URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22995
[ Назад ]

Исходное сообщение
"IPSec ASA+MTK"
Отправлено alpolle , 17-Авг-11 12:55

Доброго времени суток!
Построил айписек туннель между ASA 5510 и микротиком.
Сам по себе туннель поднимается, все фазы проходят.
НО! Внутри туннеля пакеты не ходят.
Т.е. из одной локалки не могу даже пропинговать другую.
Пакет уходит в туннель, а дальше - тишина на обоих его концах.
В чём грабли?

Содержание

IPSec ASA+MTK,msanlimit, 17:04 , 17-Авг-11
- IPSec ASA+MTK,alpolle, 18:15 , 17-Авг-11
  - IPSec ASA+MTK,Aleks305, 23:04 , 17-Авг-11
    - IPSec ASA+MTK,alpolle, 09:54 , 18-Авг-11
IPSec ASA+MTK,alpolle, 11:41 , 18-Авг-11
- IPSec ASA+MTK,alpolle, 12:21 , 19-Авг-11
  - IPSec ASA+MTK,Velos, 00:01 , 22-Авг-11
    - IPSec ASA+MTK,alpolle, 10:52 , 22-Авг-11
      - IPSec ASA+MTK,Aleks305, 14:09 , 22-Авг-11
      - IPSec ASA+MTK,Velos, 15:12 , 22-Авг-11
        
        IPSec ASA+MTK,Velos, 16:31 , 22-Авг-11
        
        IPSec ASA+MTK,Aleks305, 17:22 , 22-Авг-11
        
        IPSec ASA+MTK,Velos, 18:39 , 22-Авг-11
IPSec ASA+MTK,alpolle, 12:23 , 23-Авг-11
- IPSec ASA+MTK,Velos, 13:11 , 23-Авг-11
  - IPSec ASA+MTK,alpolle, 13:42 , 23-Авг-11
    - IPSec ASA+MTK,Aleks305, 16:32 , 23-Авг-11
      - IPSec ASA+MTK,alpolle, 17:24 , 23-Авг-11
        
        IPSec ASA+MTK,Aleks305, 18:03 , 23-Авг-11
IPSec ASA+MTK,SyJet, 14:56 , 16-Ноя-12

Сообщения в этом обсуждении

"IPSec ASA+MTK"
Отправлено msanlimit , 17-Авг-11 17:04

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Видимо не все фазы проходят :)
Как насчёт скинуть конф и дебаги?

"IPSec ASA+MTK"
Отправлено alpolle , 17-Авг-11 18:15

>> Доброго времени суток!
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Видимо не все фазы проходят :)
> Как насчёт скинуть конф и дебаги?
Фазы проходят все - факт.
Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель.
192.168.123.0 - сеть за асой
192.168.88.0 - сеть за микротиком
real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) )
95.111.xxx.xxx - адрес пира
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.123.23 255.255.255.0
interface Ethernet0/3
nameif real
security-level 0
ip address 91.223.xxx.xxx 255.255.255.0
access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
access-list DMZ_access_in extended permit ip any any
access-list local standard permit 192.168.123.0 255.255.255.0
access-list real_access_in extended permit ip any any
access-list real standard permit 91.223.xxx.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list real_cryptomap extended permit ip any any
icmp permit any inside
icmp permit any real
nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
access-group inside_access_in in interface inside
access-group real_access_in in interface real
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 1 match address real_cryptomap
crypto map real_map 1 set peer 95.111.xxx.xxx
crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map real_map interface real
crypto isakmp identity address
no crypto isakmp nat-traversal
crypto ikev1 enable inside
crypto ikev1 enable real
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
group-policy GroupPolicy_95.111.xxx.xxx internal
group-policy GroupPolicy_95.111.xxx.xxx attributes
vpn-tunnel-protocol ikev1
tunnel-group 95.111.xxx.xxx type ipsec-l2l
tunnel-group 95.111.xxx.xxx general-attributes
default-group-policy GroupPolicy_95.111.xxx.xxx
tunnel-group 95.111.xxx.xxx ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5

