Cisco ASA – avviare manualmente un tunnel VPN

Utilizzando una cisco ASA, è ansible sollevare manualmente un tunnel VPN LAN e SA dal dispositivo, piuttosto che avere uno dei sisthemes che fa parte del traffico VPN per avviare il VPN?

Vorrei evitare di wherer triggersre un ping su uno dei sisthemes in una VPN per avviare la VPN per rendere la risoluzione dei problemi un po 'più veloce.

  • La connessione Strongswan (IKEv2) è stata stabilita, ma nessun traffico di traffico
  • Collegamento del sito VPN azure sul sito con il mio router Cisco (RV350)
  • Cosa posso fare per "stress test" un ASA5505?
  • Come assegnare una port singola in più vlans
  • Una volta collegato a RRAS VPN in Windows 7 non è ansible accedere alle risorse del dominio locale
  • Quale VPN funziona senza un client "installato"?
  • 5 Solutions collect form web for “Cisco ASA – avviare manualmente un tunnel VPN”

    Devi presentare "traffico interessante" all'ASA. Non c'è nessun command che avrebbe portto in su il tunnel senza traffico.

    In OS Cisco ASA7.0 o superiore, è ansible stabilire il tunnel simulando traffico interessante con il command di packet-tracer dei packet-tracer . Ecco un esempio – sostituire gli indirizzi IP dalle tue reti:

     packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80 Source Interface^ | Src IP^ Src Port | | Protocol^ Dst IP^ Dst Port^ 

    È ansible utilizzare l'output del command per aiutare a diagnosticare eventuali problemi per il motivo per cui il traffico non è stato superato correttamente, ma il command stesso stimola veramente la VPN e stabilisce sia l'ISAKMP che IPSec sa.

    Secondo il consiglio di ynguldyn.

    Sul router della serie ISR è ansible testare la VPN avendo il router generare traffico per te, ma non esiste una tale opzione sulla piattaforma ASA.

    Utilizzando 8.4+ abbiamo appena aggiunto un server Meinberg Windows NTP per l'ora di networking all'estremità ricevente del tunnel e aggiunto questo al config ASA remoto:

    ntp server xxx.xxx.xxx.xxx all'interno della fonte preferita

    (where xxx.xxx.xxx.xxx è l'indirizzo IP del server ntp) – che mantiene i nostri tunnel indefinitamente a causa di NTP che genera il diritto di traffico interessante sul telecommand ASA 5505

    ping dentro "indirizzo IP all'altra estremità del tunnel" L'interface interna dovrà essere nel dominio di crittografia.

    Ciò richiede che il command di interface di gestione sia impostato sull'interface interna, come "l'interface di gestione all'interno".

    Diciamo che hai un gruppo di mappe di interface nel tunnel VPN all'altra estremità. Per testare ciascuno di essi fare quanto segue – se si desidera testare come esempio dall'interface di gestione dell'interface dmz dmz ping dmz abcd where abcd si trova all'altra estremità del tunnel end-point.

    Testato su ASA v.8.3 a ASA 8.2.

    A proposito, se si dispone di più mappature di networking nello stesso crypto acl, non utilizzare l'indice di inversione impostato sulla voce della cripta. Ciò può causare problemi con il modo in cui ASA utilizza l'ACL di crittografia per creare nuovi mapping di tunnel.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.