forum.opennet.ru - "IPSec ASA+MTK" (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec ASA+MTK"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec ASA+MTK"	+/–
Сообщение от alpolle (ok) on 17-Авг-11, 12:55
Доброго времени суток! Построил айписек туннель между ASA 5510 и микротиком. Сам по себе туннель поднимается, все фазы проходят. НО! Внутри туннеля пакеты не ходят. Т.е. из одной локалки не могу даже пропинговать другую. Пакет уходит в туннель, а дальше - тишина на обоих его концах. В чём грабли?
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec ASA+MTK, msanlimit, 17:04 , 17-Авг-11, (1)

IPSec ASA+MTK, alpolle, 18:15 , 17-Авг-11, (2)

IPSec ASA+MTK, Aleks305, 23:04 , 17-Авг-11, (3)

IPSec ASA+MTK, alpolle, 09:54 , 18-Авг-11, (4)

IPSec ASA+MTK, alpolle, 11:41 , 18-Авг-11, (5)

IPSec ASA+MTK, alpolle, 12:21 , 19-Авг-11, (6)

IPSec ASA+MTK, Velos, 00:01 , 22-Авг-11, (7)

IPSec ASA+MTK, alpolle, 10:52 , 22-Авг-11, (8)

IPSec ASA+MTK, Aleks305, 14:09 , 22-Авг-11, (9)
IPSec ASA+MTK, Velos, 15:12 , 22-Авг-11, (10)

IPSec ASA+MTK, Velos, 16:31 , 22-Авг-11, (12)

IPSec ASA+MTK, Aleks305, 17:22 , 22-Авг-11, (13)

IPSec ASA+MTK, Velos, 18:39 , 22-Авг-11, (14)

IPSec ASA+MTK, alpolle, 12:23 , 23-Авг-11, (15)

IPSec ASA+MTK, Velos, 13:11 , 23-Авг-11, (16)

IPSec ASA+MTK, alpolle, 13:42 , 23-Авг-11, (17)

IPSec ASA+MTK, Aleks305, 16:32 , 23-Авг-11, (18)

IPSec ASA+MTK, alpolle, 17:24 , 23-Авг-11, (19)

IPSec ASA+MTK, Aleks305, 18:03 , 23-Авг-11, (20)

IPSec ASA+MTK, SyJet, 14:56 , 16-Ноя-12, (21)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec ASA+MTK" +/–

Сообщение от msanlimit (ok) on 17-Авг-11, 17:04

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Видимо не все фазы проходят :)
Как насчёт скинуть конф и дебаги?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 17-Авг-11, 18:15

>> Доброго времени суток!
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Видимо не все фазы проходят :)
> Как насчёт скинуть конф и дебаги?
Фазы проходят все - факт.
Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель.
192.168.123.0 - сеть за асой
192.168.88.0 - сеть за микротиком
real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) )
95.111.xxx.xxx - адрес пира
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.123.23 255.255.255.0
interface Ethernet0/3
nameif real
security-level 0
ip address 91.223.xxx.xxx 255.255.255.0
access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
access-list DMZ_access_in extended permit ip any any
access-list local standard permit 192.168.123.0 255.255.255.0
access-list real_access_in extended permit ip any any
access-list real standard permit 91.223.xxx.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list real_cryptomap extended permit ip any any
icmp permit any inside
icmp permit any real
nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
access-group inside_access_in in interface inside
access-group real_access_in in interface real
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 1 match address real_cryptomap
crypto map real_map 1 set peer 95.111.xxx.xxx
crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map real_map interface real
crypto isakmp identity address
no crypto isakmp nat-traversal
crypto ikev1 enable inside
crypto ikev1 enable real
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
group-policy GroupPolicy_95.111.xxx.xxx internal
group-policy GroupPolicy_95.111.xxx.xxx attributes
vpn-tunnel-protocol ikev1
tunnel-group 95.111.xxx.xxx type ipsec-l2l
tunnel-group 95.111.xxx.xxx general-attributes
default-group-policy GroupPolicy_95.111.xxx.xxx
tunnel-group 95.111.xxx.xxx ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec ASA+MTK" +/–

Сообщение от Aleks305 (ok) on 17-Авг-11, 23:04

>[оверквотинг удален]
> access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
> access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
> access-list outside_access_in extended permit ip any any
> access-list inside_access_in extended permit ip any any
> access-list DMZ_access_in extended permit ip any any
> access-list local standard permit 192.168.123.0 255.255.255.0
> access-list real_access_in extended permit ip any any
> access-list real standard permit 91.223.xxx.0 255.255.255.0
> access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0
> 255.255.255.0
вот эта строчка нужна
> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
> 255.255.255.0
а это зачем в acl?убирайте
> access-list real_cryptomap extended permit ip any any
а это зачем в acl?убирайте
Вообще на мой взгляд какие-то странные все правила на интерфейсах - все разрешают. Зачем тогда вообще их вешать?
> icmp permit any inside
> icmp permit any real
> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
почему inside,inside?
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
это в инет натит типа или как?в предыдущих версиях ОС по-другому было
> access-group inside_access_in in interface inside
> access-group real_access_in in interface real
> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
не пойму что такое ikev1 раньше такого не было, зачем?
>[оверквотинг удален]
> address real_cryptomap
> crypto map real_map 1 set peer 95.111.xxx.xxx
> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
> ESP-DES-MD5
> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
> crypto map real_map interface real
> crypto isakmp identity address
> no crypto isakmp nat-traversal
> crypto ikev1 enable inside
зачем  на inside?что ищете в своей сети?Микротик?
>[оверквотинг удален]
>  group 5
>  lifetime 86400
> threat-detection basic-threat
> threat-detection statistics host
> threat-detection statistics port
> threat-detection statistics protocol
> threat-detection statistics access-list
> group-policy GroupPolicy_95.111.xxx.xxx internal
> group-policy GroupPolicy_95.111.xxx.xxx attributes
>  vpn-tunnel-protocol ikev1
раньше был  ipsec или наприме webvpn. Не встречал ikev1
> tunnel-group 95.111.xxx.xxx type ipsec-l2l
> tunnel-group 95.111.xxx.xxx general-attributes
>  default-group-policy GroupPolicy_95.111.xxx.xxx
> tunnel-group 95.111.xxx.xxx ipsec-attributes
>  ikev1 pre-shared-key *****
>  isakmp keepalive threshold 15 retry 5
Не увидел nat (inside) 0 ...., то есть траф, который исключается из nat и уходит в vpn
также надеюсь вводили команду sysopt connection permit-vpn

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 18-Авг-11, 09:54

> вот эта строчка нужна
>> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
>> 255.255.255.0
дык она есть...
> а это зачем в acl?убирайте
>> access-list real_cryptomap extended permit ip any any
эт я на всякий случай поставил, чтобы исключить, что проблема в файерволе...
> а это зачем в acl?убирайте
> Вообще на мой взгляд какие-то странные все правила на интерфейсах - все
> разрешают. Зачем тогда вообще их вешать?
>> icmp permit any inside
>> icmp permit any real
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
хм, по-моему ничего странного нету, если я разрешаю icmp на интерфейсах...
пока на момент начального конфигурирования не заморачивался с типами icmp...
> почему inside,inside?
>> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
это правило ната прописал визард ipsec подключения...
насколько я понимаю, то оно значит не натить трафик с интерфейса инсайд на указанные объекты...
>[оверквотинг удален]
>> address real_cryptomap
>> crypto map real_map 1 set peer 95.111.xxx.xxx
>> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
>> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
>> ESP-DES-MD5
>> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
>> crypto map real_map interface real
>> crypto isakmp identity address
>> no crypto isakmp nat-traversal
>> crypto ikev1 enable inside
ну может раньше и не было...
но сейчас визард спрашивает какую версию ike использовать... ikev1 или ikev2...
>[оверквотинг удален]
>>  group 5
>>  lifetime 86400
>> threat-detection basic-threat
>> threat-detection statistics host
>> threat-detection statistics port
>> threat-detection statistics protocol
>> threat-detection statistics access-list
>> group-policy GroupPolicy_95.111.xxx.xxx internal
>> group-policy GroupPolicy_95.111.xxx.xxx attributes
>>  vpn-tunnel-protocol ikev1
а где вы увидели inside?
> раньше был  ipsec или наприме webvpn. Не встречал ikev1
>> tunnel-group 95.111.xxx.xxx type ipsec-l2l
>> tunnel-group 95.111.xxx.xxx general-attributes
>>  default-group-policy GroupPolicy_95.111.xxx.xxx
>> tunnel-group 95.111.xxx.xxx ipsec-attributes
>>  ikev1 pre-shared-key *****
>>  isakmp keepalive threshold 15 retry 5
> Не увидел nat (inside) 0 ...., то есть траф, который исключается из
> nat и уходит в vpn
> также надеюсь вводили команду sysopt connection permit-vpn
команду sysopt connection permit-vpn вводил...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 18-Авг-11, 11:41

