URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11758
[ Назад ]

Исходное сообщение
"Проблема с VPN-соединением между PIX 525 и PIX 515"

Отправлено Kir_rus , 18-Окт-06 15:53 
Здравствуйте.
Может ли кто-нибудь посоветовать, в чем может быть проблема с Пиксами? Пиксы вот только третий день разруливаю, поэтому заранее прошу прощения за ламерство, может быть. А проблема такая. Есть PIX 515 с операционкой Cisco PIX Firewall Version 6.3(4) с одной стороны и PIX 525 с PIX Version 7.0(2). Между ними, соответственно, как бы настроен туннель. Так вот, при сбросе канала со стороны 515-го пикса командами clear isakmp sa и clear ipsec sa процедура установки соединения занимает, во-первых, очень много времени, порядка 5-10 минут, ну а самое главное, что когда оно установилось, при включенном debug-е Пикс начинает практически постоянное генерить следующего вида сообщения:

IPSEC(cipher_ipsec_request): decap failed for 172.83.30.249 -> 211.37.239.103
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 62.222.209.185 -> 50.54.78.186
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 199.146.90.245 -> 166.231.218.99

ISADB: reaper checking SA 0x3c60614, conn_id = 0IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 236.40.46.137 -> 218.198.229.187
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 248.62.249.235 -> 88.27.236.78
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 29.91.15.66 -> 1.66.73.35

И так далее на несколько страниц с абсолютно случайными IP-адресами... Кажется, здесь что-то с обменом ключами и установкой соединения не так... не знаю. Да, соответственно, когда генерятся вышеуказанные сообщения, пропинговать внутреннюю сетку за Пиксом 515 из сети за Пиксом 525 невозможно. Когда они не генерятся, пинг проходит нормально. То есть коннект периодически пропадает через раз, половина пакетов и более. Очень кажется, что проблема с 515 Пиксом, потому как с 525-го настроены туннели и на другие Пиксы, там все ок, а тут такая ерунда. В общем, хотелось бы понять в чем тут дело и что можно сделать. Прикрепляю сюда конфиги обоих устройств:

PIX515 (тот, на котором скорее всего косяк)
Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(2)


: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
interface ethernet2 auto
interface ethernet3 auto
interface ethernet4 auto
interface ethernet5 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DMZ security50
nameif ethernet3 DMZ1 security50
nameif ethernet5 intf5 security10
enable password qZMF4yz9mcSUGIpE encrypted
passwd qZMF4yz9mcSUGIpE encrypted
hostname avppix
domain-name ocv.ru
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list DMZ_pr_acl permit tcp host 192.168.51.4 any eq www
access-list DMZ_pr_acl permit tcp host 192.168.51.4 any eq domain
access-list 102 permit udp host 172.25.1.12 any eq domain
access-list 102 permit udp host 172.25.1.10 any eq domain
access-list 103 permit tcp 172.25.5.0 255.255.255.0 any eq www
access-list 104 permit udp host 172.25.1.10 any eq www
access-list 105 permit udp 172.25.5.0 255.255.255.0 any eq domain
access-list DMZ_acl permit tcp host 192.168.50.2 any eq smtp
access-list DMZ_acl permit tcp host 192.168.50.2 any eq domain
access-list DMZ_acl permit tcp any host 192.168.50.2 eq smtp
pager lines 24
logging on
logging console notifications
logging buffered debugging
logging trap debugging
logging device-id hostname
logging host inside 172.25.1.12
icmp permit 172.25.0.0 255.255.0.0 inside
icmp permit any DMZ
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
mtu DMZ1 1500
mtu DMZ_pr 1500
mtu intf5 1500
ip address outside 217.114.33.79 255.255.255.224
ip address inside 172.25.1.1 255.255.240.0
ip address DMZ 192.168.50.1 255.255.255.0
no ip address DMZ1
ip address DMZ_pr 192.168.51.1 255.255.255.0
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address DMZ
no failover ip address DMZ1
no failover ip address DMZ_pr
no failover ip address intf5
pdm location 172.25.0.0 255.255.240.0 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 access-list 102 outside 0 0
nat (DMZ) 1 192.168.50.0 255.255.255.0 0 0
nat (DMZ_pr) 1 192.168.51.0 255.255.255.0 0 0
static (DMZ,outside) tcp 217.114.33.79 smtp 192.168.50.2 smtp netmask 255.255.255.255 0 0
access-group 102 in interface outside
route outside 0.0.0.0 0.0.0.0 217.114.33.65 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ocv-main esp-3des esp-sha-hmac
crypto map ocv 10 ipsec-isakmp
crypto map ocv 10 match address 100
crypto map ocv 10 set peer 217.72.145.186
crypto map ocv 10 set transform-set ocv-main
crypto map ocv interface outside
isakmp enable outside
isakmp key ******** address 217.72.145.186 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh 212.45.3.160 255.255.255.248 outside
ssh 172.25.0.0 255.255.0.0 inside
ssh timeout 60
console timeout 0
username admin password Bd5qFFFIkcr503pw encrypted privilege 15
username secoff password I2s1vM81nlYAR8fp encrypted privilege 9
privilege configure level 1 command logout
privilege configure level 1 mode enable command enable
privilege configure level 1 command disable
terminal width 80
Cryptochecksum:5c7413196a41a069088cd87b436b7959
: end