"IPSec ASA+MTK"
Отправлено Aleks305 , 17-Авг-11 23:04

>[оверквотинг удален]
> access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
> access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
> access-list outside_access_in extended permit ip any any
> access-list inside_access_in extended permit ip any any
> access-list DMZ_access_in extended permit ip any any
> access-list local standard permit 192.168.123.0 255.255.255.0
> access-list real_access_in extended permit ip any any
> access-list real standard permit 91.223.xxx.0 255.255.255.0
> access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0
> 255.255.255.0
вот эта строчка нужна
> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
> 255.255.255.0
а это зачем в acl?убирайте
> access-list real_cryptomap extended permit ip any any
а это зачем в acl?убирайте
Вообще на мой взгляд какие-то странные все правила на интерфейсах - все разрешают. Зачем тогда вообще их вешать?
> icmp permit any inside
> icmp permit any real
> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
почему inside,inside?
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
это в инет натит типа или как?в предыдущих версиях ОС по-другому было
> access-group inside_access_in in interface inside
> access-group real_access_in in interface real
> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
не пойму что такое ikev1 раньше такого не было, зачем?
>[оверквотинг удален]
> address real_cryptomap
> crypto map real_map 1 set peer 95.111.xxx.xxx
> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
> ESP-DES-MD5
> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
> crypto map real_map interface real
> crypto isakmp identity address
> no crypto isakmp nat-traversal
> crypto ikev1 enable inside
зачем  на inside?что ищете в своей сети?Микротик?
>[оверквотинг удален]
>  group 5
>  lifetime 86400
> threat-detection basic-threat
> threat-detection statistics host
> threat-detection statistics port
> threat-detection statistics protocol
> threat-detection statistics access-list
> group-policy GroupPolicy_95.111.xxx.xxx internal
> group-policy GroupPolicy_95.111.xxx.xxx attributes
>  vpn-tunnel-protocol ikev1
раньше был  ipsec или наприме webvpn. Не встречал ikev1
> tunnel-group 95.111.xxx.xxx type ipsec-l2l
> tunnel-group 95.111.xxx.xxx general-attributes
>  default-group-policy GroupPolicy_95.111.xxx.xxx
> tunnel-group 95.111.xxx.xxx ipsec-attributes
>  ikev1 pre-shared-key *****
>  isakmp keepalive threshold 15 retry 5
Не увидел nat (inside) 0 ...., то есть траф, который исключается из nat и уходит в vpn
также надеюсь вводили команду sysopt connection permit-vpn

"IPSec ASA+MTK"
Отправлено alpolle , 18-Авг-11 09:54

> вот эта строчка нужна
>> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
>> 255.255.255.0
дык она есть...
> а это зачем в acl?убирайте
>> access-list real_cryptomap extended permit ip any any
эт я на всякий случай поставил, чтобы исключить, что проблема в файерволе...
> а это зачем в acl?убирайте
> Вообще на мой взгляд какие-то странные все правила на интерфейсах - все
> разрешают. Зачем тогда вообще их вешать?
>> icmp permit any inside
>> icmp permit any real
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
хм, по-моему ничего странного нету, если я разрешаю icmp на интерфейсах...
пока на момент начального конфигурирования не заморачивался с типами icmp...
> почему inside,inside?
>> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
это правило ната прописал визард ipsec подключения...
насколько я понимаю, то оно значит не натить трафик с интерфейса инсайд на указанные объекты...
>[оверквотинг удален]
>> address real_cryptomap
>> crypto map real_map 1 set peer 95.111.xxx.xxx
>> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
>> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
>> ESP-DES-MD5
>> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
>> crypto map real_map interface real
>> crypto isakmp identity address
>> no crypto isakmp nat-traversal
>> crypto ikev1 enable inside
ну может раньше и не было...
но сейчас визард спрашивает какую версию ike использовать... ikev1 или ikev2...
>[оверквотинг удален]
>>  group 5
>>  lifetime 86400
>> threat-detection basic-threat
>> threat-detection statistics host
>> threat-detection statistics port
>> threat-detection statistics protocol
>> threat-detection statistics access-list
>> group-policy GroupPolicy_95.111.xxx.xxx internal
>> group-policy GroupPolicy_95.111.xxx.xxx attributes
>>  vpn-tunnel-protocol ikev1
а где вы увидели inside?
> раньше был  ipsec или наприме webvpn. Не встречал ikev1
>> tunnel-group 95.111.xxx.xxx type ipsec-l2l
>> tunnel-group 95.111.xxx.xxx general-attributes
>>  default-group-policy GroupPolicy_95.111.xxx.xxx
>> tunnel-group 95.111.xxx.xxx ipsec-attributes
>>  ikev1 pre-shared-key *****
>>  isakmp keepalive threshold 15 retry 5
> Не увидел nat (inside) 0 ...., то есть траф, который исключается из
> nat и уходит в vpn
> также надеюсь вводили команду sysopt connection permit-vpn
команду sysopt connection permit-vpn вводил...

"IPSec ASA+MTK"
Отправлено alpolle , 18-Авг-11 11:41

upd
с помощью tcpdump-а на шлюзе обнаружил следующее:
UDP пакеты по 500 порту шифруются и летают туда и обратно...
Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP).
Вот пример udp-пакетов:
10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id]
10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id]
10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash]
10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112)
А вот пример пинга со стороны сети микротика:
10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((

"IPSec ASA+MTK"
Отправлено alpolle , 19-Авг-11 12:21

>[оверквотинг удален]
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
> 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
> 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
> Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает
> (((
разве никто не может помочь? (((

"IPSec ASA+MTK"
Отправлено Velos , 22-Авг-11 00:01

Доборого времени суток.
можно вывод команд
1)sho route
2)sho version
?

"IPSec ASA+MTK"
Отправлено alpolle , 22-Авг-11 10:52

> Доборого времени суток.
> можно вывод команд
> 1)sho route
> 2)sho version
> ?
# sh route
Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0
C    192.168.123.0 255.255.255.0 is directly connected, inside
C    10.10.10.0 255.255.255.252 is directly connected, outside
C    91.223.xxx.0 255.255.255.0 is directly connected, real
S*   0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real
# sh version
Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(3)
Compiled on Mon 31-Jan-11 02:11 by builders
System image file is "disk0:/asa841-k8.bin"
Config file at boot was "startup-config"
ASA up 1 day 16 hours
Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Я подозреваю, что проблема с НАТом...
Но где именно происходит затык - вот в чем вопрос...

"IPSec ASA+MTK"
Отправлено Aleks305 , 22-Авг-11 14:09

>[оверквотинг удален]
> Compiled on Mon 31-Jan-11 02:11 by builders
> System image file is "disk0:/asa841-k8.bin"
> Config file at boot was "startup-config"
> ASA up 1 day 16 hours
> Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600
> MHz
> Internal ATA Compact Flash, 256MB
> BIOS Flash M50FW016 @ 0xfff00000, 2048KB
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...
Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя.
Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию.

"IPSec ASA+MTK"
Отправлено Velos , 22-Авг-11 15:12

> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...
К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше...
Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям).
1) sho cry isa sa
2) sho cry ipsec sa
real_cryptomap - должна быть только строка:

access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
всё остальное - убить.
Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть.
crypto ikev1 enable inside - тоже ни к чему. Убивайте.
ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре.
ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4.
Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально.
ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).

"IPSec ASA+MTK"
Отправлено Velos , 22-Авг-11 16:31

В текущей конфигурации нат кривой.
Насколько я понял - нужно так:
object network OBJ-192.168.123.0
network 192.168.123.0 255.255.255.0
object network OBJ-192.168.88.0
network 192.168.88.0 255.255.255.0

nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0

"IPSec ASA+MTK"
Отправлено Aleks305 , 22-Авг-11 17:22

тоже с 8.4 не особо разбираюсь
> nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static
> OBJ-192.168.88.0 OBJ-192.168.88.0
это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn

"IPSec ASA+MTK"
Отправлено Velos , 22-Авг-11 18:39

> это то что раньше называлось nat 0 для того чтобы заворачивать траф
> в туннель vpn
Ну нат 0 как такового, насколько я понял, вообще нет.
Теперь это статическая запись о с директивой заменять source адрес сам на себя...
Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...

"IPSec ASA+MTK"
Отправлено alpolle , 23-Авг-11 12:23

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Всем спасибо за помощь, тему можно закрывать.
Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не только серые айпи локалки, но и хосты из ДМЗ с реальными адресами.

"IPSec ASA+MTK"
Отправлено Velos , 23-Авг-11 13:11

>[оверквотинг удален]
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Всем спасибо за помощь, тему можно закрывать.
> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
> только серые айпи локалки, но и хосты из ДМЗ с реальными
> адресами.
Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам.
Т.е. у Вас сейчас всё работает вот с этой строчкой?
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???

"IPSec ASA+MTK"
Отправлено alpolle , 23-Авг-11 13:42

>[оверквотинг удален]
>> Всем спасибо за помощь, тему можно закрывать.
>> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
>> только серые айпи локалки, но и хосты из ДМЗ с реальными
>> адресами.
> Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и
> dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то
> нат по-пути стоять будет - он будет применяться именно к этим
> адресам.
> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
Получилось так, что АСА не видела, что находится за НАТом, т.к. у неё был реальный айпи.
И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
Правило НАТа сейчас выглядит так:
(inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

"IPSec ASA+MTK"
Отправлено Aleks305 , 23-Авг-11 16:32

>[оверквотинг удален]
>> нат по-пути стоять будет - он будет применяться именно к этим
>> адресам.
>> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
> Получилось так, что АСА не видела, что находится за НАТом, т.к. у
> неё был реальный айпи.
> И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
> Правило НАТа сейчас выглядит так:
> (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
а на мой ответ по поводу закупки asa ответить можете?

"IPSec ASA+MTK"
Отправлено alpolle , 23-Авг-11 17:24

> а на мой ответ по поводу закупки asa ответить можете?
покупали асу у официального дистрибутора с лицензией...
не скажу у кого, т.к. это будет рекламой...
тем более учитывая то, что Вы из Питера, то эта инфа вам не поможет, т.к. я из Украины ))

"IPSec ASA+MTK"
Отправлено Aleks305 , 23-Авг-11 18:03

>> а на мой ответ по поводу закупки asa ответить можете?
> покупали асу у официального дистрибутора с лицензией...
> не скажу у кого, т.к. это будет рекламой...
> тем более учитывая то, что Вы из Питера, то эта инфа вам
> не поможет, т.к. я из Украины ))
ок, спасибо. Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9 только. Так и должно быть?

"IPSec ASA+MTK"
Отправлено SyJet , 16-Ноя-12 14:56

> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?
Прошу прощение за оффтоп. Как с вами связаться можно?
По вопросу cisco+webcashe