URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22830
[ Назад ]

Исходное сообщение
"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"

Отправлено Desan , 04-Июл-11 16:00 
День добрый!

Не получаеться поднять L2TP с win 7. Логи в ASDM при попытке подключения молчат, так же как и дебаг.
Настраиваю через ASDM VPN Wizzard, для подключения с виндовского клиента.

Подскажите пожалуйста в чем может быть проблема.


ASA Version 8.3(1)
!
interface GigabitEthernet1/1
description Default Gateway
nameif dg
security-level 0
ip address 192.168.0.3 255.255.255.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network local-inet
subnet 192.168.0.0 255.255.0.0
object network NETWORK_OBJ_192.168.0.0_24
subnet 192.168.0.0 255.255.255.0
access-list icmp extended permit ip any any
pager lines 1000
logging enable
logging asdm informational
mtu management 1500
mtu local-to-inet 1500
mtu dg 1500
ip local pool vpn-pool 192.168.0.100-192.168.0.150 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any local-to-inet
icmp permit any dg
no asdm history enable
arp timeout 14400
access-group icmp global
route local-to-inet 0.0.0.0 0.0.0.0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA
ESP-DES-MD5 TRANS_ESP_DES_SHA
crypto map dg_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map dg_map interface dg
crypto isakmp enable dg
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet 10.0.0.0 255.255.255.0 management
telnet timeout 60
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 195.14.40.141
webvpn
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted privilege 0
username root attributes
vpn-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:b4c7693f44c8c1b4fc6129137b8bab9d
: end


sh ver:

Hardware:   ASA5550, 4096 MB RAM, CPU Pentium 4 3000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
                             Boot microcode   : CN1000-MC-BOOT-2.00
                             SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
                             IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.06
0: Ext: GigabitEthernet0/0  : address is c84c.7576.cb50, irq 9
1: Ext: GigabitEthernet0/1  : address is c84c.7576.cb51, irq 9
2: Ext: GigabitEthernet0/2  : address is c84c.7576.cb52, irq 9
3: Ext: GigabitEthernet0/3  : address is c84c.7576.cb53, irq 9
4: Ext: Management0/0       : address is c84c.7576.cb54, irq 11
5: Int: Internal-Data0/0    : address is 0000.0001.0002, irq 11
6: Int: Not used            : irq 5
7: Ext: GigabitEthernet1/0  : address is c84c.7576.d6f8, irq 255
8: Ext: GigabitEthernet1/1  : address is c84c.7576.d6f9, irq 255
9: Ext: GigabitEthernet1/2  : address is c84c.7576.d6fa, irq 255
10: Ext: GigabitEthernet1/3  : address is c84c.7576.d6fb, irq 255
11: Int: Internal-Data1/0    : address is 0000.0003.0002, irq 255

Licensed features for this platform:
Maximum Physical Interfaces    : Unlimited      perpetual
Maximum VLANs                  : 250            perpetual
Inside Hosts                   : Unlimited      perpetual
Failover                       : Active/Active  perpetual
VPN-DES                        : Enabled        perpetual
VPN-3DES-AES                   : Disabled       perpetual
Security Contexts              : 2              perpetual
GTP/GPRS                       : Disabled       perpetual
SSL VPN Peers                  : 2              perpetual
Total VPN Peers                : 5000           perpetual
Shared License                 : Disabled       perpetual
AnyConnect for Mobile          : Disabled       perpetual
AnyConnect for Cisco VPN Phone : Disabled       perpetual
AnyConnect Essentials          : Disabled       perpetual
Advanced Endpoint Assessment   : Disabled       perpetual
UC Phone Proxy Sessions        : 2              perpetual
Total UC Proxy Sessions        : 2              perpetual
Botnet Traffic Filter          : Disabled       perpetual
Intercompany Media Engine      : Disabled       perpetual

This platform has an ASA 5550 VPN Premium license.



Содержание

Сообщения в этом обсуждении
"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 05-Июл-11 00:29 
может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел в конфиге
sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
Может быть поможет.
Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных VPN-пиров в данной железке?
Давно покупали железку? не было проблем при закупке с des?