**************

PIX525
Cisco PIX Security Appliance Software Version 7.0(2)
Device Manager Version 5.0(2)


: Saved
:
PIX Version 7.0(2)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 217.72.145.186 255.255.255.192
!
interface Ethernet1
no nameif
security-level 100
no ip address
!
interface Ethernet1.1
vlan 1
nameif inside
security-level 100
ip address 172.30.0.125 255.255.240.0
!
interface Ethernet1.2
vlan 2
nameif DMZ
security-level 20
ip address 10.1.1.1 255.255.255.0
!
enable password 8BNjQZOSkbzPYeZV encrypted
passwd qZMF4yz9mcSUGIpE encrypted
hostname kvpix
domain-name ocv.ru
ftp mode passive
object-group service DNS tcp-udp
description DNS Group
port-object eq domain
object-group service WEB tcp
description WEB Group
port-object eq www
object-group icmp-type ping
description Ping Group
icmp-object echo
icmp-object echo-reply
object-group network RemoteOffices
network-object 192.168.100.0 255.255.255.0
network-object 172.20.65.0 255.255.255.0
network-object 172.20.66.0 255.255.255.0
network-object 172.25.0.0 255.255.240.0
object-group network MainOffice
network-object 172.30.0.0 255.255.240.0
network-object 172.30.128.0 255.255.240.0
access-list OUTSIDE extended permit tcp any host 217.72.145.186 eq www
access-list L2LVPNs extended permit ip object-group RemoteOffices object-group MainOffice
access-list L2LVPNs extended permit ip object-group MainOffice object-group RemoteOffices
access-list NoNAT extended permit ip object-group MainOffice object-group RemoteOffices
pager lines 24
logging enable
logging trap notifications
logging device-id hostname
logging host inside 172.30.0.16
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
no failover
monitor-interface outside
asdm image flash:/asdm
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NoNAT
static (DMZ,outside) tcp 217.72.145.186 www 10.1.1.2 www netmask 255.255.255.255
access-group OUTSIDE in interface outside
route outside 0.0.0.0 0.0.0.0 217.72.145.129 1
route inside 172.30.128.0 255.255.240.0 172.30.7.31 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username admin password Bd5qFFFIkcr503pw encrypted privilege 15
username secoff password ms4U5bsPtxPNnRoF encrypted
aaa authentication enable console LOCAL
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
crypto ipsec transform-set set esp-3des esp-none
crypto ipsec transform-set OCV esp-3des esp-sha-hmac
crypto map BranchOffices 10 match address L2LVPNs
crypto map BranchOffices 10 set peer 85.93.156.118
crypto map BranchOffices 10 set transform-set OCV
crypto map BranchOffices 20 match address L2LVPNs
crypto map BranchOffices 20 set peer 80.71.241.112
crypto map BranchOffices 20 set transform-set OCV
crypto map BranchOffices 30 match address L2LVPNs
crypto map BranchOffices 30 set peer 194.85.142.211
crypto map BranchOffices 30 set transform-set OCV
crypto map BranchOffices 40 match address L2LVPNs
crypto map BranchOffices 40 set peer 217.114.33.79
crypto map BranchOffices 40 set transform-set OCV
crypto map BranchOffices interface outside
isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 1
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh 85.93.156.116 255.255.255.252 outside
ssh 212.45.3.160 255.255.255.248 outside
ssh 172.30.0.0 255.255.240.0 inside
ssh 172.30.128.0 255.255.240.0 inside
ssh timeout 60
console timeout 0
tunnel-group 85.93.156.118 type ipsec-l2l
tunnel-group 85.93.156.118 ipsec-attributes
pre-shared-key *
tunnel-group 80.71.241.112 type ipsec-l2l
tunnel-group 80.71.241.112 ipsec-attributes
pre-shared-key *
tunnel-group 194.85.142.211 type ipsec-l2l
tunnel-group 194.85.142.211 ipsec-attributes
pre-shared-key *
tunnel-group 217.114.33.79 type ipsec-l2l
tunnel-group 217.114.33.79 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
inspect xdmcp
!
service-policy global_policy global
ntp server 194.149.67.130
ntp server 62.117.76.139
ntp server 80.246.19.29
ntp server 195.230.70.112
smtp-server 172.30.0.4
privilege cmd level 1 mode exec command logout
privilege cmd level 1 mode exec command disable
privilege cmd level 1 mode webvpn command logout-message
Cryptochecksum:64ac0d8a044c38782506b8901947a6bb
: end

