The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA - Mikrotik Site-to-Site IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA - Mikrotik Site-to-Site IPSec"  +/
Сообщение от Hawaiian (ok) on 09-Июн-15, 10:50 
Задача - запилить site-to-site vpn между ASA 5510 (8.2) и Microtik

1 фаза, как я понимаю проходит успешно.

Он пытается найти подходящий ACL в crypto map и не находит.
В моем случае должно быть совпадение seq 140.

Я правильно читаю debug, что наши ACL не совпадают?
Типа у меня описаны подсети, а на той стороне что то вида any any (не в курсе как на Mtk, его не я админю)

вот дебаг isakmp

Jun 09 10:37:01 [IKEv1]: Group =xxx.xxx.82.141, IP = xxx.xxx.82.141, PHASE 1 COMPLETED


Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing hash payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing SA payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing nonce payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing ke payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing ISA_KE for PFS in phase 2
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, QM IsRekeyed old sa not found by addr
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Static Crypto Map check, checking map = MY_MAP, seq = 10...
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Static Crypto Map check, map = MY_MAP, seq = 10, ACL does not match proxy IDs src:0.0.0.0 dst:0.0.0.0
......

Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto Map check, checking map = MY_MAP, seq = 140...
Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto Map check, map = MY_MAP, seq = 140, ACL does not match proxy IDs src:0.0.0.0 dst:0.0.0.0

Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA - Mikrotik Site-to-Site IPSec"  +/
Сообщение от eRIC (ok) on 09-Июн-15, 12:03 
> Я правильно читаю debug, что наши ACL не совпадают?
> Типа у меня описаны подсети, а на той стороне что то вида
> any any (не в курсе как на Mtk, его не я
> админю)
> Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto
> Map check, map = MY_MAP, seq = 140, ACL does not
> match proxy IDs src:0.0.0.0 dst:0.0.0.0
> Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Rejecting IPSec
> tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local
> proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

да, разные ACL по ту сторону. пусть микротик админ скинет свой ACL для сравнения

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру