Проблема в режиме L2L на FWSM'е не матчатся/энкапсулируются пакеты.

"show crypto ipsec sa" :

interface: outside
    Crypto map tag: zzzmap, seq num: 10, local addr: 81.21.14.18

      access-list 102 permit ip 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
      current_peer: y.y.101.144

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 25, #pkts decrypt: 25, #pkts verify: 25
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: x.x.14.18, remote crypto endpt.: y.y.101.144

      path mtu 1500, ipsec overhead 60, media mtu 1500
      current outbound spi: 5F39F6A6

    inbound esp sas:
      spi: 0x66B57BE9 (1723169769)
         transform: esp-3des esp-sha-hmac
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 1, crypto-map: zzzmap
         sa timing: remaining key lifetime (sec): 28639
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x5F39F6A6 (1597634214)
         transform: esp-3des esp-sha-hmac
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 1, crypto-map: zzzmap
         sa timing: remaining key lifetime (sec): 28637
         IV size: 8 bytes
         replay detection support: Y

Вот собственно конфиг:

FWSM Version 3.1(4) <context>
!
hostname FWSM
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan19
nameif inside_vlan19
security-level 100
ip address 10.10.19.1 255.255.255.0
!
interface Vlan300
nameif inside_vlan300
security-level 100
ip address 192.168.99.1 255.255.255.0
!
interface Vlan95
nameif outside
security-level 0
ip address x.x.14.18 255.255.255.248
!
passwd 2KFQnbNIdI.2KYOU encrypted
dns domain-lookup outside
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list internet extended permit ip any any
access-list internet extended permit icmp any any
access-list for_nat extended permit ip 172.16.0.0 255.240.0.0 any
access-list for_nat extended permit ip 192.168.0.0 255.255.0.0 any
access-list 102 extended permit ip 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.0
pager lines 24
logging enable
logging buffered informational
mtu inside_vlan19 1500
mtu inside_vlan300 1500
mtu outside 1500
icmp permit any inside_vlan19
icmp permit any inside_vlan300
icmp permit any outside
icmp permit any echo-reply outside
no asdm history enable
arp timeout 14400
global (outside) 1 x.x.14.19 netmask 255.255.255.255
nat (inside_vlan19) 0 access-list 102
nat (inside_vlan300) 1 access-list for_nat
access-group internet in interface inside_vlan300
access-group internet in interface outside
route inside_vlan19 10.0.0.0 255.0.0.0 10.10.19.2 1
route inside_vlan300 192.168.0.0 255.255.0.0 192.168.99.2 1
route outside 0.0.0.0 0.0.0.0 x.x.14.9 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute

no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set zzz esp-3des esp-sha-hmac
crypto map zzzmap 10 match address 102
crypto map zzzmap 10 set pfs
crypto map zzzmap 10 set peer y.y.101.144
crypto map zzzmap 10 set transform-set zzz
crypto map zzzmap 10 set reverse-route
crypto map zzzmap interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 14 authentication pre-share
isakmp policy 14 encryption 3des
isakmp policy 14 hash sha
isakmp policy 14 group 2
isakmp policy 14 lifetime 86400
tunnel-group DefaultRAGroup ipsec-attributes
isakmp keepalive threshold 10
tunnel-group y.y.101.144 type ipsec-l2l
tunnel-group y.y.101.144 ipsec-attributes
pre-shared-key *
management-access outside
!
class-map class_sip_tcp
match port tcp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect xdmcp
class class_sip_tcp
  inspect sip
!
service-policy global_policy global

Изначально траффик из сети 10.0.0.0/8 должен приходить из 19 влана и попадать в 95.

Что самое обидное - что входящий траффик таки приходит и корректно декапсулируется ... а вот исходящий - никак =(

Заранее спасибо за помощь

• IPSEC FWSM не энкапсулируется траффик,ВОЛКА, 13:03 , 13-Апр-08
  • IPSEC FWSM не энкапсулируется траффик,serroger, 14:58 , 13-Апр-08
    • IPSEC FWSM не энкапсулируется траффик,koshol, 10:56 , 23-Окт-08

>[оверквотинг удален]
>
>
>
>Изначально траффик из сети 10.0.0.0/8 должен приходить из 19 влана и попадать
>в 95.
>
>Что самое обидное - что входящий траффик таки приходит и корректно декапсулируется
>... а вот исходящий - никак =(
>
>Заранее спасибо за помощь

fwsm - это чисто firewall
он не предназначен для терминирования ipsec туннелей, для этого есть отдельный модуль...
такова политика cisco

ipsec может использоваться только для упаравления самим fwsm...

>fwsm - это чисто firewall
>он не предназначен для терминирования ipsec туннелей, для этого есть отдельный модуль...

Огромное спасибо!!!! Респект! Вопрос снят.

Тот же ответ на сайте cisco.com

http://www.cisco.com/en/US/customer/products/hw/modules/ps27...