upd
с помощью tcpdump-а на шлюзе обнаружил следующее:
UDP пакеты по 500 порту шифруются и летают туда и обратно...
Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP).
Вот пример udp-пакетов:
10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id]
10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id]
10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash]
10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112)
А вот пример пинга со стороны сети микротика:
10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 19-Авг-11, 12:21

>[оверквотинг удален]
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
> 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
> 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
> Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает
> (((
разве никто не может помочь? (((

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSec ASA+MTK" +/–

Сообщение от Velos (ok) on 22-Авг-11, 00:01

Доборого времени суток.
можно вывод команд
1)sho route
2)sho version
?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 22-Авг-11, 10:52

> Доборого времени суток.
> можно вывод команд
> 1)sho route
> 2)sho version
> ?
# sh route
Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0
C    192.168.123.0 255.255.255.0 is directly connected, inside
C    10.10.10.0 255.255.255.252 is directly connected, outside
C    91.223.xxx.0 255.255.255.0 is directly connected, real
S*   0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real
# sh version
Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(3)
Compiled on Mon 31-Jan-11 02:11 by builders
System image file is "disk0:/asa841-k8.bin"
Config file at boot was "startup-config"
ASA up 1 day 16 hours
Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Я подозреваю, что проблема с НАТом...
Но где именно происходит затык - вот в чем вопрос...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec ASA+MTK" +/–

Сообщение от Aleks305 (ok) on 22-Авг-11, 14:09

>[оверквотинг удален]
> Compiled on Mon 31-Jan-11 02:11 by builders
> System image file is "disk0:/asa841-k8.bin"
> Config file at boot was "startup-config"
> ASA up 1 day 16 hours
> Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600
> MHz
> Internal ATA Compact Flash, 256MB
> BIOS Flash M50FW016 @ 0xfff00000, 2048KB
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...
Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя.
Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPSec ASA+MTK" +/–

Сообщение от Velos (ok) on 22-Авг-11, 15:12

> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...
К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше...
Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям).
1) sho cry isa sa
2) sho cry ipsec sa
real_cryptomap - должна быть только строка:

access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
всё остальное - убить.
Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть.
crypto ikev1 enable inside - тоже ни к чему. Убивайте.
ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре.
ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4.
Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально.
ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "IPSec ASA+MTK" +/–

Сообщение от Velos (ok) on 22-Авг-11, 16:31

В текущей конфигурации нат кривой.
Насколько я понял - нужно так:
object network OBJ-192.168.123.0
   network 192.168.123.0 255.255.255.0
object network OBJ-192.168.88.0
   network 192.168.88.0 255.255.255.0

nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "IPSec ASA+MTK" +/–

Сообщение от Aleks305 (ok) on 22-Авг-11, 17:22

тоже с 8.4 не особо разбираюсь
> nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static
> OBJ-192.168.88.0 OBJ-192.168.88.0
это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "IPSec ASA+MTK" +/–

Сообщение от Velos (ok) on 22-Авг-11, 18:39

> это то что раньше называлось nat 0 для того чтобы заворачивать траф
> в туннель vpn
Ну нат 0 как такового, насколько я понял, вообще нет.
Теперь это статическая запись о с директивой заменять source адрес сам на себя...
Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 23-Авг-11, 12:23

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Всем спасибо за помощь, тему можно закрывать.
Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не только серые айпи локалки, но и хосты из ДМЗ с реальными адресами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "IPSec ASA+MTK" +/–

