chán thiệt làm hoài hong chạy được!!!

mình dùng lênh này "show crypto isakmp sa detail" nó báo "There are no isakmp sas"

Bạn có thể up cấu hình lên để dễ dàng hỗ trợ cho bạn được không?

bạn xem lại trang hai giúp mình với, mình úp lên qua trời.

Kiểm tra lại tất cả mọi thứ cần thiết, vd như check lại HĐ mua ip tỉnh, ip remote peer phải chính xác, show phase 1, phase 2.
Bạn phải bình tỉnh, mình nghĩ sẽ work thôi.

Firewall cổng Wan kết nối internet hay qua router. Vẽ lại sơ đồ thật chi tiết và chính xác IP wan, lan cổng kết nối ...!

Dear all

Cuối cùng thì cũng đã có kết quả




nhưng không hiểu sao

HCMCTG# ping inside 172.10.11.254 (OK)
HCMCTG#ping 172.10.11.254 (TIMEOUT)

THCTG# sh crypto isakmp sa


Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 118.69.68.63
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE

Thanks All mọi người đã nhiệt tình giúp mình.

Hi bạn,
HCMCTG#ping 172.10.11.254 (TIMEOUT) thì source là IP cổng outside (?-Muốn OK thì cấu hình thêm NAT này nọ nữa), chứ không phải IP inside (172.10.10.254), do đó crypto map acl "vpn" trên ASA HCM không match. Nên đường VPN không UP do đó không ping được.

Hi Ban

Giờ mình muốn cho hai site ping thấy nhau thì mình NAT như thế nào bạn hướng dẫn mình với.

** Với lại mình có vấn đề này nữa khi khơi động lại ASA thì VPN mất kết nối, không hiểu tại sao?.

Hi,

Bạn gửi cấu hình ASA 2 chi nhánh cho mình nhé.
Xử lý cái này, bạn xem thử là khi reset lại ASA thì có bị mất route vpn không? Nếu có sử dụng thêm câu lệnh reverse-route trong crypto map outside (Tác dụng: add 1 static route vào RIB luôn).

Ví dụ:

Thanks bạn để mình thử lại.

THANH HOA

object-group network INSIDE
network-object 172.10.11.0 255.255.255.0
object-group network OUTSIDE
network-object 113.160.183.131 255.255.255.255
access-list THCTG-HCMCTG extended permit ip 172.10.11.0 255.255.255.0 172.10.10.
0 255.255.255.0
access-list NONAT extended permit ip 172.10.11.0 255.255.255.0 172.10.10.0 255.2
55.255.0


asdm image disk0:/asdm-649-103.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 113.160.183.131 1
route outside 118.69.68.63 255.255.255.255 113.160.183.131 1
route outside 172.10.10.0 255.255.255.0 118.69.68.63 1


crypto ipsec transform-set THCTG esp-aes-192 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map THCTGVPN 10 match address THCTG-HCMCTG
crypto map THCTGVPN 10 set peer 118.69.68.63
crypto map THCTGVPN 10 set transform-set THCTG
crypto map THCTGVPN 10 set security-association lifetime seconds 36000
crypto map THCTGVPN interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share

crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 3600
no crypto isakmp nat-traversal
telnet timeout 5
ssh 113.160.183.131 255.255.255.255 outside
ssh timeout 5
ssh version 2

management-access inside

username cisco password mecMzOtF4FdmQeuX encrypted privilege 15
tunnel-group 118.69.68.63 type ipsec-l2l
tunnel-group 118.69.68.63 ipsec-attributes
pre-shared-key *****
tunnel-group-map enable rules



crypto ipsec transform-set THCTG esp-aes-192 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map THCTGVPN 10 match address THCTG-HCMCTG
crypto map THCTGVPN 10 set peer 113.160.183.131

crypto map THCTGVPN 10 set transform-set THCTG
crypto map THCTGVPN 10 set security-association lifetime seconds 36000
crypto map THCTGVPN interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share

crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 3600
no crypto isakmp nat-traversa


HCM



object-group network INSIDE
network-object 172.10.10.0 255.255.255.0
object-group network OUTSIDE
network-object 118.69.68.63 255.255.255.255
access-list HCMCTG-THCTG extended permit ip 172.10.10.0 255.255.255.0 172.10.11.
0 255.255.255.0
access-list NONAT extended permit ip 172.10.10.0 255.255.255.0 172.10.11.0 255.2
55.255.0

asdm image disk0:/asdm-649-103.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 118.69.68.68 1
route outside 113.160.183.131 255.255.255.255 118.69.68.63 1
route outside 172.10.11.0 255.255.255.0 113.160.183.131 1
timeout xlate 3:00:00

crypto ipsec transform-set HCMCTG esp-aes-192 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map HCMCTGVPN 10 match address HCMCTG-THCTG
crypto map HCMCTGVPN 10 set peer 113.160.183.131


crypto map HCMCTGVPN 10 set transform-set HCMCTG
crypto map HCMCTGVPN 10 set security-association lifetime seconds 36000
crypto map HCMCTGVPN interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share

crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 3600
no crypto isakmp nat-traversal
telnet timeout 5
ssh 118.69.68.63 255.255.255.255 outside
ssh timeout 5
ssh version 2
console timeout 0
management-access inside

username cisco password mecMzOtF4FdmQeuX encrypted privilege 15
tunnel-group 113.160.183.131 type ipsec-l2l
tunnel-group 113.160.183.131 ipsec-attributes
pre-shared-key *****

**** còn việc này nữa không hiều sao PC chi nhánh sài gòn ping thấy PC Thanh Hóa, còn PC Thanh Hóa thì ping không thấy PC sài gòn, không hiểu nổi.

Chào bạn,

Bạn cho mình cấu hình chi tiết hơn được không? cấu hình show run đó vì dựa vào đó dễ làm hơn. Với lại cho mình lại cái mô hình IP chi tiết nữa nhé. Cảm ơn bạn.

Bỏ bớt mấy câu lệnh route outside không hợp lý. Ví dụ như mún đi mạng 172 mà chỉ ra cổng internet, thì gói tin đi ra internet sẽ bị drop.

Hi Bạn tú

Vậy bạn Tú có biết cách nào không giúp mình với. Thanks trước.

Bạn phải làm từng bước chứ. Đầu tiên, VPN tunnel kết nối thành công. Tiếp đến là host inside ping lẫn nhau OK. Bạn làm ok hết chưa?

VPN đã connect với nhau rồi nhưng PC HCM thì ping được PC Thanh Hóa ngược lại PC Thanh Hóa ping không thấy PC HCM.

Mình đang gặp lỗi đó bạn biết chỉ mình với.