Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3327 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG220 9.2 and Cisco ASA

Dilster
I'm getting desperate now. I have an ASG220 with firmware version 9.201-25. I am trying to get the site to site VPN working between the ASG220 and Cisco ASA 5520. From the logs on both ends the ISAKMP and IPSEC tunnel is established at both ends. On the Cisco side I see packets encaps and packets decaps but also see packets not compressed. The packets not compressed is equal to the packets encaps. Now when I try to ping either end of the Tunnel it fails at both ends. I know the ASA side is setup correctly because I am really good with ASAs and have setup many others on this ASA. I know the problem is on the ASG but cannot seem to get it working. I seen another post on here about getting it to work by adding a SNAP, but when I tried that it did not work either. 

Is there any way someone out there can help me work through this problem? 

Thanks for any help!


This thread was automatically locked due to age.
Parents
  • 0
    First, replace "Any" in the Remote Gateway with what corresponds to 'Local networks' in the ASA.  If you really intend for all traffic to go through the tunnel, use the "Internet" object plus any of the ASA's LANs your "test" subnet should access. Does that change the behavior?  If not, can you confirm that all of the boxes are checked on the 'ICMP' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    First, replace "Any" in the Remote Gateway with what corresponds to 'Local networks' in the ASA.  If you really intend for all traffic to go through the tunnel, use the "Internet" object plus any of the ASA's LANs your "test" subnet should access. Does that change the behavior?  If not, can you confirm that all of the boxes are checked on the 'ICMP' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I have all boxes checked in ICMP tab. I probably should tell you the subnets at both ends. The sophos end has subnet 10.240.0.0/16. On the ASA side it has all other /16 subnets in which most are also tunnels (10.***.0.0/16). Does that make sense to you.
Unfiltered HTML