Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего интерфейса на хост в главном офисе проходит, когда от хоста внутренний интерфейс ASA пингую - не пингуется.ASA Version 8.4(4)
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.249.1 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group inet
ip address pppoe setroute
!
ftp mode passive
dns server-group DefaultDNS
domain-name soglasie.ru
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj-any
subnet 0.0.0.0 0.0.0.0
object network 172.16.0.0-16
subnet 172.16.0.0 255.255.0.0
object network 172.17.0.0-16
subnet 172.17.0.0 255.255.0.0
object network 192.168.2.0-24
subnet 192.168.2.0 255.255.255.0
object network 192.168.3.0-24
subnet 192.168.3.0 255.255.255.0
object network 192.168.1.0-24
subnet 192.168.1.0 255.255.255.0
object network 192.168.38.0-23
subnet 192.168.38.0 255.255.254.0
object network inside-net
subnet 192.168.249.0 255.255.255.240
object network 192.168.32.0-23
subnet 192.168.32.0 255.255.254.0
object-group network GO-nets
network-object object 192.168.2.0-24
network-object object 192.168.3.0-24
network-object object 172.16.0.0-16
network-object object 172.17.0.0-16
network-object object 192.168.1.0-24
network-object object 192.168.38.0-23
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.16.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.3.0 255.255.255.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.17.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.32.0 255.255.254.0
access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.1.0 255.255.255.0
access-list 101 extended permit ip 192.168.249.0 255.255.255.240 192.168.38.0 255.255.254.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT
!
object network obj_any
nat (inside,outside) dynamic interface
object network obj-any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set myset esp-des esp-md5-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer **** ****
crypto map outside_map 20 set ikev1 transform-set myset
crypto map outside_map 20 set nat-t-disable
crypto map outside_map 30 match address 101
crypto map outside_map 30 set peer ****
crypto map outside_map 30 set ikev1 transform-set myset
crypto map outside_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 60
ssh 0.0.0.0 0.0.0.0 insidessh timeout 60
ssh key-exchange group dh-group1-sha1
console timeout 0
management-access inside
dhcpd dns 172.16.214.164 8.8.8.8
dhcpd auto_config outside
dhcpd option 242 ascii HTTPSRVR=172.17.1.11,MCIPADD=172.17.5.5,MCPORT=1719
!
dhcpd address 192.168.249.2-192.168.249.14 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpntunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group **** type ipsec-l2l
tunnel-group **** ipsec-attributes
ikev1 pre-shared-key *****
!
!
prompt hostname context
no call-home reporting anonymous: end
icmp permit any пробовал - не работает.
>[оверквотинг удален]
> ikev1 pre-shared-key *****
> tunnel-group **** type ipsec-l2l
> tunnel-group **** ipsec-attributes
> ikev1 pre-shared-key *****
> !
> !
> prompt hostname context
> no call-home reporting anonymous
> : end
> icmp permit any пробовал - не работает.читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно решить с использованием management interface
>[оверквотинг удален]
>> tunnel-group **** ipsec-attributes
>> ikev1 pre-shared-key *****
>> !
>> !
>> prompt hostname context
>> no call-home reporting anonymous
>> : end
>> icmp permit any пробовал - не работает.
> читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно
> решить с использованием management interfaceПробовал - не помогает.
> Пробовал - не помогает.Так не бывает. Либо пробовали не то, либо не пробовали.
Покажите вывод вот этого:
sh run policy-map global_policyи этого
sh run access-list
>> Пробовал - не помогает.
> Так не бывает. Либо пробовали не то, либо не пробовали.
> Покажите вывод вот этого:
> sh run policy-map global_policy
> и этого
> sh run access-listа разве на ciscoasa5505 работает management interface? У меня точь в точь такая же проблема, сейчас набрал:
asa5505(config)# interface ?
configure mode commands/options:
Ethernet IEEE 802.3
Vlan Catalyst Vlans
<cr>Менеджмента нету.
> Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего
> интерфейса на хост в главном офисе проходит, когда от хоста внутренний
> интерфейс ASA пингую - не пингуется.Добрый день.
Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает run policy-map global_policy.Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081
Добрый день.Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает
%ASA-6-110003: Routing failed to locate next-hop for protocol from src
interface:src IP/src port to dest interface:dest IP/dest port.Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081
> Добрый день.
> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
> denied by configured rule. Хотя с аксесс листом any any permit
> на все протоколы ошибка остается. А так в логах при попытке
> инициализации выдает
>покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa
>> Добрый день.
>> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
>> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
>> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
>> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
>> denied by configured rule. Хотя с аксесс листом any any permit
>> на все протоколы ошибка остается. А так в логах при попытке
>> инициализации выдает
>>
> покажите вывод команд: sh cry isakmp sa и sh cry ipsec saActive SA: 4
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 44 IKE Peer: 87.244.112.4
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
interface: outside
Crypto map tag: outside_map0, seq num: 2, local addr: 86.32.171.70access-list outside_2_cryptomap permit ip host 86.32.171.179 host 87.244.112.61
local ident (addr/mask/prot/port): (86.32.171.179/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (87.244.112.61/255.255.255.255/0/0)
current_peer: 87.244.112.4#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 86.32.171.70, remote crypto endpt.: 87.244.112.4
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: FBAF326Ainbound esp sas:
spi: 0x7F93C435 (2140390453)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 73265152, crypto-map: outside_map0
sa timing: remaining key lifetime (kB/sec): (3915000/2620)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0xFBAF326A (4222562922)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 73265152, crypto-map: outside_map0
sa timing: remaining key lifetime (kB/sec): (3915000/2620)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001access-list outside_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_7 object-group DM_INLINE_NETWORK_9
object-group network DM_INLINE_NETWORK_7
network-object host 86.32.171.178
network-object host 86.32.171.179
object-group network DM_INLINE_NETWORK_9
network-object host 87.244.112.51
network-object host 87.244.112.61Так вот со 86.32.171.179 сессия поднимается, а со 86.32.171.178 ( директли коннект) нет...
interface Ethernet0/2
no nameif
no security-level
no ip address
!
!
interface Ethernet0/2.2
vlan 777
nameif newpublic-office
security-level 100
ip address 86.32.171.178 255.255.255.248