Спасибо всем за любую помощь.


Содержание

Сообщения в этом обсуждении
"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено ilya , 18-Окт-06 17:22 
вы конфиг 515го с изменениями или без привели?
где access-list 100 ?
без него оно вобщем то вроде и работать не должно...

попробуйте прописать 100й лист (зеркальный должен получиться с 525го
access-list L2LVPNs extended permit ip object-group RemoteOffices object-group MainOffice
access-list L2LVPNs extended permit ip object-group MainOffice object-group RemoteOffices
)
правда наверно хватит и этого
access-list L2LVPNs extended permit ip object-group MainOffice object-group RemoteOffices


"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено Kir_rus , 19-Окт-06 07:16 
Добрый день!
Спасибо за отклик!
Да, конфиги всех Пиксов приведены без изменения, использовал sh run и далее просто копировал и вставлял сюда. Если я вас правильно понял: я сделал для начала на 515-м object-group network RemoteOffices и задал сеть, потом то же самое для object-group network MainOffice, далее создал ACL: access-list 100 permit ip object-group MainOffice object-group RemoteOffices. Теперь конфиг 515-го Пикса выглядит так:

: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
interface ethernet2 auto
interface ethernet3 100full
interface ethernet4 auto
interface ethernet5 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DMZ security50
nameif ethernet3 DMZ1 security50
nameif ethernet4 DMZ_pr security50
nameif ethernet5 intf5 security10
enable password qZMF4yz9mcSUGIpE encrypted
passwd qZMF4yz9mcSUGIpE encrypted
hostname avppix
domain-name ocv.ru
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
object-group network RemoteOffices
  network-object 172.25.0.0 255.255.240.0
object-group network MainOffice
  network-object 172.30.0.0 255.255.240.0
  network-object 172.30.128.0 255.255.240.0
access-list 100 permit ip 172.30.0.0 255.255.0.0 172.25.0.0 255.255.0.0
access-list 100 permit ip 172.25.0.0 255.255.0.0 172.30.0.0 255.255.0.0
access-list 100 permit ip object-group MainOffice object-group RemoteOffices
access-list DMZ_pr_acl permit tcp host 192.168.51.4 any eq www
access-list DMZ_pr_acl permit tcp host 192.168.51.4 any eq domain
access-list 102 permit udp host 172.25.1.12 any eq domain
access-list 102 permit udp host 172.25.1.10 any eq domain
access-list 103 permit tcp 172.25.5.0 255.255.255.0 any eq www
access-list 104 permit udp host 172.25.1.10 any eq www
access-list 105 permit udp 172.25.5.0 255.255.255.0 any eq domain
access-list DMZ_acl permit tcp host 192.168.50.2 any eq smtp
access-list DMZ_acl permit tcp host 192.168.50.2 any eq domain
access-list DMZ_acl permit tcp any host 192.168.50.2 eq smtp
pager lines 24
logging on
logging console notifications
logging buffered debugging
logging trap debugging
logging device-id hostname
logging host inside 172.25.1.12
icmp permit 172.25.0.0 255.255.0.0 inside
icmp permit any DMZ
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
mtu DMZ1 1500
mtu DMZ_pr 1500
mtu intf5 1500
ip address outside 217.114.33.79 255.255.255.224
ip address inside 172.25.1.1 255.255.240.0
ip address DMZ 192.168.50.1 255.255.255.0
no ip address DMZ1
ip address DMZ_pr 192.168.51.1 255.255.255.0
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address DMZ
no failover ip address DMZ1
no failover ip address DMZ_pr
no failover ip address intf5
pdm location 172.25.0.0 255.255.240.0 inside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 access-list 102 outside 0 0
