↑ Retornar para Problemas do mundo real

VPN IPsec site-to-site ASA X Check-Point

Home Fórum Problemas do mundo real VPN IPsec site-to-site ASA X Check-Point

Este tópico contém 7 respostas, possui 6 vozes e foi atualizado pela última vez por  vcaixeta 3 anos, 9 meses atrás.

Visualizando 8 posts - 1 até 8 (de 8 do total)
  • Autor
    Posts
  • #187945

    Saulo
    Participante

    Pessoa boa noite.

    Estou com enfrentando problemas para fechar VPN site-to-site entre o meu ASA 5512 com Check Point do fornecedor. O que acontece é a fase 1 e a fase 2 completa normalmente, porém quando eu emito o comandoshow crypto ipsec sa peer 187.32.5.130, ele mostra nenhum tráfego criptografado/encapsulado apenas pacotes descriptografado/desencapsulado, conforme abaixo:

    Fw-ASA# show crypto ipsec sa peer 187.32.5.130
    peer address: 187.32.5.130
    Crypto map tag: outside2_map, seq num: 2, local addr: 200.199.228.146

    access-list VPN-CELG extended permit ip 172.30.70.0 255.255.255.0 172.17.230.0 255.255.255.0
    local ident (addr/mask/prot/port): (172.30.70.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (172.17.230.0/255.255.255.0/0/0)
    current_peer: 187.32.5.130

    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 192, #pkts decrypt: 192, #pkts verify: 192

    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
    #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
    #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
    #TFC rcvd: 0, #TFC sent: 0
    #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
    #send errors: 0, #recv errors: 0

    local crypto endpt.: 200.199.228.146/0, remote crypto endpt.: 187.32.5.130/0
    path mtu 1500, ipsec overhead 58(36), media mtu 1500
    PMTU time remaining (sec): 0, DF policy: copy-df
    ICMP error validation: disabled, TFC packets: disabled
    current outbound spi: 26D75ADF
    current inbound spi : 3C990446

    inbound esp sas:
    spi: 0x3C990446 (1016661062)
    transform: esp-3des esp-sha-hmac no compression
    in use settings ={L2L, Tunnel, PFS Group 2, IKEv1, }
    slot: 0, conn_id: 48914432, crypto-map: outside2_map
    sa timing: remaining key lifetime (kB/sec): (4373988/2643)
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap:
    0xFFFFFFFF 0xFFFFFFFF
    outbound esp sas:
    spi: 0x26D75ADF (651647711)
    transform: esp-3des esp-sha-hmac no compression
    in use settings ={L2L, Tunnel, PFS Group 2, IKEv1, }
    slot: 0, conn_id: 48914432, crypto-map: outside2_map
    sa timing: remaining key lifetime (kB/sec): (4374000/2643)
    IV size: 8 bytes
    replay detection support: Y
    Anti replay bitmap:
    0x00000000 0x00000001

    2 IKE Peer: 187.32.5.130
    Type : L2L Role : responder
    Rekey : no State : MM_ACTIVE

    2 IKE Peer: 187.32.5.130
    Type : L2L Role : responder
    Rekey : no State : MM_ACTIVE
    Encrypt : 3des Hash : SHA
    Auth : preshared Lifetime: 86400
    Lifetime Remaining: 85358

    Em anexo, estou enviado o configuração que está no meu lado (ASA 5512), mais o print da configuração do check point. Se alguém puder informar o motivo desse problema e me ajudar eu agradeço.

    0

    0
    Anexos:
    You must be logged in to view attached files.
    #187948

    zekkerj
    Participante

    Vc lembrou de colocar rota no seu ASA jogando a rede 172.17.230.0/24 pra passar pela VPN?

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #187950

    Saulo
    Participante

    Sim:

    Fw-ASA # show route 172.17.230.0

    Routing entry is 172.17.230.0 255.255.255.0
    Known via “static”, distance 1, metric 0
    Routing Descriptor Blocks:
    * 200 199 228 145 via outside
    Route metric is 0, traffic share count is 1

    Fw-ASA # show running-config route | i 172.17.230.0
    route outside 172.17.230.0 255.255.255.0 200,199,228,145 1
    outside2 route 172.17.230.0 255.255.255.0 177.53.41.129 2

    0

    0
    #187951

    Saulo
    Participante

    Alguém tem uma idéia do que tem que ser feito? Porque a configuração do ASA está correta.

    0

    0
    #187954

    thiagocella
    Participante

    Vc apontou as rotas para seus respectivos gateways, tente remove-las e veja o resultado:

    no route outside 172.17.230.0 255.255.255.0 200,199,228,145 1
    no route outside2 172.17.230.0 255.255.255.0 177.53.41.129 2

    0

    0
    #187955

    raneto
    Participante

    Stefanio,

    já passei isso diversas vezes, sua ACL tem que ser idêntica a Regra de liberação do Checkpoint.

    Verifique com a Ponta do Checkpoint se foi liberado os dois ranges /24, mesmo que confirme que sim, peça os prints.

    Mes passado fiquei 3 horas em Call, fechando uma vpn idêntica a sua, a outra ponta estava com regras diferentes de minha ACL,
    assim que igualamos as regras tudo funcionou.

    Espero ter ajudado.

    Att,

    0

    0
    #187956

    jorge.ff
    Participante

    Faz um teste desabilitando o pfs na fase 2 , já tive problemas parecidos entre asa x checkpoint .

    Jorge.ff

    0

    0
    #187972

    vcaixeta
    Participante

    A porcaria do CheckPoint faz supernet by default, e ao mesmo tempo aceita qualquer proxy-id enviado. Parece que o ASA ta negociando o proxy-id de outbound mas o de Inbound o CP deve ta fazendo supernet e o ASA dropando. Roda um debug que vc consegue ver o que ta acontecendo e passar mais detalhes.

    Se esse for o caso o CP admin vai ter que editar o user.def e incluir 172.17.230/24 senao ele vai usar, por default, proxy-id 172.17/16

    Esses pau de VPN nao tem como, precisa de debug, roda debug crypto ipsec no asa (seta os filtros!) e tambem vpn debug no CP e abre usando ikeview.

    0

    0
Visualizando 8 posts - 1 até 8 (de 8 do total)

Você deve fazer login para responder a este tópico.