web-dev-qa-db-ja.com

Cisco ASA 5510 <-> Sonicwall Pro2040-IPSecが半分機能している

わかりました...私は本当に奇妙なIPSecの問題を抱えています(少なくとも私には奇妙です:-))。 Sonicwall Pro2040をASA5510に接続しています。トラフィックがネットワークのSonicwall側から開始された場合、正常に動作します...ただし、ASA側から発信された場合は、サイコロはありません。たとえば、ソニックウォールのPC-Aからのicmpエコーは、ASAのPC-Bによって受信されます。 PC-Bはicmp応答で応答し、PC-Aはそれを受信します。 PC-Bがエコー要求をPC-Aに送信する場合、IPSecトンネルを通過することはありません(ネットワーク上でESPトラフィックが生成されていないことで確認されます)。 PC-Bのwiresharkは、icmpエコー要求のまったく同じソースIPとMAC​​をicmpエコー応答として表示します...この動作の原因について何か考えはありますか? :(

追記:ASAのisakmpをクリアし、PC-BからPC-Aにpingを実行しようとしても、トンネルを起動しようとはしません...このトラフィックが宛先であることに気付いていないようです。返信を返送しても、sonicwallネットワークは正常に機能します。

別の注意:IPsecトンネルとまったく同じACLを使用してASAでパケットキャプチャを実行し、PC-Bからのicmp要求パケットと一致しました...したがって、何らかの理由で、トンネルを介してパケットを送信しようとはしていません。一致します。

1
Dan

ああ...どうやら私は内部インターフェースでヘアピニングしていて(リモートサイトに出荷する前にテストしていた)、デフォルトルートは外部インターフェースから出ていたので、VPNトラフィックをルーティングするためにそこに静的ルートを配置する必要がありました内部インターフェイスに送信すると、トンネルを介して送信されます。パケットトレーサーを使用していて、フローについて言及しているときにこれに気づきました...インバウンドのVPN接続によって作成されたフローが静的ルートよりも優先される可能性があると思います...知っておくと便利です:-)

1
Dan