"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 05-Июл-11 08:34 
> может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел
> в конфиге
> sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
> Может быть поможет.
> Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных
> VPN-пиров в данной железке?
> Давно покупали железку? не было проблем при закупке с des?

sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на форум постил.
VPN-пиров вроде бы 5000, на работу приду и скажу точно.
Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай" :)


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 05-Июл-11 16:47 
>[оверквотинг удален]
>> sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
>> Может быть поможет.
>> Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных
>> VPN-пиров в данной железке?
>> Давно покупали железку? не было проблем при закупке с des?
> sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на
> форум постил.
> VPN-пиров вроде бы 5000, на работу приду и скажу точно.
> Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай"
> :)

Upd.
Поменял конфиг и дебаг ожил

конфиг:

ASA Version 8.3(1)
!
interface GigabitEthernet1/1
description Default Gateway
nameif dg
security-level 0
ip address 192.168.0.3 255.255.255.0
!
ftp mode passive
dns domain-lookup local-to-inet
dns domain-lookup dg
dns server-group dns
name-server 213.234.192.8
name-server 85.21.192.3
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network local-inet
subnet 192.168.0.0 255.255.0.0
access-list icmp extended permit ip any any
pager lines 1000
logging asdm informational
mtu management 1500
mtu dg 1500
ip local pool vpn-pool 192.168.0.110-192.168.0.115 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any dg
no asdm history enable
arp timeout 14400
!
object network local-inet
nat (any,local-to-inet) dynamic interface dns
access-group icmp global
route local-to-inet 0.0.0.0 0.0.0.0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
http 10.0.0.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA
ESP-DES-MD5 vpn-tran
crypto map dg_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map dg_map interface dg
crypto isakmp enable dg
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
telnet 10.0.0.0 255.255.255.0 management
telnet timeout 60
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 195.14.40.141
webvpn
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
group-lock value DefaultRAGroup
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global


Дебаг выдает следующее:


LOCAL-Back# Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE RECEIVED Mess
age (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR
(13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total le
ngth : 384
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, processing SA payload
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Unknown  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Unknown  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Group 2  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Group 2  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + NOTIFY (11) + NONE (0) total length : 252
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, All SA proposals found unaccep
table
Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, Error processing payload: Payload ID
: 1
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE MM Responder FSM error his
tory (struct &0x28e66760)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_START, EV_R
CV_MSG-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM--
>MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM

Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE SA MM:12eb8c70 terminating
:  flags 0x01000002, refcnt 0, tuncnt 0
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, sending delete/delete with rea
son message


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 05-Июл-11 21:13 
В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я не понял, устанавливали доп лицензию на vpn?



"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 06-Июл-11 09:18 
> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я
> не понял, устанавливали доп лицензию на vpn?

На данный момент проблема с VPN L2TP/IPsec осталась.
Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по конфигу и сделал как было написано, как результат - дебаг стал хоть что-то показывать.

Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec?


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 06-Июл-11 14:01 
>> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я
>> не понял, устанавливали доп лицензию на vpn?
> На данный момент проблема с VPN L2TP/IPsec осталась.
> Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по
> конфигу и сделал как было написано, как результат - дебаг стал
> хоть что-то показывать.
> Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec?

Предусматривает. Меня интересовало количество возможных vpn-подключений


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 07-Июл-11 12:11 
Собрал схему, с таким конфигом работает:

crypto ipsec transform-set vpnl2tp esp-3des esp-sha-hmac
crypto ipsec transform-set vpnl2tp mode transport
crypto dynamic-map DYN 10 set transform-set vpnl2tp
crypto map VPN 20 ipsec-isakmp dynamic DYN
crypto map VPN interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
group-policy VPN_group internal
group-policy VPN_group attributes
dns-server value 192.168.30.7
default-domain value aleks.com
username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0
tunnel-group DefaultRAGroup general-attributes
address-pool VPNUSERS
default-group-policy VPN_group
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 07-Июл-11 13:16 
>[оверквотинг удален]
>  default-domain value aleks.com
> username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0
> tunnel-group DefaultRAGroup general-attributes
>  address-pool VPNUSERS
>  default-group-policy VPN_group
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *
> tunnel-group DefaultRAGroup ppp-attributes
>  authentication ms-chap-v2
> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0

Алекс, спасибо за помощь.
Решил использовать cisco vpn client. Под него настроить получилось.
Чуток попозже попробую для вин клиентов.


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 07-Июл-11 16:26 
>[оверквотинг удален]
>>  address-pool VPNUSERS
>>  default-group-policy VPN_group
>> tunnel-group DefaultRAGroup ipsec-attributes
>>  pre-shared-key *
>> tunnel-group DefaultRAGroup ppp-attributes
>>  authentication ms-chap-v2
>> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
> Алекс, спасибо за помощь.
> Решил использовать cisco vpn client. Под него настроить получилось.
> Чуток попозже попробую для вин клиентов.

для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно не прописывает. Клиент лучше работает и имеет массу других преимуществ


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 07-Июл-11 21:48 
>[оверквотинг удален]
>>> tunnel-group DefaultRAGroup ipsec-attributes
>>>  pre-shared-key *
>>> tunnel-group DefaultRAGroup ppp-attributes
>>>  authentication ms-chap-v2
>>> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
>> Алекс, спасибо за помощь.
>> Решил использовать cisco vpn client. Под него настроить получилось.
>> Чуток попозже попробую для вин клиентов.
> для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно
> не прописывает. Клиент лучше работает и имеет массу других преимуществ

Спасибо за помощь!


Пожалуйста, помогите решить еще одну проблему.

Получилось поднять L2TP/ipsec с вин ХР.
Если компьютер, с которого идет подключение, соединен напрямую к ASA, на котором поднят l2tp сервер - все хорошо. Стоит переместить cisco ASA, на которой поднять L2TP сервер за nat - сразу же (моментально) вылетает ошибка 789.

Для ясности прилагаю схему подключения:
http://imageshack.us/photo/my-images/11/87087360.png/

Задача такова:
необходимо от PC 1 поднять l2tp/ipsec до интерфейса ASA 2 192.168.3.2 (транслируя порты) и получить доступ к сети 192.168.0.0/24.

Дебаг выдает следующее:
Aug 19 16:40:11 [IKEv1]: Group = DefaultRAGroup, IP = хххх, PHASE 1 COMPLETED
Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alive type for this connection: None
Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alives configured on but peer does not support keep-alives (type = None)
Aug 19 16:40:11 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, Starting P1 rekey timer: 2700 seconds.
Aug 19 16:40:12 [IKEv1]: IP = хххх, IKE_DECODE RECEIVED Message (msgid=942be6a1) with payloads : HDR + HASH (8) + SA (1) +
NONCE (10) + KE (4) + NONE (0) total length : 284
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing hash payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing SA payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing nonce payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ke payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ISA_KE for PFS in phase 2
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, peer is not authenticated by xauth - drop connection.
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, QM FSM error (P2 struct &0x48b3b48, mess id 0x942be6a1)!
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, IKE QM Responder FSM error history (struct &0x48b3b48) <
state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, NullEvent-->QM_BLD_MSG2, EV_
COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2, EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, sending delete/delete with reason message
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, Removing peer from correlator table failed, no match!


Показать не могу конфиг (только завтра), если поможет:
ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х.
На ASA 1 настроен проброс портов 1701 и 500
object network vpn-allow-1701
host 192.168.3.2
nat (inside,outside) static interface servise udp 1701 1701
object network vpn-allow-500
host 192.168.3.2
nat (inside,outside) static interface servise udp 500 500
(могу ошибиться в синтаксисе, пишу по памяти)


NAT-T выключен, ибо если его включить, то соединение вообще не происходит.


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 08-Июл-11 08:33 
>[оверквотинг удален]
> ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х.
> На ASA 1 настроен проброс портов 1701 и 500
> object network vpn-allow-1701
>  host 192.168.3.2
>  nat (inside,outside) static interface servise udp 1701 1701
> object network vpn-allow-500
>  host 192.168.3.2
>  nat (inside,outside) static interface servise udp 500 500
>  (могу ошибиться в синтаксисе, пишу по памяти)
> NAT-T выключен, ибо если его включить, то соединение вообще не происходит.

Конфиг ASA 1:

object network dmz-inet
subnet 192.168.0.0 255.255.0.0
object network tcp-80
host 192.168.3.3
object network vpn-allow
host 192.168.3.2
object network dmz-inet
nat (any,outside) dynamic interface dns
object network tcp-80
nat (inside,outside) static interface service tcp www www
object network vpn-allow
nat (inside,outside) static interface service udp isakmp isakmp

Конфиг ASA 2:
object network local-inet
subnet 192.168.0.0 255.255.0.0
object network local-inet
nat (any,local-to-inet) dynamic interface dns

crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map o-d-m 10 set transform-set vpn-tran
crypto map o-map 65000 ipsec-isakmp dynamic o-d-m
crypto map o-map interface local-to-inet
crypto isakmp identity address
crypto isakmp enable local-to-inet
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
no crypto isakmp nat-traversal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
username root attributes
service-type admin
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 08-Июл-11 10:33 
>[оверквотинг удален]
> username root attributes
>  service-type admin
> tunnel-group DefaultRAGroup general-attributes
>  address-pool vpn-pool
>  default-group-policy DefaultRAGroup
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *****
> tunnel-group DefaultRAGroup ppp-attributes
>  no authentication chap
>  authentication ms-chap-v2

Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не работает у вас, когда включаете. Так не нестроен проброс этого порта


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 08-Июл-11 12:28 
>[оверквотинг удален]
>>  address-pool vpn-pool
>>  default-group-policy DefaultRAGroup
>> tunnel-group DefaultRAGroup ipsec-attributes
>>  pre-shared-key *****
>> tunnel-group DefaultRAGroup ppp-attributes
>>  no authentication chap
>>  authentication ms-chap-v2
> Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для
> того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не
> работает у вас, когда включаете. Так не нестроен проброс этого порта

Проброс настроил, винду пропатчил. Теперь затыкается на 2 фазе. Ошибка 789 (моментально). По ваершарку с компа затыкается все на запросах от компа: "ISAKMP Quick Mode", ответов по ваершарку от cisco ASA нет.

Дебаг выдает:

Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, PHASE 1 CO
MPLETED
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alive type for this connectio
n: None
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alives configured on but peer
does not support keep-alives (type = None)
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, Star
ting P1 rekey timer: 21600 seconds.
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE RECEIVED Message (msgid
=4bab0f43) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5
) + NONE (0) total length : 291
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing hash payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing SA payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing nonce payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing ID payload
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received r
emote Proxy Host FQDN in ID Payload:  Host Name: verge-12318352f  Address 0.0.0.
0, Protocol 17, Port 1701
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing ID payload
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received l
ocal Proxy Host data in ID Payload:  Address 87.245.143.140, Protocol 17, Port 1
701
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Error proc
essing payload: Payload ID: 5
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, QM FSM err
or (P2 struct &0x2829b5c8, mess id 0x4bab0f43)!
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
QM Responder FSM error history (struct &0x2829b5c8)  <state>, <event>:  QM_DONE,
EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, Nu
llEvent-->QM_BLD_MSG2, EV_COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2
, EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send
ing delete/delete with reason message
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Removing p
eer from correlator table failed, no match!
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
SA MM:d26a842d rcv'd Terminate: state MM_ACTIVE  flags 0x00000042, refcnt 1, tun
cnt 0
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
SA MM:d26a842d terminating:  flags 0x01000002, refcnt 0, tuncnt 0
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send
ing delete/delete with reason message
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing blank hash payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing IKE delete payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing qm hash payload
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE SENDING Message (msgid=
9d64c90c) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length :
76
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Session is
being torn down. Reason: Unknown
Jul 08 00:51:37 [IKEv1]: Ignoring msg to mark SA with dsID 4096 dead because SA
deleted
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping
Jul 08 00:51:39 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping
Jul 08 00:51:42 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping

Конфиг

crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map o-d-m 10 set transform-set vpn-tran
crypto map o-map 65000 ipsec-isakmp dynamic o-d-m
crypto map o-map interface local-to-inet
crypto isakmp identity address
crypto isakmp enable local-to-inet
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
crypto isakmp nat-traversal 10
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
username root attributes
service-type admin
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2

Нашел информацию, что возможна причина в ACL, но добавление строк:
access-list vpn extended permit ip any any log
crypto dynamic-map o-d-m 10 match address vpn
ситуацию не изменило. Дебаг выдает все тоже самое


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 08-Июл-11 16:08 
>[оверквотинг удален]
>  default-group-policy DefaultRAGroup
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *****
> tunnel-group DefaultRAGroup ppp-attributes
>  no authentication chap
>  authentication ms-chap-v2
> Нашел информацию, что возможна причина в ACL, но добавление строк:
> access-list vpn extended permit ip any any log
> crypto dynamic-map o-d-m 10 match address vpn
> ситуацию не изменило. Дебаг выдает все тоже самое

а без nat работает? ну в смысле напрямую?
Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если в вашей железке это не поддерживается, то ... не знаю, что сделать


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 08-Июл-11 16:11 
>[оверквотинг удален]
>>  no authentication chap
>>  authentication ms-chap-v2
>> Нашел информацию, что возможна причина в ACL, но добавление строк:
>> access-list vpn extended permit ip any any log
>> crypto dynamic-map o-d-m 10 match address vpn
>> ситуацию не изменило. Дебаг выдает все тоже самое
> а без nat работает? ну в смысле напрямую?
> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
> в вашей железке это не поддерживается, то ... не знаю, что
> сделать

Напрямую все работает.
С group 2 даже напрямую не хочет подключаться, работает только с group 1.
На других форумах вычитал, что для win XP group 1 надо ставить...


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 08-Июл-11 20:48 
>[оверквотинг удален]
>>> crypto dynamic-map o-d-m 10 match address vpn
>>> ситуацию не изменило. Дебаг выдает все тоже самое
>> а без nat работает? ну в смысле напрямую?
>> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
>> в вашей железке это не поддерживается, то ... не знаю, что
>> сделать
> Напрямую все работает.
> С group 2 даже напрямую не хочет подключаться, работает только с group
> 1.
> На других форумах вычитал, что для win XP group 1 надо ставить...

Странно, но у меня с XP group 2 отлично работает, так что...не знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 пробрасываете natом наружу?



"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Aleks305 , 08-Июл-11 21:15 
>[оверквотинг удален]
>>> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
>>> в вашей железке это не поддерживается, то ... не знаю, что
>>> сделать
>> Напрямую все работает.
>> С group 2 даже напрямую не хочет подключаться, работает только с group
>> 1.
>> На других форумах вычитал, что для win XP group 1 надо ставить...
> Странно, но у меня с XP group 2 отлично работает, так что...не
> знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500
> пробрасываете natом наружу?

попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту


"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"
Отправлено Desan , 11-Июл-11 12:17 
>[оверквотинг удален]
>>>> в вашей железке это не поддерживается, то ... не знаю, что
>>>> сделать
>>> Напрямую все работает.
>>> С group 2 даже напрямую не хочет подключаться, работает только с group
>>> 1.
>>> На других форумах вычитал, что для win XP group 1 надо ставить...
>> Странно, но у меня с XP group 2 отлично работает, так что...не
>> знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500
>> пробрасываете natом наружу?
> попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту

Удалял - не помогает....

Вот конфиг проброса портов
object network dmz-inet
subnet 192.168.0.0 255.255.0.0
object network tcp-80
host 192.168.3.3
object network vpn-allow
host 192.168.3.2
object network nat-4500
host 192.168.3.2
object network vpn-1701
host 192.168.3.2
object network dmz-inet
nat (any,outside) dynamic interface dns
object network tcp-80
nat (dmz,outside) static interface service tcp www www
object network vpn-allow
nat (dmz,outside) static interface service udp isakmp isakmp
object network nat-4500
nat (dmz,outside) static interface service udp 4500 4500
object network vpn-1701
nat (dmz,outside) static interface service udp 1701 1701

Еще что-то надо пробросить?