Сообщение от Velos (ok) on 23-Авг-11, 13:11

>[оверквотинг удален]
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Всем спасибо за помощь, тему можно закрывать.
> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
> только серые айпи локалки, но и хосты из ДМЗ с реальными
> адресами.
Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам.
Т.е. у Вас сейчас всё работает вот с этой строчкой?
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 23-Авг-11, 13:42

>[оверквотинг удален]
>> Всем спасибо за помощь, тему можно закрывать.
>> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
>> только серые айпи локалки, но и хосты из ДМЗ с реальными
>> адресами.
> Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и
> dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то
> нат по-пути стоять будет - он будет применяться именно к этим
> адресам.
> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
Получилось так, что АСА не видела, что находится за НАТом, т.к. у неё был реальный айпи.
И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
Правило НАТа сейчас выглядит так:
(inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "IPSec ASA+MTK" +/–

Сообщение от Aleks305 (ok) on 23-Авг-11, 16:32

>[оверквотинг удален]
>> нат по-пути стоять будет - он будет применяться именно к этим
>> адресам.
>> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
> Получилось так, что АСА не видела, что находится за НАТом, т.к. у
> неё был реальный айпи.
> И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
> Правило НАТа сейчас выглядит так:
> (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
а на мой ответ по поводу закупки asa ответить можете?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "IPSec ASA+MTK" +/–

Сообщение от alpolle (ok) on 23-Авг-11, 17:24

> а на мой ответ по поводу закупки asa ответить можете?
покупали асу у официального дистрибутора с лицензией...
не скажу у кого, т.к. это будет рекламой...
тем более учитывая то, что Вы из Питера, то эта инфа вам не поможет, т.к. я из Украины ))

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "IPSec ASA+MTK" +/–

Сообщение от Aleks305 (ok) on 23-Авг-11, 18:03

>> а на мой ответ по поводу закупки asa ответить можете?
> покупали асу у официального дистрибутора с лицензией...
> не скажу у кого, т.к. это будет рекламой...
> тем более учитывая то, что Вы из Питера, то эта инфа вам
> не поможет, т.к. я из Украины ))
ок, спасибо. Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9 только. Так и должно быть?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "IPSec ASA+MTK" +/–

Сообщение от SyJet (ok) on 16-Ноя-12, 14:56

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Прошу прощение за оффтоп. Как с вами связаться можно?
По вопросу cisco+webcashe

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec ASA+MTK"	+/–
Сообщение от msanlimit (ok) on 17-Авг-11, 17:04
> Доброго времени суток! > Построил айписек туннель между ASA 5510 и микротиком. > Сам по себе туннель поднимается, все фазы проходят. > НО! Внутри туннеля пакеты не ходят. > Т.е. из одной локалки не могу даже пропинговать другую. > Пакет уходит в туннель, а дальше - тишина на обоих его концах. > В чём грабли? Видимо не все фазы проходят :) Как насчёт скинуть конф и дебаги?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 17-Авг-11, 18:15
	>> Доброго времени суток! >> Построил айписек туннель между ASA 5510 и микротиком. >> Сам по себе туннель поднимается, все фазы проходят. >> НО! Внутри туннеля пакеты не ходят. >> Т.е. из одной локалки не могу даже пропинговать другую. >> Пакет уходит в туннель, а дальше - тишина на обоих его концах. >> В чём грабли? > Видимо не все фазы проходят :) > Как насчёт скинуть конф и дебаги? Фазы проходят все - факт. Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель. 192.168.123.0 - сеть за асой 192.168.88.0 - сеть за микротиком real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) ) 95.111.xxx.xxx - адрес пира interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.123.23 255.255.255.0 interface Ethernet0/3 nameif real security-level 0 ip address 91.223.xxx.xxx 255.255.255.0 access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0 access-list outside_access_in extended permit ip any any access-list inside_access_in extended permit ip any any access-list DMZ_access_in extended permit ip any any access-list local standard permit 192.168.123.0 255.255.255.0 access-list real_access_in extended permit ip any any access-list real standard permit 91.223.xxx.0 255.255.255.0 access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0 access-list real_cryptomap extended permit ip any any icmp permit any inside icmp permit any real nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 access-group inside_access_in in interface inside access-group real_access_in in interface real crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map real_map 1 match address real_cryptomap crypto map real_map 1 set peer 95.111.xxx.xxx crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map real_map interface real crypto isakmp identity address no crypto isakmp nat-traversal crypto ikev1 enable inside crypto ikev1 enable real crypto ikev1 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 threat-detection basic-threat threat-detection statistics host threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list group-policy GroupPolicy_95.111.xxx.xxx internal group-policy GroupPolicy_95.111.xxx.xxx attributes vpn-tunnel-protocol ikev1 tunnel-group 95.111.xxx.xxx type ipsec-l2l tunnel-group 95.111.xxx.xxx general-attributes default-group-policy GroupPolicy_95.111.xxx.xxx tunnel-group 95.111.xxx.xxx ipsec-attributes ikev1 pre-shared-key ***** isakmp keepalive threshold 15 retry 5
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok) on 17-Авг-11, 23:04
	>[оверквотинг удален] > access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply > access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0 > access-list outside_access_in extended permit ip any any > access-list inside_access_in extended permit ip any any > access-list DMZ_access_in extended permit ip any any > access-list local standard permit 192.168.123.0 255.255.255.0 > access-list real_access_in extended permit ip any any > access-list real standard permit 91.223.xxx.0 255.255.255.0 > access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 > 255.255.255.0 вот эта строчка нужна > access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 > 255.255.255.0 а это зачем в acl?убирайте > access-list real_cryptomap extended permit ip any any а это зачем в acl?убирайте Вообще на мой взгляд какие-то странные все правила на интерфейсах - все разрешают. Зачем тогда вообще их вешать? > icmp permit any inside > icmp permit any real > nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 почему inside,inside? > destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 это в инет натит типа или как?в предыдущих версиях ОС по-другому было > access-group inside_access_in in interface inside > access-group real_access_in in interface real > crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac > crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA > ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA > ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 не пойму что такое ikev1 раньше такого не было, зачем? >[оверквотинг удален] > address real_cryptomap > crypto map real_map 1 set peer 95.111.xxx.xxx > crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA > ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA > ESP-DES-MD5 > crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP > crypto map real_map interface real > crypto isakmp identity address > no crypto isakmp nat-traversal > crypto ikev1 enable inside зачем на inside?что ищете в своей сети?Микротик? >[оверквотинг удален] > group 5 > lifetime 86400 > threat-detection basic-threat > threat-detection statistics host > threat-detection statistics port > threat-detection statistics protocol > threat-detection statistics access-list > group-policy GroupPolicy_95.111.xxx.xxx internal > group-policy GroupPolicy_95.111.xxx.xxx attributes > vpn-tunnel-protocol ikev1 раньше был ipsec или наприме webvpn. Не встречал ikev1 > tunnel-group 95.111.xxx.xxx type ipsec-l2l > tunnel-group 95.111.xxx.xxx general-attributes > default-group-policy GroupPolicy_95.111.xxx.xxx > tunnel-group 95.111.xxx.xxx ipsec-attributes > ikev1 pre-shared-key ***** > isakmp keepalive threshold 15 retry 5 Не увидел nat (inside) 0 ...., то есть траф, который исключается из nat и уходит в vpn также надеюсь вводили команду sysopt connection permit-vpn
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 18-Авг-11, 09:54
