URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12800
[ Назад ]

Исходное сообщение
"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"

Отправлено Stupidity , 16-Фев-07 11:51 
Подскажите пожалуйста куда смотреть, в чем может быть проблема....
На одной стороне Linux, ну или FreeBSD, не важно с адресами
int: 192.168.3.3
ext: A.A.A.A

На другой стороне Cisco PIX 501 firewall с адресами
int: 192.168.44.2
ext: B.B.B.B

Хочу объеденить сети через IPSEC c pre-shared key... До этого объединял FreeBSD и Linux машины и с rsa-сертификатами и с pre-shared ключами...

А здесь у меня получается такая ситуация... тунель устанавливается (Цыска показывает IKE tunnels: 1; IPSEC tunnels: 1; На другой стороне Racoon в логе пишет, что тунель установлен), а пинги через тунель не идут...

В чем может быть причина?

Вот части конфига Cisco:

interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100

names
name 212.122.1.2 dns
name 81.2.1.0 prosecutor_all
name 192.168.0.0 lenin
name 192.168.44.0 lenin44
name 192.168.3.0 prosecutor3
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 [почтовый сервер] 255.255.255.240
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 host [DNS]
access-list inside_outbound_nat0_acl permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0
access-list outside_cryptomap_20 permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0

mtu outside 1500
mtu inside 1500

ip address outside B.B.B.B 255.255.255.240
ip address inside 192.168.44.2 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside

route outside 0.0.0.0 0.0.0.0 [gate] 1

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer A.A.A.A
crypto map outside_map 20 set transform-set myset1
crypto map outside_map interface outside

isakmp enable outside
isakmp key ******** address A.A.A.A netmask 255.255.255.255
isakmp identity address
isakmp keepalive 120
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400

На стороне Unix`а
в ipsec:
spdadd 192.168.3.0/24 192.168.44.0/24 any -P out ipsec
    esp/tunnel/A.A.A.A - B.B.B.B/require;
spdadd 192.168.44.0/24 192.168.3.0/24 any -P in ipsec
    esp/tunnel/B.B.B.B - A.A.A.A/require;

добавлена запись в таблицу маршрутизации
route add -net 192.168.44.0/24 gw 192.168.3.3

Набираю "ping 192.168.44.1" и после этого в логе racoon появляются что устанавливается тунель и последние записи вот такие:
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B->A.A.A.A spi=113682007(0x6c6a657)
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A->B.B.B.B spi=1367497908(0x51825cb4)

и всё, пинги не идут... :-(


Содержание

Сообщения в этом обсуждении
"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено ruff , 16-Фев-07 12:11 
>и всё, пинги не идут... :-(

а какой адрес пингуете? если пикса или с пикса то пинги ити не будут.


"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено Stupidity , 17-Фев-07 04:21 
>>и всё, пинги не идут... :-(
>
>а какой адрес пингуете? если пикса или с пикса то пинги ити
>не будут.

Угу, то, что внутренний адрес пикса пинговаться не будет, знаю...
И с пикса тоже говорите пинги не пойдут...
Вообще, пытаюсь пинговать с линукса адрес 192.168.44.1 (это сервер в сети где пикс (у пикса 192.168.44.2))... пробывал еще с windows подключеного в туже сеть где linux, и в качестве шлюза прописана эта линуксовая машина...


"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено ruff , 19-Фев-07 11:18 
>Угу, то, что внутренний адрес пикса пинговаться не будет, знаю...
>И с пикса тоже говорите пинги не пойдут...
>Вообще, пытаюсь пинговать с линукса адрес 192.168.44.1 (это сервер в сети где
>пикс (у пикса 192.168.44.2))... пробывал еще с windows подключеного в туже
>сеть где linux, и в качестве шлюза прописана эта линуксовая машина...
>

а если во время пингов с машины виндовой, на линухе послушать тцпдампом есп пакеты, они вообще ходят? т.е. заворачивает ли для начала линух пакеты нужные.


"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено Stupidity , 17-Фев-07 05:38 
Помогите plz разобраться....
Может в список доступа нужно еще что добавить?

Может с nat'ом чего?
Этой строчкой
nat (inside) 0 access-list inside_outbound_nat0_acl
трафик который предназначается для тунеля из nat'а исключили....


"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено Stupidity , 17-Фев-07 17:03 
Вот... а вот здесь...

мы задаем ACL...

access-list inside_outbound_nat0_acl permit ip 192.168.44.0 255.255.255.0 192.168.3.0 255.255.255.0

и исключаем и исключаем трафик который удовлетворяет этому acl из nat'а:

nat (inside) 0 access-list inside_outbound_nat0_acl

А нужно ли добавить тоже самое для обратного трафика???? Вот так:

access-list inside_outbound_nat0_acl_2 permit ip 192.168.3.0 255.255.255.0 192.168.44.0 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl_2

???????????????????