nat (DMZ) 1 192.168.50.0 255.255.255.0 0 0
nat (DMZ_pr) 1 192.168.51.0 255.255.255.0 0 0
static (DMZ,outside) tcp 217.114.33.79 smtp 192.168.50.2 smtp netmask 255.255.255.255 0 0
access-group 102 in interface outside
route outside 0.0.0.0 0.0.0.0 217.114.33.65 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
aaa authorization command LOCAL
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ocv-main esp-3des esp-sha-hmac
crypto map ocv 10 ipsec-isakmp
crypto map ocv 10 match address 100
crypto map ocv 10 set peer 217.72.145.186
crypto map ocv 10 set transform-set ocv-main
crypto map ocv interface outside
isakmp enable outside
isakmp key ******** address 217.72.145.186 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh 212.45.3.160 255.255.255.248 outside
ssh 172.25.0.0 255.255.0.0 inside
ssh timeout 60
console timeout 0
username admin password Bd5qFFFIkcr503pw encrypted privilege 15
username secoff password I2s1vM81nlYAR8fp encrypted privilege 9
privilege configure level 1 command logout
privilege configure level 1 mode enable command enable
privilege configure level 1 command disable
terminal width 80
Cryptochecksum:5c7413196a41a069088cd87b436b7959
: end

Тем не менее после clear isakmp sa и clear ipsec sa при установке соединения по прежнему генерятся сообщения вида
IPSEC(cipher_ipsec_request): decap failed for 172.83.30.249 -> 211.37.239.103
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 62.222.209.185 -> 50.54.78.186
IPSEC(bv_esp_post_decap): authentication signature does not match

что смущает больше всего, так как идет так называемый их флудинг. Адреса причем абсолютно непонятные, рандом, что называется.
Может быть, есть какие-нибудь ещё мысли?
Спасибо.


"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено ilya , 19-Окт-06 14:29 

списки доступа должны выглядеть следующим образом (это пример, как у вас будет - сами напишене)
ремоут офис
>access-list 100 permit ip 172.30.0.0 255.255.0.0 172.25.0.0 255.255.0.0

централ офис
>access-list 100 permit ip 172.25.0.0 255.255.0.0 172.30.0.0 255.255.0.0

у вас сейчас записи ИМХО дублируются. лучше сделайте только то что нужно
после прописывания 100го аксес-листа у вас как быстро поднимается VPN?  пинг откуда запускаете - с рабочих станций в сети?

по поводу сообщений - а что нить есть с этими адресами в дебаге isakmp?


"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено Kir_rus , 19-Окт-06 16:02 
Ок, про ACL понял - спасибо. А вот что происходит при включенных дебагах ipsec и isakmp, после того как сбрасываем канал командами clear. Значит, ввожу команды - и пошло... до поднятия VPN несколько минут проходит, ниже означенное пишется в терминале:

avppix(config)#clear isakmp sa
ISADB: reaper checking SA 0x3b24a2c, conn_id = 0
ISAKMP (0): deleting IPSEC SAs with peer at 217.72.145.186IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with  217.72.145.186
map_free_entry: freeing entry 2
CRYPTO(epa_release_conn): released conn 2

VPN Peer: IPSEC: Peer ip:217.72.145.186/500 Decrementing Ref cnt to:2 Total VPN Peers:1map_free_entry: freeing entry 1
CRYPTO(epa_release_conn): released conn 1

VPN Peer: IPSEC: Peer ip:217.72.145.186/500 Decrementing Ref cnt to:1 Total VPN Peers:1
ISAKMP (0): deleting SA: src 217.114.33.79, dst 217.72.145.186
crypto_isakmp_process_block:src:217.72.145.186, dest:217.114.33.79 spt:500 dpt:500
ISAKMP: drop msg for deleted saclear isakmp sa
ISADB: reaper checking SA 0x3b24a2c, conn_id = 0  DELETE IT!

