Cisco ASA y VPNs site-to-site

La verdad en que en estas cosas todos lo fabricantes intentan poner las cosas lo mas difícil posible, para que vamos a poner un botón que diga «test vpn» si podemos hacer lo mismo con unos cuantos comandos (diferentes para cada cacharro, que hay que amortizar las puñeteras certificaciones (el que las tenga, claro).

La gracia de hoy era que una VPN site to site ha dejado de funcionar sin que nadie haya tocado nada (como siempre).

Así que, para mirar a ver que estaba pasando … el ASDM no vale para nada, porque no da información.

Los sh crypto tampoco decían nada … porque el túnel no levantaba.

https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/5409-ipsec-debug-00.html

debug crypto ipsec devolvía un error como este :»Error, peer has indicated that something is wrong with our message. This could indicate a pre-shared key mismatch» -> Bastante claro … algún «manazas» ha cambiado la pre-shared key (cosa que me extraña, pero bueno).

Vale, ya tenemos el error … pero … ¿Cual era la pre-shared key?. Nadie sabe … nadie contesta.

Resulta que en la config no se ve, solo salen asteriscos. Para sacarla hay que hacer: more system:running-config y luego buscar el tunnel-group correspondiente (vale también puedes hacer un more system:running-config | in key, pero si tienes varios túneles (como en mi caso) no hay forma de hacer match con el nombre del túnel).

Y esto ha sido todo por hoy. 🙂 Aunque aun me quedan un par de horas mas, así que la cosa siempre puede ir a peor.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.