URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19214
[ Назад ]
Исходное сообщение
"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 08-Июл-09 13:11 
В логах ASA:

construct_ipsec_delete(): No SPI to identify Phase 2 SA!

Конфиг ASA правильный, т.к. другие к нему коннектятся нормально, алгоритмы шифрования и клююч точно совпадают. Проблема явно в маршрутизаторе.

Конфиг 2821:

crypto isakmp policy 1                                                  
encr aes                                                              
authentication pre-share                                              
group 2                                                                
lifetime 36000                                                        
crypto isakmp key secret123 address 91.66.192.124                      
!
!
crypto ipsec transform-set tunnel1 esp-3des esp-sha-hmac
!
crypto map tunnel1-map 10 ipsec-isakmp
set peer 91.66.192.124
set security-association lifetime seconds 1800
set transform-set tunnel1
match address 121

interface GigabitEthernet0/0
description corbina_uplink
ip address 84.25.222.171 255.255.255.240 secondary
ip address 84.25.222.168 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map tunnel1-map
!

# это внутренние сети
access-list 1 permit 192.168.11.0 0.0.0.255                                    
access-list 2 permit 10.80.1.0 0.0.0.255                                        
access-list 3 permit 192.168.1.0 0.0.0.255

# это концы туннеля
access-list 121 permit ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63

# это для nonat
access-list 122 deny   ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 122 deny   ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 122 permit ip 10.80.1.0 0.0.0.255 any
access-list 122 permit ip 192.168.1.0 0.0.0.255 any


# также у меня 2 провайдера-аплинка
route-map PROVIDER1-NAT permit 10
match ip address 1 3
match interface GigabitEthernet0/1
set ip default next-hop 232.47.91.81
!
route-map PROVIDER2-NAT permit 20
match ip address 2
match interface GigabitEthernet0/0
set ip default next-hop 84.25.222.161
!
route-map nonat permit 5
match ip address 122


Содержание
Сообщения в этом обсуждении
"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 08-Июл-09 14:19 
ACL для туннеля на ASA покажите?
"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 08-Июл-09 14:22 
>ACL для туннеля на ASA покажите?

Конечно.

access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0


"Не работает IPsec между 2821 и ASA 5510"
Отправлено AleX , 08-Июл-09 14:31 
sh ip route

и смотреть дальше

"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 08-Июл-09 15:03 
>sh ip route
>
>и смотреть дальше

У меня 2 дефолтных маршрута, т.к. 2 аплинка, и это все.

"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 08-Июл-09 15:30 
Покажите тогда еще  transform-set на ASA. А лучше вообще весь конфиг (касаемо IPSec) покажите.
"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 08-Июл-09 16:11 
>Покажите тогда еще  transform-set на ASA. А лучше вообще весь конфиг
>(касаемо IPSec) покажите.

Вот он:

# список доступа
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0

# исключение из NAT
nat (inside) 0 access-list tunnel1

crypto ipsec transform-set tunnel1 esp-3des esp-sha-hmac                                                                                    
crypto map tunnel1-map 80 match address tunnel1                                          
crypto map tunnel1-map 80 set pfs                                                          
crypto map tunnel1-map 80 set peer 84.25.222.171
crypto map tunnel1-map 80 set transform-set tunnel1
crypto map tunnel1-map 80 set security-association lifetime seconds 1800
crypto map tunnel1-map interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 3600

tunnel-group 84.25.222.171 type ipsec-l2l
tunnel-group 84.25.222.171 ipsec-attributes
pre-shared-key *

pre-shared-key точно совпадает, меня вот смущает строка:
crypto map tunnel1-map 80 set pfs - может быть в этом дело? На маршрутизаторе такого не прописано...

"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 09-Июл-09 10:51 
Вам на роутер нуна добавить
access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63

"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 12:18 
>Вам на роутер нуна добавить
>access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63

Добавил, то же самое...((

"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 09-Июл-09 12:45 
Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе железки (только с клавиатуры,а не с помощью copy/paste). И что выдает deb cry ipsec, когда пытаемся попинговать?
"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 16:00 
>Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе
>железки (только с клавиатуры,а не с помощью copy/paste). И что выдает
>deb cry ipsec, когда пытаемся попинговать?

Вот тут пошли интересные вещи(для меня).
Пинг с машрутизатора в интернет ни на какой хост не идёт, хотя NAT для клиентов работает.

"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 16:01 
Шлюзы провайдеров отвечают, дальше никто.
"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 09-Июл-09 16:02 
Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую.
"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 16:51 
>Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую.

Ключи перебил, debug crypto ipsec на обоих концах молчит.

