URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 430
[ Назад ]

Исходное сообщение
"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"

Отправлено fomik2 , 06-Янв-13 16:25 
Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего интерфейса на хост в главном офисе проходит, когда от хоста внутренний интерфейс ASA пингую - не пингуется.

ASA Version 8.4(4)
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.249.1 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group inet
ip address pppoe setroute
!
ftp mode passive
dns server-group DefaultDNS
domain-name soglasie.ru
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj-any
subnet 0.0.0.0 0.0.0.0
object network 172.16.0.0-16
subnet 172.16.0.0 255.255.0.0
object network 172.17.0.0-16
subnet 172.17.0.0 255.255.0.0
object network 192.168.2.0-24
subnet 192.168.2.0 255.255.255.0
object network 192.168.3.0-24
subnet 192.168.3.0 255.255.255.0
object network 192.168.1.0-24
subnet 192.168.1.0 255.255.255.0
object network 192.168.38.0-23
subnet 192.168.38.0 255.255.254.0
object network inside-net
subnet 192.168.249.0 255.255.255.240
object network 192.168.32.0-23
subnet 192.168.32.0 255.255.254.0
object-group network GO-nets
network-object object 192.168.2.0-24
network-object object 192.168.3.0-24
network-object object 172.16.0.0-16
network-object object 172.17.0.0-16
network-object object 192.168.1.0-24
network-object object 192.168.38.0-23
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.16.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.3.0 255.255.255.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.17.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.32.0 255.255.254.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.1.0 255.255.255.0
access-list 101 extended permit ip 192.168.249.0 255.255.255.240 192.168.38.0 255.255.254.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT
!
object network obj_any
nat (inside,outside) dynamic interface
object network obj-any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set myset esp-des esp-md5-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer **** ****
crypto map outside_map 20 set ikev1 transform-set myset
crypto map outside_map 20 set nat-t-disable
crypto map outside_map 30 match address 101
crypto map outside_map 30 set peer ****
crypto map outside_map 30 set ikev1 transform-set myset
crypto map outside_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 60
ssh 0.0.0.0 0.0.0.0 inside

ssh timeout 60
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside


dhcpd dns 172.16.214.164 8.8.8.8
dhcpd auto_config outside
dhcpd option 242 ascii HTTPSRVR=172.17.1.11,MCIPADD=172.17.5.5,MCPORT=1719
!
dhcpd address 192.168.249.2-192.168.249.14 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn

tunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
!
!
prompt hostname context
no call-home reporting anonymous

: end


icmp permit any пробовал - не работает.


Содержание

Сообщения в этом обсуждении
"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено Aleks305 , 06-Янв-13 17:41 
>[оверквотинг удален]
>  ikev1 pre-shared-key *****
> tunnel-group **** type ipsec-l2l
> tunnel-group **** ipsec-attributes
>  ikev1 pre-shared-key *****
> !
> !
> prompt hostname context
> no call-home reporting anonymous
> : end
> icmp permit any пробовал - не работает.

читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно решить с использованием management interface


"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено fomik2 , 09-Янв-13 17:20 
>[оверквотинг удален]
>> tunnel-group **** ipsec-attributes
>>  ikev1 pre-shared-key *****
>> !
>> !
>> prompt hostname context
>> no call-home reporting anonymous
>> : end
>> icmp permit any пробовал - не работает.
> читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно
> решить с использованием management interface

Пробовал - не помогает.



"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено eek , 10-Янв-13 09:29 
> Пробовал - не помогает.

Так не бывает. Либо пробовали не то, либо не пробовали.
Покажите вывод вот этого:
sh run policy-map global_policy

и этого
sh run access-list


"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено Дмитрий , 15-Янв-14 12:18 
>> Пробовал - не помогает.
> Так не бывает. Либо пробовали не то, либо не пробовали.
> Покажите вывод вот этого:
> sh run policy-map global_policy
> и этого
> sh run access-list

а разве на ciscoasa5505 работает management interface? У меня точь в точь такая же проблема, сейчас набрал:

asa5505(config)# interface ?

configure mode commands/options:
  Ethernet  IEEE 802.3
  Vlan      Catalyst Vlans
  <cr>

Менеджмента нету.


"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено Rada , 05-Фев-13 10:25 
> Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего
> интерфейса на хост в главном офисе проходит, когда от хоста внутренний
> интерфейс ASA пингую - не пингуется.

Добрый день.

Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает  run policy-map global_policy.

Nat-control  отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?

!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252

interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248

object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5

object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67

access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3

access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081



"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено radashah22 , 05-Фев-13 10:42 
Добрый день.

Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает  
%ASA-6-110003: Routing failed to locate next-hop for protocol from src
interface:src IP/src port to dest interface:dest IP/dest port.

Nat-control  отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?

!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252

interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248

object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5

object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67

access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3

access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081


"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено apex2009 , 06-Фев-13 09:47 
> Добрый день.
> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
> denied by configured rule. Хотя с аксесс листом any any permit
> на все протоколы ошибка остается. А так в логах при попытке
> инициализации выдает
>

покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa



"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"
Отправлено radashah22 , 07-Фев-13 10:08 
>> Добрый день.
>> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
>> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
>> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
>> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
>> denied by configured rule. Хотя с аксесс листом any any permit
>> на все протоколы ошибка остается. А так в логах при попытке
>> инициализации выдает
>>
> покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa

   Active SA: 4
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 4

4   IKE Peer: 87.244.112.4
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE


interface: outside
    Crypto map tag: outside_map0, seq num: 2, local addr: 86.32.171.70

      access-list outside_2_cryptomap permit ip host 86.32.171.179 host 87.244.112.61
      local ident (addr/mask/prot/port): (86.32.171.179/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (87.244.112.61/255.255.255.255/0/0)
      current_peer: 87.244.112.4

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 86.32.171.70, remote crypto endpt.: 87.244.112.4

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: FBAF326A

    inbound esp sas:
      spi: 0x7F93C435 (2140390453)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 73265152, crypto-map: outside_map0
         sa timing: remaining key lifetime (kB/sec): (3915000/2620)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0xFBAF326A (4222562922)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 73265152, crypto-map: outside_map0
         sa timing: remaining key lifetime (kB/sec): (3915000/2620)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

access-list outside_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_7 object-group DM_INLINE_NETWORK_9
object-group network DM_INLINE_NETWORK_7
network-object host 86.32.171.178
network-object host 86.32.171.179
object-group network DM_INLINE_NETWORK_9
network-object host 87.244.112.51
network-object host 87.244.112.61

Так вот со 86.32.171.179 сессия поднимается, а со 86.32.171.178 ( директли коннект) нет...


interface Ethernet0/2
no nameif
no security-level
no ip address
!
!
interface Ethernet0/2.2
vlan 777
nameif newpublic-office
security-level 100
ip address 86.32.171.178 255.255.255.248