	> вот эта строчка нужна >> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 >> 255.255.255.0 дык она есть... > а это зачем в acl?убирайте >> access-list real_cryptomap extended permit ip any any эт я на всякий случай поставил, чтобы исключить, что проблема в файерволе... > а это зачем в acl?убирайте > Вообще на мой взгляд какие-то странные все правила на интерфейсах - все > разрешают. Зачем тогда вообще их вешать? >> icmp permit any inside >> icmp permit any real >> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 хм, по-моему ничего странного нету, если я разрешаю icmp на интерфейсах... пока на момент начального конфигурирования не заморачивался с типами icmp... > почему inside,inside? >> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 это правило ната прописал визард ipsec подключения... насколько я понимаю, то оно значит не натить трафик с интерфейса инсайд на указанные объекты... >[оверквотинг удален] >> address real_cryptomap >> crypto map real_map 1 set peer 95.111.xxx.xxx >> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA >> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA >> ESP-DES-MD5 >> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP >> crypto map real_map interface real >> crypto isakmp identity address >> no crypto isakmp nat-traversal >> crypto ikev1 enable inside ну может раньше и не было... но сейчас визард спрашивает какую версию ike использовать... ikev1 или ikev2... >[оверквотинг удален] >> group 5 >> lifetime 86400 >> threat-detection basic-threat >> threat-detection statistics host >> threat-detection statistics port >> threat-detection statistics protocol >> threat-detection statistics access-list >> group-policy GroupPolicy_95.111.xxx.xxx internal >> group-policy GroupPolicy_95.111.xxx.xxx attributes >> vpn-tunnel-protocol ikev1 а где вы увидели inside? > раньше был ipsec или наприме webvpn. Не встречал ikev1 >> tunnel-group 95.111.xxx.xxx type ipsec-l2l >> tunnel-group 95.111.xxx.xxx general-attributes >> default-group-policy GroupPolicy_95.111.xxx.xxx >> tunnel-group 95.111.xxx.xxx ipsec-attributes >> ikev1 pre-shared-key ***** >> isakmp keepalive threshold 15 retry 5 > Не увидел nat (inside) 0 ...., то есть траф, который исключается из > nat и уходит в vpn > также надеюсь вводили команду sysopt connection permit-vpn команду sysopt connection permit-vpn вводил...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "IPSec ASA+MTK"	+/–
Сообщение от alpolle (ok) on 18-Авг-11, 11:41
upd с помощью tcpdump-а на шлюзе обнаружил следующее: UDP пакеты по 500 порту шифруются и летают туда и обратно... Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP). Вот пример udp-пакетов: 10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112) 91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id] 10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96) 95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id] 10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360) 91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash] 10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336) 95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash] 10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104) 91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash] 10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112) А вот пример пинга со стороны сети микротика: 10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112) 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112) 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112) 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92 Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 19-Авг-11, 12:21
	>[оверквотинг удален] > proto ESP (50), length 112) > 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92 > 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], > proto ESP (50), length 112) > 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92 > 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], > proto ESP (50), length 112) > 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92 > Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает > ((( разве никто не может помочь? (((
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok) on 22-Авг-11, 00:01
	Доборого времени суток. можно вывод команд 1)sho route 2)sho version ?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 22-Авг-11, 10:52
	> Доборого времени суток. > можно вывод команд > 1)sho route > 2)sho version > ? # sh route Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0 C 192.168.123.0 255.255.255.0 is directly connected, inside C 10.10.10.0 255.255.255.252 is directly connected, outside C 91.223.xxx.0 255.255.255.0 is directly connected, real S* 0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real # sh version Cisco Adaptive Security Appliance Software Version 8.4(1) Device Manager Version 6.4(3) Compiled on Mon 31-Jan-11 02:11 by builders System image file is "disk0:/asa841-k8.bin" Config file at boot was "startup-config" ASA up 1 day 16 hours Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Я подозреваю, что проблема с НАТом... Но где именно происходит затык - вот в чем вопрос...
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok) on 22-Авг-11, 14:09
	>[оверквотинг удален] > Compiled on Mon 31-Jan-11 02:11 by builders > System image file is "disk0:/asa841-k8.bin" > Config file at boot was "startup-config" > ASA up 1 day 16 hours > Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 > MHz > Internal ATA Compact Flash, 256MB > BIOS Flash M50FW016 @ 0xfff00000, 2048KB > Я подозреваю, что проблема с НАТом... > Но где именно происходит затык - вот в чем вопрос... Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя. Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok) on 22-Авг-11, 15:12
	> Я подозреваю, что проблема с НАТом... > Но где именно происходит затык - вот в чем вопрос... К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше... Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям). 1) sho cry isa sa 2) sho cry ipsec sa real_cryptomap - должна быть только строка: access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 всё остальное - убить. Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть. crypto ikev1 enable inside - тоже ни к чему. Убивайте. ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре. ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4. Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально. ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok) on 22-Авг-11, 16:31
	В текущей конфигурации нат кривой. Насколько я понял - нужно так: object network OBJ-192.168.123.0 network 192.168.123.0 255.255.255.0 object network OBJ-192.168.88.0 network 192.168.88.0 255.255.255.0 nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok) on 22-Авг-11, 17:22
	тоже с 8.4 не особо разбираюсь > nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static > OBJ-192.168.88.0 OBJ-192.168.88.0 это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok) on 22-Авг-11, 18:39
	> это то что раньше называлось nat 0 для того чтобы заворачивать траф > в туннель vpn Ну нат 0 как такового, насколько я понял, вообще нет. Теперь это статическая запись о с директивой заменять source адрес сам на себя... Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору

