URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19101
[ Назад ]

Исходное сообщение
"IPSec между 2-мя ASA5505"

Отправлено sintez , 22-Июн-09 09:27 
Приветствую.

Столкнулся с проблемой: пытаюсь поднять IPSec между 2-я ASA5505. Тоннель поднимается, но только между ихних outside интерфейсов, то есть трафик через IPSec ходит только по внешним адресам, во внутреннюю сеть трафик почему-то не идёт. Если пинговать с одной Асы внутренний айпишник удалённой сети, то трафик идёт не в тоннель, а по дефолт роуту. Ната нет вообще. Что я не так делаю?

Данные:

ASA1

inside 172.19.225.253/24
outside 192.168.2.38/30

ASA2

inside 172.19.230.253/24
outside 192.168.2.22/30

Конфиги:

ASA1

ASA Version 8.0(3)9
!
hostname ASA1
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.19.225.253 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.2.38 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa804-16-k8.bin
boot system disk0:/asa803-9-k8.bin
ftp mode passive
access-list ext_net extended permit ip any any
access-list int_access_in extended permit ip any any
access-list ext_access_in extended permit ip any interface outside
access-list ipsec extended permit ip 172.19.225.0 255.255.255.0 172.19.230.0 255.255.255.0
access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
access-group int_access_in in interface inside
access-group ext_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.2.37 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn esp-des esp-sha-hmac
crypto map vpnmap 10 match address ipsec
crypto map vpnmap 10 set peer 192.168.2.22
crypto map vpnmap 10 set transform-set vpn
crypto map vpnmap interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 5
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
tunnel-group 192.168.2.22 type ipsec-l2l
tunnel-group 192.168.2.22 ipsec-attributes
pre-shared-key hospsec
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:807173cdf327014ac873f57050f9184e


ASA2


ASA Version 8.0(3)9
!
hostname ASA2
enable password Yn8Esq3NcXIHL35v encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.19.230.253 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.2.22 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa803-9-k8.bin
ftp mode passive
access-list ext_net extended permit ip any any
access-list int_access_in extended permit ip any any
access-list ext_access_in extended permit ip any interface outside
access-list ipsec extended permit ip 172.19.230.0 255.255.255.0 172.19.225.0 255.255.255.0
access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
access-group int_access_in in interface inside
access-group ext_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.2.21 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ipsec esp-des esp-sha-hmac
crypto map vpnmap 10 match address ipsec
crypto map vpnmap 10 set peer 192.168.2.38
crypto map vpnmap 10 set transform-set ipsec
crypto map vpnmap interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 5
lifetime 86400
telnet 77.236.85.254 255.255.255.255 outside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
tunnel-group 192.168.2.38 type ipsec-l2l
tunnel-group 192.168.2.38 ipsec-attributes
pre-shared-key hospsec
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:51f25e9f39c0408bb09253929fba97fc



Содержание

Сообщения в этом обсуждении
"IPSec между 2-мя ASA5505"
Отправлено ural_sm , 22-Июн-09 09:44 
>access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22
>access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38

А вот это зачем?

Пингуй  не с АСА, а с клиентских машин с правильно настроенными шлюзами.


"IPSec между 2-мя ASA5505"
Отправлено sintez , 22-Июн-09 09:48 
>>access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22
>>access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38
>
>А вот это зачем?
>
>Пингуй  не с АСА, а с клиентских машин с правильно настроенными
>шлюзами.

Не пингуется :( А без этих аксесс листов тоннель не поднимается даже между внешними интерфейсами. Если пинговать внутренние адреса, матчей в эксесс-листе ipsec нету.


"IPSec между 2-мя ASA5505"
Отправлено sh_ , 22-Июн-09 12:52 
Сделайте no nat-control на обоих асах.
И уберите вот эти записи из ACL, вам же уже писали.
>>access-list ipsec extended permit ip host 192.168.2.38 host 192.168.2.22
>>access-list ipsec extended permit ip host 192.168.2.22 host 192.168.2.38