"Не работает IPsec между 2821 и ASA 5510"
Отправлено sh_ , 09-Июл-09 17:34 
На 2800 покажите вывод команд:

un all
deb cry isa
deb cry ipsec
conf t
interface GigabitEthernet0/0
no crypto map
crypto map tunnel1-map
end

ping 172.16.197.XXX so 192.168.1.YYY

sh cry isak sa
sh cry ips sa

"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 19:00 
>На 2800 покажите вывод команд:

router#undebug all
All possible debugging has been turned off
router#debug crypto isakmp
Crypto ISAKMP debugging is on
router#debug crypto ipsec
Crypto IPSEC debugging is on
router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int g0/0
router(config-if)#no crypto map
router(config-if)#crypto map tunnel1-map
router(config-if)#end
router#ping 172.16.197.65 source 192.168.1.89

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.197.65, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.89
.....
Success rate is 0 percent (0/5)
router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
84.25.222.171   91.66.192.124   QM_IDLE           1037    0 ACTIVE

IPv6 Crypto ISAKMP SA

router#show crypto ipsec sa                                  

interface: GigabitEthernet0/0
    Crypto map tag: tunnel1-map, local addr 84.25.222.168

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500                                    
     PERMIT, flags={origin_is_acl,}                                      
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0                    
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0                    
    #pkts compressed: 0, #pkts decompressed: 0                            
    #pkts not compressed: 0, #pkts compr. failed: 0                      
    #pkts not decompressed: 0, #pkts decompress failed: 0                
    #send errors 0, #recv errors 0                                        

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0              
     current outbound spi: 0x0(0)                                          

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500                                    
     PERMIT, flags={origin_is_acl,}                                      
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0                    
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0                    
    #pkts compressed: 0, #pkts decompressed: 0                            
    #pkts not compressed: 0, #pkts compr. failed: 0                      
    #pkts not decompressed: 0, #pkts decompress failed: 0                
    #send errors 0, #recv errors 0                                        

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0              
     current outbound spi: 0x0(0)                                          

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:
                      
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500                                    
     PERMIT, flags={origin_is_acl,}                                      
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0                    
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0                    
    #pkts compressed: 0, #pkts decompressed: 0                            
    #pkts not compressed: 0, #pkts compr. failed: 0                      
    #pkts not decompressed: 0, #pkts decompress failed: 0                
    #send errors 0, #recv errors 0                                        

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0              
     current outbound spi: 0x0(0)                                          

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.80.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500                                    
     PERMIT, flags={origin_is_acl,}                                      
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0                    
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0                    
    #pkts compressed: 0, #pkts decompressed: 0                            
    #pkts not compressed: 0, #pkts compr. failed: 0                      
    #pkts not decompressed: 0, #pkts decompress failed: 0                
    #send errors 0, #recv errors 0                                        

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0              
     current outbound spi: 0x0(0)                                          

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

---------------------------------------------------------------

Судя по выводу, правильно ли я понял, что соединение пытается пройти через первичный адрес интерфейса - 84.25.222.168, а на ASA явно указан вторичный - 84.25.222.171?

Правильно ли будет:
1) На ASA поменять адрес пира на первичный.
2) Снять secondary с g0/0 2800(или это необязательный шаг?).
3) Перегрузить crypto map на g0/0.

?

"Не работает IPsec между 2821 и ASA 5510"
Отправлено woodcut , 09-Июл-09 19:08 
Да, вдогонку, пусть Вам не кажется странным количество сетей. Просто в конфиге для краткости выложил не весь ACL для туннелируемых сетей.

Вот они полностью:

2821:

access-list 121 permit ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63            
access-list 121 permit ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63          
access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63        
access-list 121 permit ip 192.168.200.0 0.0.0.255 172.16.197.64 0.0.0.63        
access-list 121 permit ip 192.168.11.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 172.16.2.0 0.0.0.255 172.16.197.64 0.0.0.63

ASA:

access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.200.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 172.16.2.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.11.0 255.255.255.0

В общем, концы туннеля совпадают.

"Не работает IPsec между 2821 и ASA 5510"
Отправлено AleX , 09-Июл-09 18:15 
Пробуй так:

interface GigabitEthernet0/0
description corbina_uplink
ip address 84.25.222.171 255.255.255.240 secondary
ip address 84.25.222.168 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map tunnel1-map ------ убрать
!

int tun 0
ip unnumbered int fast 0/1 (при условии что 0/1 смотрит в локалку)
tun source you ip
tun dest dest ip
crypto map tunnel1-map

ip route 192.168.11.0 0.0.0.255 int tun0