15. "IPSec ASA+MTK"	+/–
Сообщение от alpolle (ok) on 23-Авг-11, 12:23
> Доброго времени суток! > Построил айписек туннель между ASA 5510 и микротиком. > Сам по себе туннель поднимается, все фазы проходят. > НО! Внутри туннеля пакеты не ходят. > Т.е. из одной локалки не могу даже пропинговать другую. > Пакет уходит в туннель, а дальше - тишина на обоих его концах. > В чём грабли? Всем спасибо за помощь, тему можно закрывать. Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не только серые айпи локалки, но и хосты из ДМЗ с реальными адресами.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok) on 23-Авг-11, 13:11
	>[оверквотинг удален] >> Построил айписек туннель между ASA 5510 и микротиком. >> Сам по себе туннель поднимается, все фазы проходят. >> НО! Внутри туннеля пакеты не ходят. >> Т.е. из одной локалки не могу даже пропинговать другую. >> Пакет уходит в туннель, а дальше - тишина на обоих его концах. >> В чём грабли? > Всем спасибо за помощь, тему можно закрывать. > Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не > только серые айпи локалки, но и хосты из ДМЗ с реальными > адресами. Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам. Т.е. у Вас сейчас всё работает вот с этой строчкой? >> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 23-Авг-11, 13:42
	>[оверквотинг удален] >> Всем спасибо за помощь, тему можно закрывать. >> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не >> только серые айпи локалки, но и хосты из ДМЗ с реальными >> адресами. > Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и > dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то > нат по-пути стоять будет - он будет применяться именно к этим > адресам. > Т.е. у Вас сейчас всё работает вот с этой строчкой? >>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ??? Получилось так, что АСА не видела, что находится за НАТом, т.к. у неё был реальный айпи. И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP. Правило НАТа сейчас выглядит так: (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok) on 23-Авг-11, 16:32
	>[оверквотинг удален] >> нат по-пути стоять будет - он будет применяться именно к этим >> адресам. >> Т.е. у Вас сейчас всё работает вот с этой строчкой? >>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ??? > Получилось так, что АСА не видела, что находится за НАТом, т.к. у > неё был реальный айпи. > И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP. > Правило НАТа сейчас выглядит так: > (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 > destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 а на мой ответ по поводу закупки asa ответить можете?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok) on 23-Авг-11, 17:24
	> а на мой ответ по поводу закупки asa ответить можете? покупали асу у официального дистрибутора с лицензией... не скажу у кого, т.к. это будет рекламой... тем более учитывая то, что Вы из Питера, то эта инфа вам не поможет, т.к. я из Украины ))
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok) on 23-Авг-11, 18:03
	>> а на мой ответ по поводу закупки asa ответить можете? > покупали асу у официального дистрибутора с лицензией... > не скажу у кого, т.к. это будет рекламой... > тем более учитывая то, что Вы из Питера, то эта инфа вам > не поможет, т.к. я из Украины )) ок, спасибо. Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9 только. Так и должно быть?
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору

21. "IPSec ASA+MTK"	+/–
Сообщение от SyJet (ok) on 16-Ноя-12, 14:56
> Доброго времени суток! > Построил айписек туннель между ASA 5510 и микротиком. > Сам по себе туннель поднимается, все фазы проходят. > НО! Внутри туннеля пакеты не ходят. > Т.е. из одной локалки не могу даже пропинговать другую. > Пакет уходит в туннель, а дальше - тишина на обоих его концах. > В чём грабли? Прошу прощение за оффтоп. Как с вами связаться можно? По вопросу cisco+webcashe
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору