OpenForum RSS: Настройка VPN ASA-Checkpoint https://opennet.ru/openforum/vsluhforumID6/1706.html Добрый день!<br>Помогите чайнику :)<br><br>Пытаюсь собрать site2site (l2l) VPN между ASA5505 и Checkpoint (R77.10).<br>Собственно сам тунель более-менее понимается, но:<br> - если пустить ASA в ребут, то пинги из сети за Checkpoint в сеть за ASA не идут.<br> - если в процессе ребута ASA в сети за Checkpoint оставить включенными пинги (ping -t) на устройства в сети за ASA, то после того, как ASA поднимется, пинги будут. Причем это довольно избирательно - за Асой стоят Лептоп и Телефон - оба в разных vlan. То пингуются оба, то только кто-то один, то по очереди. Конфиг не меняется, только роняю соединение.<br><br>Подскажите, плз куда рыть.<br><br> Настройка VPN ASA-Checkpoint (cant) https://opennet.ru/openforum/vsluhforumID6/1706.html#3 Thu, 07 May 2015 13:48:36 GMT &gt;&gt; Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac <br>&gt;&gt; таблиц на устройствах.<br>&gt; Возможно.<br>&gt; Странно, почему с устройств за АСой все пингуется и доступно, как положено. <br><br>Так перезагрузкой ASA вы создали проблему arp для устройств за ASA,<br>а сразуже сделали эти устройства "немолчаливыми" попингав с них, чем тут же и устранили созданную проблему arp.<br><br>Забыл добавить. Ещё сталкивался что l2l туннели сами по себе (построенные на ASA) не любят "молчаливые станции/сети".<br><br> Настройка VPN ASA-Checkpoint (Igortol) https://opennet.ru/openforum/vsluhforumID6/1706.html#2 Thu, 07 May 2015 13:34:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; после того, как ASA поднимется, пинги будут. Причем это довольно избирательно <br>&gt;&gt; - за Асой стоят Лептоп и Телефон - оба в разных <br>&gt;&gt; vlan. То пингуются оба, то только кто-то один, то по очереди.<br>&gt;&gt; Конфиг не меняется, только роняю соединение.<br>&gt;&gt; Подскажите, плз куда рыть.<br>&gt; Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac <br>&gt; таблиц на устройствах.<br>&gt; Такое часто встречается и на других железках и схемах.<br>&gt; Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми", <br>&gt; типа ping в cron, и нет больше проблемы.<br><br>Возможно.<br>Странно, почему с устройств за АСой все пингуется и доступно, как положено. <br> Настройка VPN ASA-Checkpoint (cant) https://opennet.ru/openforum/vsluhforumID6/1706.html#1 Thu, 07 May 2015 13:26:03 GMT &gt;[оверквотинг удален]<br>&gt; Собственно сам тунель более-менее понимается, но: <br>&gt; - если пустить ASA в ребут, то пинги из сети за <br>&gt; Checkpoint в сеть за ASA не идут.<br>&gt; - если в процессе ребута ASA в сети за Checkpoint оставить <br>&gt; включенными пинги (ping -t) на устройства в сети за ASA, то <br>&gt; после того, как ASA поднимется, пинги будут. Причем это довольно избирательно <br>&gt; - за Асой стоят Лептоп и Телефон - оба в разных <br>&gt; vlan. То пингуются оба, то только кто-то один, то по очереди. <br>&gt; Конфиг не меняется, только роняю соединение.<br>&gt; Подскажите, плз куда рыть.<br><br>Похоже на проблемы с бродкастами arp-запросов, и времени устаревания arp и mac таблиц на устройствах.<br>Такое часто встречается и на других железках и схемах.<br><br>Может это и неправильно, но я забиваю. Просто делаю нужные станции "немолчаливыми", типа ping в cron, и нет больше проблемы.<br><br>