Chào bạn,

Bạn có thể up cấu hình lên để dễ dàng hỗ trợ cho bạn được không?

Dear Admin

cấu hình của mình nè!!!

HCM

route Outside 0.0.0.0 0.0.0.0 113.160.183.131


object-group network HCM
network-object 172.10.10.0 255.255.255.0
network-object 118.69.68.63 255.255.255.255
object-group network TH
network-object 172.10.11.0 255.255.255.0
network-object 113.160.183.131 255.255.255.0
access-list full extended permit ip any any
access-group full in interface Inside
access-group full in interface Outside


access-list HCM_TH_list extended permit ip object-group HCM object-group TH
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set VPN_set esp-aes esp-sha-hmac
crypto map HCM_map 10 match address HCM_TH_list
crypto map HCM_map 10 set peer 113.160.183.131
crypto map HCM_map 10 set transform-set VPN_set
crypto map HCM_map interface Outside
crypto isakmp enable Outside
crypto isakmp nat-traversal
sysopt connection permit-vpn

tunnel-group vpn_Tunnel type ipsec-l2l
tunnel-group vpn_Tunnel ipsec-attributes
pre-shared-key ctg1234




Thanh Hoa

route Outside 0.0.0.0 0.0.0.0 118.69.68.63


object-group network HCM
network-object 172.10.10.0 255.255.255.0
network-object 118.69.68.63 255.255.255.255
object-group network TH
network-object 172.10.11.0 255.255.255.0
network-object 113.160.183.131 255.255.255.0
access-list full extended permit ip any any
access-group full in interface Inside
access-group full in interface Outside


access-list TH_HCM_list extended permit ip object-group TH object-group HCM
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set VPN_set esp-aes esp-sha-hmac
crypto map TH_map 10 match address TH_HCM_list
crypto map TH_map 10 set peer 118.69.68.63

crypto map TH_map 10 set transform-set VPN_set
crypto map TH_map interface Outside
crypto isakmp enable Outside
crypto isakmp nat-traversal
sysopt connection permit-vpn

tunnel-group vpn_Tunnel type ipsec-l2l
tunnel-group vpn_Tunnel ipsec-attributes
pre-shared-key ctg1234

trên cái router thanh hóa bao lỗi dòng này " OK]
THCTG(config-tunnel-ipsec)# tunnel-group vpn_Tunnel type ipsec-l2l
^
ERROR: % Invalid input detected at '^' marker.

Chào bạn,

Trong kết nối L2L, tên tunnel-group (trong cấu hình bạn đặt là vpn_Tunnel ) thì phải là IP của IPSec peer nhé.

Hi Bạn LAMVANTU

Không hiểu sao vẫn không chạy dược bạn ơi!!!

tunnel-group 172.10.11.254 type ipsec-l2l
tunnel-group 172.10.11.254 ipsec-attributes

nó cứ báo lỗi hai dòng này! không biết là do version hay bị gì nữa!!

ip wan của chi nhánh bên kia

tunnel-group 118.69.68.63 type ipsec-l2l
tunnel-group 118.69.68.63 ipsec-attributes

Trong kết nối L2L, tên tunnel-group (trong cấu hình bạn đặt là vpn_Tunnel ) thì phải là IP của IPSec peer nhé.

Anh nào có cấu hình hoàn chỉnh cho mình xin với!!!

Chào bạn, bạn vẽ lại cái mo hình đơn giản,ghi chi tiết IP ra nhé. IP chi tiết in,outside của 2 con ASA đó.

Thank bạn.

Sơ đồ của mình đây bạn Tú xem giúp mình với!!!

Chào tieudongta, bạn chú ý là IP wan của remote Site nhé.

Ví dụ:

Bên HCM
113.160.183.131--> IP wan peer (IP wan của con THANHHOA)

Bên THANH HOA:
118.69.68.6--> IP wan peer (IP wan của con HCM)

Thanks Bạn Tú

Mình cũng làm đúng như vậy mà nó vẫn không chay được, thậm chí xóa hết làm lại không báo lỗi gì cả vẫn không chạy được.

HCM

route Outside 0.0.0.0 0.0.0.0 113.160.183.131


object-group network HCM
network-object 172.10.10.0 255.255.255.0
network-object 118.69.68.64 255.255.255.255
object-group network TH
network-object 172.10.11.0 255.255.255.0
network-object 113.160.183.131 255.255.255.0
access-list full extended permit ip any any
access-group full in interface Inside
access-group full in interface Outside


access-list HCM_TH_list extended permit ip object-group HCM object-group TH
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set VPN_set esp-aes esp-sha-hmac
crypto map HCM_map 10 match address HCM_TH_list
crypto map HCM_map 10 set peer 113.160.183.131
crypto map HCM_map 10 set transform-set VPN_set
crypto map HCM_map interface Outside
crypto isakmp enable Outside
crypto isakmp nat-traversal
sysopt connection permit-vpn

tunnel-group 113.160.183.131 type ipsec-l2l
tunnel-group 113.160.183.131 ipsec-attributes
pre-shared-key ctg1234

Thanh Hoa

route Outside 0.0.0.0 0.0.0.0 118.69.68.6


object-group network HCM
network-object 172.10.10.0 255.255.255.0
network-object 118.69.68.63 255.255.255.255
object-group network TH
network-object 172.10.11.0 255.255.255.0
network-object 113.160.183.131 255.255.255.0
access-list full extended permit ip any any
access-group full in interface Inside
access-group full in interface Outside


access-list TH_HCM_list extended permit ip object-group TH object-group HCM
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set VPN_set esp-aes esp-sha-hmac
crypto map TH_map 10 match address TH_HCM_list
crypto map TH_map 10 set peer 118.69.68.6

crypto map TH_map 10 set transform-set VPN_set
crypto map TH_map interface Outside
crypto isakmp enable Outside
crypto isakmp nat-traversal
sysopt connection permit-vpn

tunnel-group 118.69.68.6 type ipsec-l2l
tunnel-group 118.69.68.6 ipsec-attributes
pre-shared-key ctg1234

Hi tieudongta,

Để kiểm tra hoạt động VPN tại pha 1: dùng lệnh sh crypto sa detail

Để kiểm tra hoạt động VPN tại pha 2: dùng lệnh sh crypto ipsec sa

Để đường hầm VPN hoạt động sau khi cấu hình phải có traffic chạy qua 2 điểm đầu cuối, nên ping thử LAN--(VPN)---LAN để tạo traffic.