound in interface Outside
    route Outside 0.0.0.0 0.0.0.0 196.202.88.123 1

    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 192.168.2.0 255.255.255.0 Inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    crypto map Outside_map 1 match address Outside_1_cryptomap
    crypto map Outside_map 1 set peer 196.219.220.50
    crypto map Outside_map 1 set transform-set ESP-3DES-MD5
    crypto map Outside_map 1 set security-association lifetime seconds 28800
    crypto map Outside_map 1 set security-association lifetime kilobytes 4608000
    crypto map Outside_map interface Outside
    crypto isakmp enable Outside
    crypto isakmp policy 10
    authentication pre-share
    encryption 3des
    hash md5
    group 2
    lifetime 86400
    crypto isakmp policy 65535
    authentication pre-share
    encryption 3des
    hash sha
    group 2
    lifetime 86400
    telnet 192.168.2.0 255.255.255.0 Inside
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    <--- More --->


    threat-detection basic-threat
    threat-detection statistics access-list
    no threat-detection statistics tcp-intercept
    tunnel-group 196.219.220.50 type ipsec-l2l
    tunnel-group 196.219.220.50 ipsec-attributes
    pre-shared-key *
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
    inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
    inspect icmp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:a99be2cddfdd378fc5c6f4ec711a1a0f
    : end

    SSBCASA(config)# sh ver

    SSBCASA(config)# sh version

    Cisco Adaptive Security Appliance Software Version 8.0(4)
    Device Manager Version 6.2(1)

    Compiled on Thu 07-Aug-08 20:53 by builders
    System image file is "disk0:/asa804-k8.bin"
    Config file at boot was "startup-config"

    SSBCASA up 38 mins 30 secs

    Hardware: ASA5505, 256 MB RAM, CPU Geode 500 MHz
    Internal ATA Compact Flash, 128MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB

    Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
    Boot microcode : CN1000-MC-BOOT-2.00
    SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
    IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05
    0: Int: Internal-Data0/0 : address is 0022.90b5.1d4c, irq 11
    1: Ext: Ethernet0/0 : address is 0022.90b5.1d44, irq 255
    2: Ext: Ethernet0/1 : address is 0022.90b5.1d45, irq 255
    3: Ext: Ethernet0/2 : address is 0022.90b5.1d46, irq 255
    4: Ext: Ethernet0/3 : address is 0022.90b5.1d47, irq 255
    5: Ext: Ethernet0/4 : address is 0022.90b5.1d48, irq 255
    6: Ext: Ethernet0/5 : address is 0022.90b5.1d49, irq 255
    <--- More --->

    7: Ext: Ethernet0/6 : address is 0022.90b5.1d4a, irq 255
    8: Ext: Ethernet0/7 : address is 0022.90b5.1d4b, irq 255
    9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
    10: Int: Not used : irq 255
    11: Int: Not used : irq 255

    Licensed features for this platform:
    Maximum Physical Interfaces : 8
    VLANs : 20, DMZ Unrestricted
    Inside Hosts : Unlimited
    Failover : Active/Standby
    VPN-DES : Enabled
    VPN-3DES-AES : Enabled
    VPN Peers : 25
    WebVPN Peers : 2
    Dual ISPs : Enabled
    VLAN Trunk Ports : 8
    AnyConnect for Mobile : Disabled
    AnyConnect for Linksys phone : Disabled
    Advanced Endpoint Assessment : Disabled
    UC Proxy Sessions : 2

    This platform has an ASA 5505 Security Plus license.

    <--- More --->

    Serial Number: JMX1237Z1X8
    Running Activation Key: 0x8431d55e 0xec9a0e69 0xa893e548 0xa324f47c 0x483716ad
    Configuration register is 0x1
    Configuration last modified by enable_15 at 15:32:21.419 UTC Thu May 28 2009

    SSBCASA(config)# sh fla

    SSBCASA(config)# sh flash:
    --#-- --length-- -----date/time------ path
    100 14137344 May 28 2009 14:55:48 asa804-k8.bin
    101 11348300 May 28 2009 14:56:28 asdm-621.bin
    62 4096 May 28 2009 14:57:30 log
    66 4096 May 28 2009 14:57:47 crypto_archive

    127111168 bytes total (101302272 bytes free)

    SSBCASA(config)#

    SSBCASA(config)#

    SSBCASA(config)#

    SSBCASA(config)# wr mem
    Building configuration...
    Cryptochecksum: a99be2cd dfdd378f c5c6f4ec 711a1a0f

    3631 bytes copied in 1.160 secs (3631 bytes/sec)
    [OK]

    SSBCASA(config)#

    SSBCASA(config)#

    SSBCASA(config)# sh cry

    SSBCASA(config)# sh crypto isa

    SSBCASA(config)# sh crypto isakmp sa

    SSBCASA(config)# sh crypto isakmp sa

    Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1 IKE Peer: 196.219.220.50
    Type : L2L Role : initiator
    Rekey : no State : MM_ACTIVE

    SSBCASA(config)#

    SSBCASA(config)#

    SSBCASA(config)# sh cry

    SSBCASA(config)# sh crypto ips

    SSBCASA(config)# sh crypto ipsec sa

    SSBCASA(config)# sh crypto ipsec sa
    interface: Outside
    Crypto map tag: Outside_map, seq num: 1, local addr: 196.202.88.122

    access-list Outside_1_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
    current_peer: 196.219.220.50

    #pkts encaps: 682, #pkts encrypt: 682, #pkts digest: 682
    #pkts decaps: 768, #pkts decrypt: 768, #pkts verify: 768
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 682, #pkts comp failed: 0, #pkts decomp failed: 0
    #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    #send errors: 0, #recv errors: 0

    local crypto endpt.: 196.202.88.122, remote crypto endpt.: 196.219.220.50

    path mtu 1500, ipsec overhead 58, media mtu 1500
    current outbound spi: 4BDDC5CF

    inbound esp sas:
    spi: 0xE07F8762 (3766454114)
    transform: esp-3des esp-md5-hmac no compression
    in use settings ={L2L, Tunnel, }
    <--- More --->

    slot: 0, conn_id: 512000, crypto-map: Outside_map
    sa timing: remaining key lifetime (kB/sec): (3914957/27827)
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap:
    0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
    spi: 0x4BDDC5CF (1272825295)
    transform: esp-3des esp-md5-hmac no compression
    in use settings ={L2L, Tunnel, }
    slot: 0, conn_id: 512000, crypto-map: Outside_map
    sa timing: remaining key lifetime (kB/sec): (3914964/27827)
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap:
    0x00000000 0x00000001



    CCNA certified

  6. #6
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    access-list Inbound extended permit tcp any host 196.202.88.125 eq 3389

    access-group Inbound in interface Outside

    static (Inside,Outside) 196.202.88.125 192.168.2.30 netmask 255.255.255.255

    الأوامر دول بيسمحوا لأي شخص من outside أنه يعمل access للسيرفر 192.168.2.30على TCP 3389
    فيه NAT والأشخاص الموجودين في outside بيشوفوا السيرفر على أنه 196.202.88.125 و ASA بيحول IP Address من196.202.88.125إلى192.168.2.30وبالعكس (ثنائي الإتجاه)
    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    crypto map Outside_map 1 match address Outside_1_cryptomap

    أي ترافيك بين 192.168.1.0و 192.168.2.0 حيكون encrypted و ASA لما يشوف ترافيك بين 2 subnets حيقوم بإعداد وتهيئة VPN tunnel مع الطرف الثاني
    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    global (Outside) 1 interface

    nat (Inside) 1 192.168.2.0 255.255.255.0
    الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122
    كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122

    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN
    يعني الشرط الموجود في
    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    مش حيتحقق و VPN ما حيشتغل

    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    الحل هو nat exemption
    access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    nat (Inside) 0 access-list Inside_nat0_outbound

    هنا بنقول ل ASA أنه فقط أي ترافيك من 192.168.2.0 ل 192.168.1.0 ما حيكون Pat وحيطلع بدون أي تغيير من ASA

    ------------------


    هذا بالنسبة ل site 2 ونفس الفكرة ل site 1

  7. #7
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    اقتباس المشاركة الأصلية كتبت بواسطة minimax مشاهدة المشاركة


    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    global (Outside) 1 interface

    nat (Inside) 1 192.168.2.0 255.255.255.0
    الأمرين دول بيسمحوا للإشخاص الموجودين في subnet 192.168.2.0أنهم يطلعوا للإنترنت عن طريق PAT وحيستخدموا IP Address تبع Outside interface196.202.88.122
    كل شيء تمام ولكن VPN ما حيشتغل لأنه كل الترافيك الطالع من 192.168.2.0حيكون pat وحيتغير IP address مثلا من 192.168.2.214 إلى 196.202.88.122

    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    وحسب order of operations الموجود في ASA -- دايما NAT أو PAT يشتغل قبل VPN
    يعني الشرط الموجود في
    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    مش حيتحقق و VPN ما حيشتغل



    جزاكم الله خيرا أخي الحبيب بس ال VPN شغال فعلا
    وعندي سؤال كمان لو في ترافك جاي من 192.168.1.0 رايح ل 192.168.2.0 هيبقى باين ايه أقصد هياخد IP من أي Range ?
    CCNA certified

  8. #8
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    اهلين أخي فؤاد

    الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل

    access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    nat (Inside) 0 access-list Inside_nat0_outbound

    ولكنهم موجودين في site 2, عشان كدا vpn شغال

    ونفس القصة مع site 1

    access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
    nat (Inside) 0 access-list Inside_nat0_outbound


    الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0

  9. #9
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    اقتباس المشاركة الأصلية كتبت بواسطة minimax مشاهدة المشاركة
    اهلين أخي فؤاد

    الحمد لله أنه إشتغل بس أنا كنت بأشرح نقطة وهي أنه لو الأمرين دول , مش موجودين , يبقى VPN مش حيشتغل

    access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    nat (Inside) 0 access-list Inside_nat0_outbound

    ولكنهم موجودين في site 2, عشان كدا vpn شغال

    ونفس القصة مع site 1

    access-list Inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
    nat (Inside) 0 access-list Inside_nat0_outbound


    الترافيك من 192.168.1.0 ورايح ل 192.168.2.0 مش حيتغير وحيكون طالع ب IP address من subnet 192.168.1.0
    بارك الله فيك أخي الحبيب بس لو ممكن تشرح الجملتين دول بشيء من التفصيل
    وجزاك الله كل خير
    CCNA certified

  10. #10
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    طيب , خلينا نفترض أنه في ترافيك رايح من site 2 إلى site 1

    من 192.168.2.55 إلى 192.168.1.44

    لو الأمرين دول مش موجودين

    access-list Inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

    nat (Inside) 0 access-list Inside_nat0_outbound

    pat حيشتغل وحيغير source ip address

    يعني بدل
    192.168.2.55 --> 192.168.1.44

    حتكون
    196.202.88.122 --> 192.168.1.44

    vpn مش حيشتغل لأنه ASA كان متوقع ip address في subnet 192.168.2.0
    والترافيك حيحصلوه drop لأنه private ip address 192.168.1.44


    لو الأمرين دول كانوا موجودين , vpn حيشتغل لأنه مش حيحصل تغيير ل source ip address
    وحتكون 192.168.2.55 --> 192.168.1.44

  11. #11
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    بارك الله فيك أخي الحبيب وزادك الله من علمه بس بالنسبة للجمل دي
    global (Outside) 1 interface
    global (DMZ) 1 interface
    nat (Inside) 0 access-list Inside_nat0_outbound
    nat (Inside) 1 192.168.1.0 255.255.255.0
    static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255
    static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
    static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255
    access-group Inbound in interface Outside

    الي هي في ال Site الأول ممكن تشرحهالي اذا سمحت وجزاك الله كل خير
    CCNA certified

  12. #12
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    static (DMZ,Outside) 196.219.220.53 10.10.10.2 netmask 255.255.255.255

    إنت عندك سيرفر في DMZ و IP تبعه هو 10.10.10.2 , أي مستخدم إنترنت مش حيقدر يوصل للسيرفر على IP 10.10.10.2 لأنه private ip address عشان كدا لازم نعمل static nat ونغير ip address ل 192.219.220.53