VPN Peer: ISAKMP: Peer ip:217.72.145.186/500 Ref cnt decremented to:0 Total VPN Peers:1
VPN Peer: ISAKMP: Deleted peer: ip:217.72.145.186/500 Total VPN peers:0IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with  217.72.clear ipsec sa
avppix(config)#clear ipsec sa
avppix(config)#
ISAKMP (0): beginning Main Mode exchange
ISAKMP (0): retransmitting phase 1 (0)...IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= 217.114.33.79, remote= 217.72.145.186,
    local_proxy= 172.25.0.0/255.255.0.0/0/0 (type=4),
    remote_proxy= 172.30.0.0/255.255.0.0/0/0 (type=4)

ISAKMP (0): retransmitting phase 1 (1)...
ISAKMP (0): deleting SA: src 217.114.33.79, dst 217.72.145.186
ISADB: reaper checking SA 0x3b24a2c, conn_id = 0  DELETE IT!

VPN Peer:ISAKMP: Peer Info for 217.72.145.186/500 not found - peers:0
IPSEC(key_engine): request timer fired: count = 2,
  (identity) local= 217.114.33.79, remote= 217.72.145.186,
    local_proxy= 172.25.0.0/255.255.0.0/0/0 (type=4),
    remote_proxy= 172.30.0.0/255.255.0.0/0/0 (type=4)

ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block:src:217.72.145.186, dest:217.114.33.79 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy
ISAKMP:      encryption 3DES-CBC
ISAKMP:      hash SHA
ISAKMP:      default group 1
ISAKMP:      auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): processing vendor id payload

ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:217.72.145.186, dest:217.114.33.79 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

ISAKMP (0): processing vendor id payload

ISAKMP (0): processing vendor id payload

ISAKMP (0): received xauth v6 vendor id

ISAKMP (0): processing vendor id payload

ISAKMP (0): speaking to another IOS box!

ISAKMP (0): processing vendor id payload

ISAKMP (0): speaking to a VPN3000 concentrator

ISAKMP (0): ID payload
        next-payload : 8
        type         : 1
        protocol     : 17
        port         : 500
        length       : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:217.72.145.186, dest:217.114.33.79 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): processing vendor id payload

ISAKMP (0): remote peer supports dead peer detection

ISAKMP (0): SA has been authenticated

ISAKMP (0): beginning Quick Mode exchange, M-ID of -1709865365:9a15866bIPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0x8c360355(2352350037) for SA
        from  217.72.145.186 to   217.114.33.79 for prot 3

return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
VPN Peer: ISAKMP: Added new peer: ip:217.72.145.186/500 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:217.72.145.186/500 Ref cnt incremented to:1 Total VPN Peers:1
crypto_isakmp_process_block:src:217.72.145.186, dest:217.114.33.79 spt:500 dpt:500
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 2585101931

ISAKMP : Checking IPSec proposal 1

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (basic) of 28800
ISAKMP:      SA life type in kilobytes
ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
ISAKMP:      encaps is 1
ISAKMP:      authenticator is HMAC-SHA
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 217.72.145.186, src= 217.114.33.79,
    dest_proxy= 172.30.0.0/255.255.0.0/0/0 (type=4),
    src_proxy= 172.25.0.0/255.255.0.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

ISAKMP (0): processing NONCE payload. message ID = 2585101931

ISAKMP (0): processing ID payload. message ID = 2585101931
ISAKMP (0): processing ID payload. message ID = 2585101931map_alloc_entry: allocating entry 1
map_alloc_entry: allocating entry 2

