Ik zit met een probleem waar ik al uren mee bezig ben, maar ik kan er maar geen logische verklaring voor vinden.
Situatie:
Remote locatie : Cisco client firewall (verder niet van belang)
Hoofdlocatie: Cisco ASA met 2 internet verbindingen.
De ene internetverbinding is een extended ethernet verbinding:
interface Ethernet0/0
description Backup Internet Extended Ethernet 4mbps
duplex full
nameif External1
security-level 0
ip address 84.x.x.182 255.255.255.252
De hoofdverbinding:
interface Ethernet0/3
description KPN Fiber Connection
nameif KPN
security-level 0
pppoe client vpdn group ROUTIT
ip address pppoe setroute
Jammer genoeg dus via PPPOE
PPPOE config:
PPP virtual interface id = 1
PPP authentication protocol is PAP
Server ip address is 84.x.x.216
Our ip address is 46.x.x.161
Transmitted Pkts: 313949, Received Pkts: 399428, Error Pkts: 0
Over beide verbindingen werkt het internet gewoon normaal
Het probleem is dat als ik een ipsec tunnel opzet naar de backup interface (extended ethernet) het direct werkt, maar als ik dezelfde ipsec tunnel opzet via de hoofdverbinding krijg ik geen ip verkeer over de tunnel terug..
Voor de info nog even de ipsec config
crypto ipsec transform-set Transform01 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map VPN 801 match address 801
crypto map VPN 801 set pfs
crypto map VPN 801 set peer 195.x.x.143
crypto map VPN 801 set transform-set Transform01
crypto map VPN 801 set security-association lifetime seconds 28800
crypto map VPN 801 set reverse-route
crypto map VPN interface KPN
crypto isakmp enable KPN
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
Via beide interfaces komt de tunnel netjes op zonder foutmeldingen.
Dit is de tunnel via de hoofdverbinding:
Crypto map tag: VPN, seq num: 801, local addr: 46.x.x.161
access-list 801 permit ip 10.1.0.0 255.255.0.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (10.1.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 195.x.x.143
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 63, #pkts decrypt: 63, #pkts verify: 63
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 46.x.x.161/4500, remote crypto endpt.: 195.x.x.143/4500
path mtu 1500, ipsec overhead 66, media mtu 1500
current outbound spi: 06CEC675
De reverse-route wijst naar het server adres van de PPPOE verbinding
S 10.2.2.0 255.255.255.0 [1/0] via 84.x.x.216, KPN
De packets gaan wel van de remote locatie naar de ASA, maar komen niet meer terug.
Als ik de crypto map koppel aan de backup verbinding, en ik pas het endpoint adres aan op de client firewall heb ik direct ip verkeer.
Ik heb al geprobeerd om 10.2.2.0 te routeren naar het lokale ip adres op de KPN interface, maar dat werkt ook niet.
Iemand een suggestie?
Situatie:
Remote locatie : Cisco client firewall (verder niet van belang)
Hoofdlocatie: Cisco ASA met 2 internet verbindingen.
De ene internetverbinding is een extended ethernet verbinding:
interface Ethernet0/0
description Backup Internet Extended Ethernet 4mbps
duplex full
nameif External1
security-level 0
ip address 84.x.x.182 255.255.255.252
De hoofdverbinding:
interface Ethernet0/3
description KPN Fiber Connection
nameif KPN
security-level 0
pppoe client vpdn group ROUTIT
ip address pppoe setroute
Jammer genoeg dus via PPPOE
PPPOE config:
PPP virtual interface id = 1
PPP authentication protocol is PAP
Server ip address is 84.x.x.216
Our ip address is 46.x.x.161
Transmitted Pkts: 313949, Received Pkts: 399428, Error Pkts: 0
Over beide verbindingen werkt het internet gewoon normaal
Het probleem is dat als ik een ipsec tunnel opzet naar de backup interface (extended ethernet) het direct werkt, maar als ik dezelfde ipsec tunnel opzet via de hoofdverbinding krijg ik geen ip verkeer over de tunnel terug..
Voor de info nog even de ipsec config
crypto ipsec transform-set Transform01 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map VPN 801 match address 801
crypto map VPN 801 set pfs
crypto map VPN 801 set peer 195.x.x.143
crypto map VPN 801 set transform-set Transform01
crypto map VPN 801 set security-association lifetime seconds 28800
crypto map VPN 801 set reverse-route
crypto map VPN interface KPN
crypto isakmp enable KPN
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600
Via beide interfaces komt de tunnel netjes op zonder foutmeldingen.
Dit is de tunnel via de hoofdverbinding:
Crypto map tag: VPN, seq num: 801, local addr: 46.x.x.161
access-list 801 permit ip 10.1.0.0 255.255.0.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (10.1.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 195.x.x.143
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 63, #pkts decrypt: 63, #pkts verify: 63
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 46.x.x.161/4500, remote crypto endpt.: 195.x.x.143/4500
path mtu 1500, ipsec overhead 66, media mtu 1500
current outbound spi: 06CEC675
De reverse-route wijst naar het server adres van de PPPOE verbinding
S 10.2.2.0 255.255.255.0 [1/0] via 84.x.x.216, KPN
De packets gaan wel van de remote locatie naar de ASA, maar komen niet meer terug.
Als ik de crypto map koppel aan de backup verbinding, en ik pas het endpoint adres aan op de client firewall heb ik direct ip verkeer.
Ik heb al geprobeerd om 10.2.2.0 te routeren naar het lokale ip adres op de KPN interface, maar dat werkt ook niet.
Iemand een suggestie?
Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)
