OpenForum RSS: ASA 5505 в NEM VPN блокирует одну из подсетей https://www.opennet.dev/openforum/vsluhforumID6/22814.html Добрый день<br>Имеется проблема, которую не можем сами победить:<br>На одной из удаленных точек стоит ASA 5505 за провайдерским роутером (и проходит через NAT на нем, что важно). NEMом она цепляется к центральной асе и заворачивает в туннель несколько подсетей. Когда у провайдера происходит небольшое пропадание (порой до 5 раз в день), то 5505 начинает переподсоединять туннель и в 100% случаев не добавляет в шифрование одну из подсетей, как раз самую важную. Если же руками несколько раз передернуть туннель (например vpn logoff ipaddress x.x.x.x на центральной асе), то она добавляет эту сеть. Методом тыка установленно что проблема именно в удаленной 5505 (тем более что проблема только на одной точке, хотя такая же конфигурация существуюет на еще 10). Единственное различие между этой точкой и всеми другими - наличие натирующего роутера посередине. Избавится от него, увы, не можем. По этой же причине не можем сделать обычный site-to-site впн на этой точке.<br>Вот конфиги и дебаги проблемы:<br><br>Удаленный 5505:<br>ASA Vers ASA 5505 в NEM VPN блокирует одну из подсетей (zavrik) https://www.opennet.dev/openforum/vsluhforumID6/22814.html#3 Thu, 18 Aug 2011 15:55:50 GMT проблема решилась заменой асы. мы обратили внимание что она выплевывала хекс-коды в консоль и иногда генерила креш-логи. заменили и все прекрасно работает.<br><br><br> ASA 5505 в NEM VPN блокирует одну из подсетей (zavrik) https://www.opennet.dev/openforum/vsluhforumID6/22814.html#2 Mon, 11 Jul 2011 03:49:46 GMT <br><br>&gt; Сегодня наткнулся на эту же проблемму, похоже что решилось прошивкой 8.4(2) <br><br>Нам, увы, не помогло. При потере связи или перезагрузке АСА с 8.4(2) также не заворачивает подсеть с теми же ошибками...<br> ASA 5505 в NEM VPN блокирует одну из подсетей (mad_c) https://www.opennet.dev/openforum/vsluhforumID6/22814.html#1 Thu, 30 Jun 2011 14:11:02 GMT &gt;[оверквотинг удален]<br>&gt; раз передернуть туннель (например vpn logoff ipaddress x.x.x.x на центральной асе), <br>&gt; то она добавляет эту сеть. Методом тыка установленно что проблема именно <br>&gt; в удаленной 5505 (тем более что проблема только на одной точке, <br>&gt; хотя такая же конфигурация существуюет на еще 10). Единственное различие между <br>&gt; этой точкой и всеми другими - наличие натирующего роутера посередине. Избавится <br>&gt; от него, увы, не можем. По этой же причине не можем <br>&gt; сделать обычный site-to-site впн на этой точке.<br>&gt; Вот конфиги и дебаги проблемы: <br>&gt; Удаленный 5505: <br>&gt; ASA Version 8.4(1) <br><br>Сегодня наткнулся на эту же проблемму, похоже что решилось прошивкой 8.4(2)<br>&gt;[оверквотинг удален]<br>&gt; tunnel.<br>&gt; Recommended Action None required. If the issue persists, either <br>&gt; IKE version 1 or IKE version 2 may have attempted a <br>&gt; tunnel initiation and not have timed out yet. Debug further using <br>&gt; the applicable commands to make sure that the tunnel manager entry <br>&gt; is removed after successful or