Доброго дня.
Не уверен что проблема в asa, но решил спросить совета.
Дано asa 5515-x за ней nexus. На nexus нарезаны нескокль vlan с ip 10.1.0.0/24 и 172.16.50.0/24. C asa видны обе подсети.
Настроен site-to-site с микротиком. На микротик прилетает политика, что в этом тоннели есть 10.1.0.0/24, но при этом не прилетает, что там есть 172.16.50.0/24.



Куда посоветуете капнуть ? Может что из конфига доп выложить ?
При чем между 2 асами то же site-to-site все ок с обоих сторон.
Благодарю.

так вы эту сеть добавили во всякие crypto map, no nat и тд?

Да конечно.





172.16.50.0/24 фигурирует везде где 10.1.0.0/16.
Но не прилетает на микрот, соответственно, кто за микротом не могут на нее зайти.

Что значит "прилетает"? В S2S вы всё ручками настраиваете, видимо чтото забыли на микротике.

В прилетает я назвал когда на микротике в policy появляются маршруты которые находятся за асами.
Вот у меня 3 филиала где стоят аса. И один филиал где микротик.
В 1 филила 10.10.114.0/24; 2 - 10.10.107.0/24; 3- 10.1.0.0/16 и 172.16.50.0/24
Вот на микроте в policy

Подтягивается автоматом.

а где эта обжект-груп LAN_to_VPN? И на микротике настроено, что у вас есть удаленная сеть 172.16.50.0/24

acl обязаны быть зеркальными.
Чо в debug crypto ipsec sa 255 при установлении сессии?

На микротике все настроено как работает 10 сеть


а где эта обжект-груп LAN_to_VPN? не совсем ясно ?
p.s. настройки черпал отсюда http://www.anticisco.ru/forum/viewtopic.php?t=5582

в этой строке у вас есть обджект

access-list VPN extended permit ip object-group LAN_to_VPN object-group FILIAL_LAN

и вы не показали как выглядит этот - object-group LAN_to_VPN

Прошу прощения за кривое форматирование текста.
Видно когда добавлял /code и правил читабельность то удалил to