URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1732
[ Назад ]

Исходное сообщение
"Cisco ASA - Mikrotik Site-to-Site IPSec"

Отправлено Hawaiian , 09-Июн-15 10:50 
Задача - запилить site-to-site vpn между ASA 5510 (8.2) и Microtik

1 фаза, как я понимаю проходит успешно.

Он пытается найти подходящий ACL в crypto map и не находит.
В моем случае должно быть совпадение seq 140.

Я правильно читаю debug, что наши ACL не совпадают?
Типа у меня описаны подсети, а на той стороне что то вида any any (не в курсе как на Mtk, его не я админю)

вот дебаг isakmp

Jun 09 10:37:01 [IKEv1]: Group =xxx.xxx.82.141, IP = xxx.xxx.82.141, PHASE 1 COMPLETED


Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing hash payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing SA payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing nonce payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing ke payload
Jun 09 10:37:00 [IKEv1 DEBUG]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, processing ISA_KE for PFS in phase 2
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, QM IsRekeyed old sa not found by addr
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Static Crypto Map check, checking map = MY_MAP, seq = 10...
Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Static Crypto Map check, map = MY_MAP, seq = 10, ACL does not match proxy IDs src:0.0.0.0 dst:0.0.0.0
......

Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto Map check, checking map = MY_MAP, seq = 140...
Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto Map check, map = MY_MAP, seq = 140, ACL does not match proxy IDs src:0.0.0.0 dst:0.0.0.0

Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside


Содержание

Сообщения в этом обсуждении
"Cisco ASA - Mikrotik Site-to-Site IPSec"
Отправлено eRIC , 09-Июн-15 12:03 
> Я правильно читаю debug, что наши ACL не совпадают?
> Типа у меня описаны подсети, а на той стороне что то вида
> any any (не в курсе как на Mtk, его не я
> админю)
> Jun 09 10:37:00 [IKEv1]: Group = 92.255.82.141, IP = 92.255.82.141, Static Crypto
> Map check, map = MY_MAP, seq = 140, ACL does not
> match proxy IDs src:0.0.0.0 dst:0.0.0.0
> Jun 09 10:37:00 [IKEv1]: Group = xxx.xxx.82.141, IP = xxx.xxx.82.141, Rejecting IPSec
> tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local
> proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

да, разные ACL по ту сторону. пусть микротик админ скинет свой ACL для сравнения