требуется помощь зала
2018-May-30, Wednesday 14:23![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ypqпосле вчерашнего.
взял еще одну ASA-5506 со склада. потому что было подозрение на глючность первой. залил конфиг 1:1 - тип соединения сразу же стал L2L. но нет, дело было не в конкретном экземпляре. просто ИНОГДА L2L поднимается сразу и держится долго. а иногда циклит на типе "user". расследование показало, что не коннектится, когда инициатор - новая ASA. L2L - когда инициатор центральная.
сделал даунгрейд прошивки. с 9.8(2) на 9.6(1). не помогло.
удалил конфиг вообще, залил ровно то, что написано у CISCO на странице LAN-to-LAN IPsec VPNs. (ну еще имена-пароли, но они отношения к проблеме не имеют.) не помогло!
итого. сейчас я пингую изнутри наружу, вижу в sh conn такую строчку:
ICMP outside 192.168.1.111:0 inside 192.168.99.41:8791, idle 0:00:00, bytes 51296, flags
пингую снаружи хост внутри, вижу:
ICMP outside 192.168.1.111:47031 inside 192.168.99.41:0, idle 0:00:00, bytes 6624, flags
если пинговать несуществующий хост, я tcpdump'ом вижу внутри арп-запросы от АСА.
как я понимаю, до ASA пинги доходят, и внутрь должны проходить. но не проходят.
в другом месте у cisco сказано, что надо еще nat прописывать. прописывал - не помогает.
всё, я в тупике.
взял еще одну ASA-5506 со склада. потому что было подозрение на глючность первой. залил конфиг 1:1 - тип соединения сразу же стал L2L. но нет, дело было не в конкретном экземпляре. просто ИНОГДА L2L поднимается сразу и держится долго. а иногда циклит на типе "user". расследование показало, что не коннектится, когда инициатор - новая ASA. L2L - когда инициатор центральная.
сделал даунгрейд прошивки. с 9.8(2) на 9.6(1). не помогло.
удалил конфиг вообще, залил ровно то, что написано у CISCO на странице LAN-to-LAN IPsec VPNs. (ну еще имена-пароли, но они отношения к проблеме не имеют.) не помогло!
итого. сейчас я пингую изнутри наружу, вижу в sh conn такую строчку:
ICMP outside 192.168.1.111:0 inside 192.168.99.41:8791, idle 0:00:00, bytes 51296, flags
пингую снаружи хост внутри, вижу:
ICMP outside 192.168.1.111:47031 inside 192.168.99.41:0, idle 0:00:00, bytes 6624, flags
если пинговать несуществующий хост, я tcpdump'ом вижу внутри арп-запросы от АСА.
как я понимаю, до ASA пинги доходят, и внутрь должны проходить. но не проходят.
в другом месте у cisco сказано, что надо еще nat прописывать. прописывал - не помогает.
всё, я в тупике.