    كدا إنت ممكن توصل للسيرفر عن طريق الإنترنت من خلال 192.219.220.53 و ASA حيغير ip ل 10.10.10.2


    static (DMZ,Outside) 196.219.220.52 10.10.10.3 netmask 255.255.255.255
    static (Inside,Outside) 196.219.220.51 192.168.1.2 netmask 255.255.255.255

    نفس القصة, عندك سيرفرين , واحد في DMZ وواحد في inside و حتوصلهم من الإنترنت عن طريق public ip address
    10.10.10.3 حيتغير ل 196.219.220.52 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر
    192.168.1.2 حيتغير ل 196.219.220.51 وبالعكس لأنه ASA يقوم بعملية التغيير إذا كان في ترافيك رايح أو جاي للسيرفر

    global (Outside) 1 interface
    global (DMZ) 1 interface
    nat (Inside) 1 192.168.1.0 255.255.255.0

    هنا أي ترافيك طالع منinside ورايح ل outside أو DMZ حيتغير source ip address ل ip الموجود على interface يعني حتصل عملية PAT

    مثلا لو واحد رايح للإنترنت و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 196.219.220.50

    و واحد رايح ل DMZ و ip تبعه هو 192.168.1.88 حيتغير ip تبعه ل 10.10.10.1
    يعني لو رايح للسيرفر 10.10.10.2

    192.168.1.88 --> 10.10.10.2

    حيتغير ل 10.10.10.1 --> 10.10.10.2

    لو في أكتر من مستخدم حيروحوا ل 10.10.10.2 , كلهم ips تبعتهم كلها حتتغير ل 10.10.10.1 ولكن حيختلف source port


    access-list Inbound extended permit tcp any host 196.219.220.53 eq www
    access-list Inbound extended permit tcp any host 196.219.220.53 eq https
    access-list Inbound extended permit tcp any host 196.219.220.53 eq 3389
    access-list Inbound extended permit tcp any host 196.219.220.53 eq ftp
    access-list Inbound extended permit tcp any host 196.219.220.52 eq pop3
    access-list Inbound extended permit tcp any host 196.219.220.52 eq smtp
    access-list Inbound extended permit tcp any host 196.219.220.52 eq 3389
    access-list Inbound extended permit tcp any host 196.219.220.51 eq 3389

    دي access list بتسمح للأنترنت users أنهم يوصلوا للسرفرات في DMZ و inside


    access-group Inbound in interface Outside
    هنا بنربط access-list على outside interface في inbound direction عن طريق كلمة in

    in معناها inbound
    inbound هو إسم access-list

    nat (Inside) 0 access-list Inside_nat0_outbound

    تم شرحها سابقا

  13. #13
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    كساك ربي حرير الجنان أخي الحبي لا أعلم ماذا أقول بارك الله فيك بالنسبة بقى للجمل دي ؟؟crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000crypto map Outside_map 1 match address Outside_1_cryptomapcrypto map Outside_map 1 set peer 196.219.220.50 crypto map Outside_map 1 set transform-set ESP-3DES-MD5crypto map Outside_map 1 set security-association lifetime seconds 28800crypto map Outside_map 1 set security-association lifetime kilobytes 4608000crypto map Outside_map interface Outsidecrypto isakmp enable Outsidecrypto isakmp policy 10مهمتها ايه ؟؟؟ وهل لازم يكون في تطابق بينها وبين نفس الجمل اللي ع السايت التاني ؟؟
    CCNA certified

  14. #14
    عضو الصورة الرمزية minimax
    تاريخ التسجيل
    Mar 2004
    المشاركات
    436
    معدل تقييم المستوى
    14

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn

    بسم الله الرحمن الرحيم

    الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
    الفكرة والمفهوم واحد بس الأوامر تختلف قليلا

    لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
    مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set

    VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN

    ------------------------------------------------------------------------------------------------------------------------
    نبدأ بإعدادت ISAKMP
    crypto isakmp enable Outside
    هذا الأمر يقوم بتفعيل isakmp على outside interface

    crypto isakmp policy 10
    هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها

    ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر

    ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)

    طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به

    authentication pre-share
    encryption 3des
    hash md5
    group 2

    دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف

    - authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
    - نوع encryption وهل هو DES أو AES H أو 3DES
    - نوع Hashing وهل هو MD5 أو SHA
    - نوع DH group وهل هي 2 أو 5 أو 7 أو 1

    tunnel-group 196.219.220.50 type ipsec-l2l
    هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50

    tunnel-group 196.219.220.50 ipsec-attributes
    pre-shared-key test123
    ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
    ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها

    ------------------------------------------------------------------------------------------------------------------------

    أعدادات IPSEC

    crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

    هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
    هنا إستخدمنا 3des و MD5

    crypto map Outside_map 1 set transform-set ESP-3DES-MD5
    هنا بنربط transform set مع crypto map إللي إسمها Outside_map

    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    crypto map Outside_map 1 match address Outside_1_cryptomap

    هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map

    crypto map Outside_map 1 set peer 196.219.220.50
    هنا بنحدد ip تبع الموقع الآخر


    crypto map Outside_map interface Outside
    هنا بنربط cyrpto map على outside interface

    --------------------------------------------------------------------
    crypto map Outside_map 1 match address Outside_1_cryptomap
    crypto map Outside_map 1 set peer 196.219.220.50
    crypto map Outside_map 1 set transform-set ESP-3DES-MD5

    مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
    هنا إستخدمنا رقم 1 ل crypto map
    ---------------------------------------------------------------

    هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA

    يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
    وممكن تحدده عن طريق الوقتseconds 28800

    هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو

    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000

    خاصة ب crypto map معينة
    crypto map Outside_map 1 set security-association lifetime seconds 28800
    crypto map Outside_map 1 set security-association lifetime kilobytes 4608000

    بالتوفيق يا أخي الكريم
    CCIE Security #25719, CCNA Voice

  15. #15
    عضو الصورة الرمزية Foadd
    تاريخ التسجيل
    May 2008
    المشاركات
    868
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: مشكلة مع ASA 5500 في عمب site-to-site vpn



    اقتباس المشاركة الأصلية كتبت بواسطة minimax مشاهدة المشاركة
    بسم الله الرحمن الرحيم

    الجمل دي هي الأوامر الخاصة بإعدادات VPN وإذا لاحظت يا أخي فؤاد بأنه الأوامر مشابهة تقريبا للأوامر VPN الموجودة على routers.
    الفكرة والمفهوم واحد بس الأوامر تختلف قليلا

    لازم يكوم في تطابق في إعدادات policies الخاصة ب VPN بين 2 sites وإلا VPN مش حيشتغل
    مثلا, لازم يتفقوا على نوع encryption و hashing و authentication و transform set

    VPN بيتكون من مرحلتين هما ISAKMP و IPSEC ولكل واحدة منهما إعداداتها الخاصة ب VPN

    ------------------------------------------------------------------------------------------------------------------------
    نبدأ بإعدادت ISAKMP
    crypto isakmp enable Outside
    هذا الأمر يقوم بتفعيل isakmp على outside interface

    crypto isakmp policy 10
    هنا نقوم بتعريف isakmp policy وبتعطيها رقم. ممكن يكون عندك أكثر من isakmp policy ولكل واحدة منها رقم خاص بها وإعدادات خاصة بها

    ASA حيمر على كل isakmp policies المتعرفين في ASA لغاية ما يلاقي policy مشابهة ل policy المتعرفة في ASA أو الرواتر الموجود في الموقع الآخر

    ASA بيمر على policies بالترتيب من أصغر رقم ل أكبر رقم (تصاعديا) (رقم 1 لها priority أعلى من رقم 10)

