URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17938
[ Назад ]

Исходное сообщение
"VPN между Pix и 3800"

Отправлено Avanty , 25-Дек-08 21:49 
Настраиваю site-to-site между пиксом и роутером, все делаю по руководству циско http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

Туннель не поднимается, устройства друг друга не видят.
Виню во всем пикс, т.к. не прописывается команда  sysopt connection permit-ipsec, она вводится, но не видна в конфиге потом.

Подскажите, плиз, в чем проблема?


Содержание

Сообщения в этом обсуждении
"VPN между Pix и 3800"
Отправлено Avanty , 26-Дек-08 10:43 
неужели никто не сталкивался с проблемой, когда sysopt connection permit-ipsec не запоминается в конфиге???
Pix 515E, IOS 7.2(2)
очень надо. помогите плиз


"VPN между Pix и 3800"
Отправлено sh_ , 26-Дек-08 11:47 
Если хотите, чтобы вам помогли, приведите хотя бы конфиги устройств. Информации, что просто не поднимается туннель - недостаточно.

"VPN между Pix и 3800"
Отправлено Avanty , 29-Дек-08 17:41 
Вот конфиги девайсов:

Пикс:
PIX Version 7.2(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list PING extended permit ip any any

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set SET esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600

crypto map MAP 10 set peer 192.168.2.1
crypto map MAP 10 set transform-set SET
crypto map MAP interface outside

crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 100
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context


Роутер:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
!
!
!
multilink bundle-name authenticated
!
!        
voice-card 0
no dspfarm
!
!
!
vtp domain FILIAL
vtp mode transparent
!
!
!
crypto isakmp policy 100
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123 address 192.168.1.1
!
!
crypto ipsec transform-set SET esp-des esp-md5-hmac
!
crypto map MAP 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set SET
match address 100
!
!
!
!
!        
interface FastEthernet0/0
ip address 10.2.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
crypto map MAP
!
interface GigabitEthernet0/0/0
no ip address
shutdown
negotiation auto
!
!
!
access-list 100 permit ip any any


"VPN между Pix и 3800"
Отправлено sh_ , 30-Дек-08 10:28 
crypto map MAP 10 match address XXXXXX

Причем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к этому, поставьте не any any, а полностью сети. Плюс, сделайте на пиксе, чтобы эти сети не натились.

И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что НЕОБХОДИМО для поднятия туннельчега.


"VPN между Pix и 3800"
Отправлено Avanty , 30-Дек-08 11:21 
>crypto map MAP 10 match address XXXXXX
>
>Причем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к
>этому, поставьте не any any, а полностью сети. Плюс, сделайте на
>пиксе, чтобы эти сети не натились.
>
>И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что
>НЕОБХОДИМО для поднятия туннельчега.

crypto map MAP 10 match address XXXXXX - это есть, просто сюда не скопировал

вопрос: а при permit any any  и без указания ненатирования сетей не должно подниматься (да и нету у меня nat)?


"VPN между Pix и 3800"
Отправлено Avanty , 30-Дек-08 12:10 
>вопрос: а при permit any any  и без указания ненатирования сетей
>не должно подниматься (да и нету у меня nat)?

вопрос снимается. Есть другой:
-сделал nat 0, но при попытке пинга пишет No route to host 192.168.2.1. Странно, в одной подсети и роутер и пикс находятся.....


"VPN между Pix и 3800"
Отправлено sh_ , 30-Дек-08 14:16 

>вопрос снимается. Есть другой:
>-сделал nat 0, но при попытке пинга пишет No route to host
>192.168.2.1. Странно, в одной подсети и роутер и пикс находятся.....
>

Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0


"VPN между Pix и 3800"
Отправлено Avanty , 30-Дек-08 14:25 
>
>Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0

Вот я идиот )))
Пинг пошел, но туннеля нет.

pixfirewall# ping 10.2.2.1
                          ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?
Success rate is 0 percent (0/5)
pixfirewall# sh isa
pixfirewall# sh isakmp

There are no isakmp sas

Global IKE Statistics
Active Tunnels: 0
Previous Tunnels: 0
In Octets: 1312
In Packets: 6
In Drop Packets: 2
In Notifys: 0
In P2 Exchanges: 0
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 352
Out Packets: 4
Out Drop Packets: 0
Out Notifys: 2
Out P2 Exchanges: 0
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 0
Initiator Tunnels: 0
Initiator Fails: 0
Responder Fails: 2
System Capacity Fails: 0
Auth Fails: 2
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 2

Global IPSec over TCP Statistics
--------------------------------
Embryonic connections: 0
Active connections: 0
Previous connections: 0
Inbound packets: 0
Inbound dropped packets: 0
Outbound packets: 0
Outbound dropped packets: 0
RST packets: 0
Recevied ACK heart-beat packets: 0
Bad headers: 0
Bad trailers: 0
Timer failures: 0
Checksum errors: 0
Internal errors: 0



"VPN между Pix и 3800"
Отправлено Avanty , 30-Дек-08 15:16 
вернее даже пинга нет

"VPN между Pix и 3800"
Отправлено sh_ , 30-Дек-08 18:37 
Ну вот теперь показывайте конфиги. Только не вырезайте ничего.