ISAKMP (0): Creating IPSec SAs
        inbound SA from  217.72.145.186 to   217.114.33.79 (proxy      172.30.0.0 to      172.25.0.0)
        has spi 2352350037 and conn_id 1 and flags 4
        lifetime of 28800 seconds
        lifetime of 4608000 kilobytes
        outbound SA from   217.114.33.79 to  217.72.145.186 (proxy      172.25.0.0 to      172.30.0.0)
        has spi 1764560327 and conn_id 2 and flags 4
        lifetime of 28800 seconds
        lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 217.114.33.79, src= 217.72.145.186,
    dest_proxy= 172.25.0.0/255.255.0.0/0/0 (type=4),
    src_proxy= 172.30.0.0/255.255.0.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac ,
    lifedur= 28800s and 4608000kb,
    spi= 0x8c360355(2352350037), conn_id= 1, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
  (key eng. msg.) src= 217.114.33.79, dest= 217.72.145.186,
    src_proxy= 172.25.0.0/255.255.0.0/0/0 (type=4),
    dest_proxy= 172.30.0.0/255.255.0.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac ,
    lifedur= 28800s and 4608000kb,
    spi= 0x692d0dc7(1764560327), conn_id= 2, keysize= 0, flags= 0x4

VPN Peer: IPSEC: Peer ip:217.72.145.186/500 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:217.72.145.186/500 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 120.113.143.43 -> 28.179.235.202
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 218.103.51.190 -> 67.207.34.114
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 125.41.185.45 -> 20.164.21.245

IPSEC(cipher_ipsec_request): decap failed for 172.83.30.249 -> 211.37.239.103
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 62.222.209.185 -> 50.54.78.186
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 199.146.90.245 -> 166.231.218.99

ISADB: reaper checking SA 0x3c60614, conn_id = 0IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 236.40.46.137 -> 218.198.229.187
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 248.62.249.235 -> 88.27.236.78
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 29.91.15.66 -> 1.66.73.35

Ну вот и пошли бесконечные (с перерывами - тогда пинг есть) сообщения с рандомными IP-адресами. Что это такое - вообще не понимаю... Пинг запускается с внутренней сетки за центральным Пиксом 525. Грешу в общем уже на какой-то компонент этого неудачного 515-го Пикса, потому что центральный 525 нормально работает с другим удаленным Пиксом, который хоть и 506, но операционка та же, что и на 515, т.е. 6.3 версии - а настройки аналогичны. Понять бы, что вот это значит:
"
IPSEC(bv_esp_post_decap): authentication signature does not match
IPSEC(cipher_ipsec_request): decap failed for 29.91.15.66 -> 1.66.73.35
"
почему? по какому принципу адреса берутся? никакой логики пока в общем...


"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено ilya , 20-Окт-06 12:17 
почему ошибка возникает - посмотрите какой трафик приходит на внешний интерфейс пикса
влючине например лог-запись по порту udp 500
может быть ктото с вами хочет тунель установить? или вам сыпится всякая фигня...
как вариатн поменяйте ПО на пиксе, но врятли в нем дело.

"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено Kir_rus , 23-Окт-06 11:45 
Скажите ещё пожалуйста, а как можно полностью удалить конфиг файл на 525-м Пиксе с системой 7.0? Команды erase start или erase nvram тут нет... Даже и найти толком по теме пока ничего не удалось.
Спасибо.

"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено ilya , 23-Окт-06 11:52 
>Скажите ещё пожалуйста, а как можно полностью удалить конфиг файл на 525-м
>Пиксе с системой 7.0? Команды erase start или erase nvram тут
>нет... Даже и найти толком по теме пока ничего не удалось.
>
>Спасибо.


плохо искали
http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa...


"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено Kir_rus , 23-Окт-06 12:01 
В самом деле...
Спасибо вам огромное!!!

"Проблема с VPN-соединением между PIX 525 и PIX 515"
Отправлено Kir_rus , 23-Окт-06 13:21 
Да, конфиг снес и перенабрал новый, но косяк вот один не исчез.

isakmp enable outside
isakmp policy 15 authentication pre-share
isakmp policy 15 encryption 3des
isakmp policy 15 hash sha
isakmp policy 15 group 1
isakmp policy 15 lifetime 86400

isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

isakmp disconnect-notify

Первый абзац набил я сам, а второй автоматически появился, когда стал смотреть show run - и никак не убивается. В тот раз было то же. Может, кто-нибудь знает, что это такое, почему само генерится?