Hej,
Jeg sidder og grubler lidt over et problem, som jeg har googlet løs, men
ikke rigtigt kunne finde en løsning på...
Jeg har to lokationer med hver sin ASA firewall. På hovedlokationen er
der et stykke udstyr, der laver en vpn til en ekstern leverandør (sådan
krævede de, det skulle laves). Der er på ASA'en på hovedlokationen lavet
en statisk route til 10.10.0.0/16 via 192.168.1.2, hvor egen ASA har
192.168.1.1
De to lokationer er koblet sammen via IPSEC lan til lan på asa'erne,
(begge 7.2).
Nu vil man gerne fra lokation 2 tilgå ting bag VPN'en, som den eksterne
leverandør tilbyder, og SA'en i deres udstyr er udvidet til at indeholde
192.168.2.0 som benyttes på lokation 2.
Jeg får fin en ipsec sa op, kan se at begge asa'er indpakker og udpakker
pakker, men jeg får aldrig svar tilbage. Til gengæld får jeg et væld at
logs på ASA'en på hovedlokationen:
%ASA-4-419002: Duplicate TCP SYN from inside:192.168.1.26/1708 to
inside:1de:10.10.1.5/80 with different initial sequence number
Og CPU forbrug stiger til 99 procent :-/
Et det bare ikke muligt at route trafik gennem en VPN ud via en statisk
route på en ASA eller hvor går jeg galt i byen?
På forhånd tak,
--
Ole Hansen
|