    طبعا لازم يكون عندك أكثر من ISAKMP policy إذا كان متوصل على ASA أكثر من شركة أو موقع وكل واحد منهم له إعداداته الخاصة به

    authentication pre-share
    encryption 3des
    hash md5
    group 2

    دي إعدادات ISAKNP policy وتكتب داخل policy حيث تقوم بتعريف

    - authentication وهل هو يستخدم Certificats أو PSK رقم سري مشترك بين 2 sites
    - نوع encryption وهل هو DES أو AES H أو 3DES
    - نوع Hashing وهل هو MD5 أو SHA
    - نوع DH group وهل هي 2 أو 5 أو 7 أو 1

    tunnel-group 196.219.220.50 type ipsec-l2l
    هنا حنعمل VPN tunnel نوعه l2l lan 2 lan مع الموقع الآخر إللي ip تبعه هو 196.216.220.50

    tunnel-group 196.219.220.50 ipsec-attributes
    pre-shared-key test123
    ولازم الموقع التاني يستخدم pre-shared-key إللي هو test123
    ملاحظة - ASA بيغير الباسورد ل * بعد ما بتكتبها

    ------------------------------------------------------------------------------------------------------------------------

    أعدادات IPSEC

    crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

    هنا بنعرف في Transform set نوع Encryption و hashing المستخدمان لحماية الترافيك
    هنا إستخدمنا 3des و MD5

    crypto map Outside_map 1 set transform-set ESP-3DES-MD5
    هنا بنربط transform set مع crypto map إللي إسمها Outside_map

    access-list Outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
    crypto map Outside_map 1 match address Outside_1_cryptomap

    هنا حددنا نوع الترافيك الخاص ب VPN عن طريقAccess control list وربطناه ب Crypto map

    crypto map Outside_map 1 set peer 196.219.220.50
    هنا بنحدد ip تبع الموقع الآخر


    crypto map Outside_map interface Outside
    هنا بنربط cyrpto map على outside interface

    --------------------------------------------------------------------
    crypto map Outside_map 1 match address Outside_1_cryptomap
    crypto map Outside_map 1 set peer 196.219.220.50
    crypto map Outside_map 1 set transform-set ESP-3DES-MD5

    مثل ISAKMP Policy, ممكن تعرف أكثر من crypto map وتعطيهم أرقام إذا عندك أكثر من موقع أو شركة
    هنا إستخدمنا رقم 1 ل crypto map
    ---------------------------------------------------------------

    هنا بنحدد نوع lifetime تبع SA ويكون عن طريق حجم الترافيك إللي مر أو كمية الوقت إللي مرت منذ إنشاء SA

    يعني لو حجم الترافيك المشفر إللي تم إرساله وصل kilobytes 4608000 , حيقوم ASA بتجديد SA
    وممكن تحدده عن طريق الوقتseconds 28800

    هذه الإعدادات ممكن تكون عامة لكل Crypto maps أو

    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000

    خاصة ب crypto map معينة
    crypto map Outside_map 1 set security-association lifetime seconds 28800
    crypto map Outside_map 1 set security-association lifetime kilobytes 4608000

    بالتوفيق يا أخي الكريم
    أخي الكريم
    جزاك الله كل خير وزادك من علمه وبارك لك فيه

    CCNA certified

المواضيع المتشابهه

  1. lمساعده عمل لاب VPN site to site بواسطه برنامجي GNS3 and SDM
    بواسطة love_cisco في المنتدى الأرشيف
    مشاركات: 0
    آخر مشاركة: 25-02-2013, 11:18
  2. كيف ممكن عمل site to site vpn برواتر سيسكو 2800 ؟؟
    بواسطة barka في المنتدى الأرشيف
    مشاركات: 1
    آخر مشاركة: 01-06-2012, 04:42
  3. عاجل جدا المطلوب تصميم شبكة cisco voice site to site
    بواسطة haithem230 في المنتدى الأرشيف
    مشاركات: 2
    آخر مشاركة: 22-08-2010, 14:24
  4. ياريت من عملاقة عرب هاردوير شرح فيديو لى Creating a Site to Site VPN using ISA 2006
    بواسطة ahmedscondo في المنتدى منتدى الشهادات العام
    مشاركات: 2
    آخر مشاركة: 19-01-2010, 11:05
  5. مساعده بخصوص vpn site to site isa 2006
    بواسطة ahmedscondo في المنتدى منتدى الشهادات العام
    مشاركات: 2
    آخر مشاركة: 12-01-2010, 07:56

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •