Здравствуйте!
Пытаюсь организовать VPN туннель через два 515 пикса. Вроде с горем пополам
они у меня запустились, но вот какая возникла проблема:
при прохождении пакетов удаленный пикс кричит следующее:
Rec'd packet not an IPSEC packet. (ip) dest_addr= 10.150.15.1, src_addr=
192.168.0.10, prot= icmpЯ в итоге не пойму. Получается, что я на клиентской виндовой машине должен
что-то сказать про использование ipsec? Дело в том, что ни в доках ни в
книгах по этому поводу ничего не сказано. Говорят - настраивайте туннель и
все будет ок. Либо у меня вообще принцип построения туннеля неправильный.
Подскажите, пожалуйста!Заранее спасибо!
ДмитрийПриложения:
Структура сети:
10.150.10.0 (LAN1) --- 10.150.10.111 [PIX1] 192.168.0.2 ----
192.168.0.1 [CISCO 3750] 192.168.1.1 ---- 192.168.1.2 [PIX2]
10.150.15.111 --- 10.150.15.0 (LAN2)Конфигурация первого пикса (с пиксами работаю третий день, так что сильно не
пинать)
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list 90 permit ip 10.150.10.0 255.255.255.0 192.168.1.0 255.255.255.0
ip address outside 192.168.0.2 255.255.255.0
ip address inside 10.150.10.111 255.255.255.0
global (outside) 1 192.168.0.10-192.168.0.20
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map mymap 20 ipsec-isakmp
crypto map mymap 20 match address 90
crypto map mymap 20 set peer 192.168.1.2
crypto map mymap 20 set transform-set strong
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 192.168.1.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 1
isakmp policy 9 lifetime 86400Конфигурация второго пикса:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list 90 permit ip 10.150.15.0 255.255.255.0 192.168.0.0 255.255.255.0
ip address outside 192.168.1.2 255.255.255.0
ip address inside 10.150.15.111 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.30
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map mymap2 10 ipsec-isakmp
crypto map mymap2 10 match address 90
crypto map mymap2 10 set peer 192.168.0.2
crypto map mymap2 10 set transform-set strong
crypto map mymap2 interface outside
isakmp enable outside
isakmp key ******** address 192.168.0.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 1
дык этта...вы напутали там основательно с аксесс-листами, определяющими траффик для шифрования. да и кроме того где nat 0, который говорит, какой траффик не надо натить? :)
Вывод: изучайте внимательно пример, и просто скопируйте оттуда:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>Вывод: изучайте внимательно пример, и просто скопируйте оттуда:
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
Спасибо за ссылку! Все заработало!
Самое обидное, что примеры с прилагаемого диска и из книги от Cisco Press не заработали. И при сравнении с теперешней рабочей конфигурацией там обнаружено несколько несоответствий.