求助 ASA5520与2901 L2L VPN问题

fzctotti

ASA 为8.4
2901 为15.1
版本都比较新 nat vpn的配置变化较大
目前配置后一直无法建立一阶段协商
在ASA上 debug crypto engine
显示CTM ERROR: Invalid input parameters, ctm_get_scb_prot_stats:1561
ASA只配置了IKEV1的ipsec  2901只是普通的IPSEC 配置
看不到任何Debug信息 不知道问题出在哪里
请遇到过类似问题的朋友给个思路 是不是新版本VPN配置思路有变化 感谢

qq360870025

把配置发上来看看，V1的变化还是没什么的，8.4也就加了V2，不过NAT和ACL是改动了，你把全部配置发上来看看 好进行分析

在路上

  供楼主参考：

ASA8.4使用IKEv1的IPSec VPN和之前8.0的配置及步骤几乎是一样的，只是增加了一个ikev1的关键字。

下面是站点4边界防火墙ASA2的配置。

ASA2(config)# crypto ikev1 enable outside

ASA2(config)#  access-list R6-R4 extended permit ip 10.6.6.0 255.255.255.0 10.4.4.0  255.255.255.0

ASA2(config)# crypto ikev1 policy 10

  

ASA2(config-ikev1-policy)#  encryption 3des

  

ASA2(config-ikev1-policy)#  authentication pre-share

  

ASA2(config-ikev1-policy)#  hash sha

  

ASA2(config-ikev1-policy)#  group 5

ASA2(config)# crypto  ipsec ikev1 transform-set  ASA2-ASA1 esp-3des esp-sha-hmac

  

ASA2(config)#  tunnel-group 100.11.1.2 type ipsec-l2l

  

ASA2(config)#  tunnel-group 100.11.1.2 ipsec-attributes

  

ASA2(config-tunnel-ipsec)#  ikev1 pre-shared-key admin
  

ASA2(config)# crypto  map mymap 10 set ikev1  transform-set ASA2-ASA1

  

ASA2(config)# crypto  map mymap 10 set peer 100.11.1.2

  

ASA2(config)# crypto  map mymap 10 match address R6-R4

  

ASA2(config)# crypto  map mymap interface outside

配置加密流量绕过NAT：

ASA2(config)# object  network ASA1-inside-10   

  

ASA2(config-network-object)#  subnet 10.4.4.0 255.255.255.0

  

ASA2(config)# object  network ASA2-inside-10        

  

ASA2(config-network-object)#  subnet 10.6.6.0 255.255.255.0

  

ASA2(config)#nat  (inside,outside) source static ASA2-inside-10 ASA2-inside-10 destination  static ASA1-inside-10 ASA1-inside-10

  

maqizhao

谢谢，O(∩_∩)O哈哈~

dongyeslp

winnerchen1

好东西，分享~