URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5365
[ Назад ]

Исходное сообщение
"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 09:43

Всё делаю как написано на cisco.com!
но не работает выдают вот такое сообщение пикс
crypto_isakmp_process_block:src:212.19.128.158, dest:XXX.XXX.XXX.XXX spt:500 dpt:500
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 2766297323
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (basic) of 3600
ISAKMP:      SA life type in kilobytes
ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
ISAKMP:      authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= XXX.XXX.XXX.XXX, src= 212.19.128.158,
    dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    src_proxy= 10.1.50.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= XXX.XXX.XXX.XXX, src= 212.19.128.158,
    dest_proxy= 10.1.50.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3
pixfirewall# sh crypto isa sa
Total     : 3
Embryonic : 0
        dst               src        state     pending     created
194.186.240.173    XXX.XXX.XXX.XXX    QM_IDLE         0           1
   XXX.XXX.XXX.XXX   212.19.128.158    QM_IDLE         0           0
   XXX.XXX.XXX.XXX   212.19.128.158    QM_IDLE         0           0
pixfirewall#
Т.е. фаза один как бы работает, а вот на фазе два ломаеться! Помогите не знаю уже чего делать!!!
PS. На этом же пиксе реализован PIX-to-PIX и клиенты VPN ходят нормально!
Чего делать ума не приложу!

Содержание

route 804-805 ti pix 520,ВОЛКА, 09:50 , 24-Май-04
- route 804-805 ti pix 520,nvinokurtsev, 11:22 , 24-Май-04
  - route 804-805 ti pix 520,nvinokurtsev, 11:38 , 24-Май-04
  - route 804-805 ti pix 520,ВОЛКА, 11:42 , 24-Май-04
    - route 804-805 ti pix 520,nvinokurtsev, 11:47 , 24-Май-04
      - route 804-805 ti pix 520,nvinokurtsev, 12:49 , 24-Май-04
        
        route 804-805 ti pix 520,nvinokurtsev, 13:20 , 24-Май-04
      - route 804-805 ti pix 520,ВОЛКА, 13:01 , 24-Май-04
        
        route 804-805 ti pix 520,nvinokurtsev, 13:08 , 24-Май-04
        
        route 804-805 ti pix 520,Volume, 13:35 , 24-Май-04
        
        route 804-805 ti pix 520,nvinokurtsev, 13:41 , 24-Май-04
        route 804-805 ti pix 520,nvinokurtsev, 13:58 , 24-Май-04
route 804-805 ti pix 520,nvinokurtsev, 15:27 , 24-Май-04
- route 804-805 ti pix 520,ВОЛКА, 16:22 , 24-Май-04
  - route 804-805 ti pix 520,nvinokurtsev, 05:49 , 25-Май-04
    - route 804-805 ti pix 520,nvinokurtsev, 06:47 , 25-Май-04
      - route 804-805 ti pix 520,AlexDv, 13:12 , 25-Май-04
        
        route 804-805 ti pix 520,nvinokurtsev, 13:39 , 25-Май-04
route 804-805 ti pix 520,nvinokurtsev, 05:50 , 25-Май-04
- route 804-805 ti pix 520,nvinokurtsev, 12:45 , 25-Май-04
  - route 804-805 ti pix 520,nvinokurtsev, 15:35 , 25-Май-04

Сообщения в этом обсуждении

"route 804-805 ti pix 520"
Отправлено ВОЛКА , 24-Май-04 09:50

> Чего делать ума не приложу!
конфиги показывать...

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 11:22

Не вопрос! Вот конфиг пикса:
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-128-MD5
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-AES-256-MD5
crypto dynamic-map outside_dyn_map 40 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 194.186.240.173
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer 212.19.128.158
crypto map outside_map 40 set transform-set ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication TACACS+
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address ННН.ННН.ННН.ННН netmask 255.255.255.255 no-xauth no-config-mode
isakmp key ******** address 212.19.128.158 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption aes
isakmp policy 40 hash md5
isakmp policy 40 group 5
isakmp policy 40 lifetime 86400
isakmp policy 60 authentication pre-share
isakmp policy 60 encryption aes-256
isakmp policy 60 hash md5
isakmp policy 60 group 5
isakmp policy 60 lifetime 86400
isakmp policy 80 authentication pre-share
isakmp policy 80 encryption des
isakmp policy 80 hash md5
isakmp policy 80 group 1
isakmp policy 80 lifetime 86400
vpngroup sped address-pool sped_filial
vpngroup sped split-tunnel sped_splitTunnelAcl
vpngroup sped idle-time 1800
vpngroup sped password ********
vpngroup vpn3000 address-pool local_vpn
vpngroup vpn3000 dns-server 192.168.253.2 XXX.XXX.XXX.8
vpngroup vpn3000 default-domain tural.kz
vpngroup vpn3000 split-tunnel vpn3000_splitTunnelAcl
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
вот конфиг маршрутизатора:
crypto isakmp policy 11
hash md5
authentication pre-share
crypto isakmp key cisco address XXX.XXX.XXX.2 no-xauth
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer XXX.XXX.XXX.2
set transform-set sharks
match address 120
interface Dialer2
crypto map nolan
!
ip nat inside source route-map nolan interface Dialer2 overload
access-list 120 permit ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 120 permit ip 10.1.50.0 0.0.0.255 XXX.XXX.XXX.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 XXX.XXX.XXX.0 0.0.0.255
access-list 130 permit ip 10.1.50.0 0.0.0.255 any
route-map nonat permit 10
match ip address 130

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 11:38

В настройки маршрутизатора вкралась ошибочка! вот так правильно тратовать нужно
ip nat inside source route-map nonat interface Dialer2 overload
!
access-list 120 permit ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 120 permit ip 10.1.50.0 0.0.0.255 212.154.132.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 212.154.132.0 0.0.0.255
access-list 130 permit ip 10.1.50.0 0.0.0.255 any
!
route-map nonat permit 10
match ip address 130

"route 804-805 ti pix 520"
Отправлено ВОЛКА , 24-Май-04 11:42

где списки доступа?

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 11:47

Вот они!
access-list outside_cryptomap_40 line 1 permit ip host 192.168.253.20 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 2 permit ip host 192.168.253.30 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 3 permit ip host 192.168.253.101 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 4 permit ip host 192.168.253.20 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 5 permit ip host 192.168.253.30 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 6 permit ip host 192.168.253.101 10.1.50.0 255.255.255.0 (hitcnt=0)

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 12:49

Прикол в другом! если я с сетки 192.168.253.0 пытаюсь делать пинги на сетку 10.1.50.0 то всё нормально стартует и работает до того момента как упадёт тунель, а потом снова не работает!
Прикольно!!!

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 13:20

И еще ... работает только один ИП на выход, а два не работают! Странно! А нужно чтобы работало как минимум два ИП одновременно!!!

"route 804-805 ti pix 520"
Отправлено ВОЛКА , 24-Май-04 13:01

они не симметиричные...

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 13:08

а как это победить? мне бы надо наоборот чтобы работало! Так как железка уйдёт в филиала, он будет где-то за 3-4 тыс.км. А надо чтобы из филиала устанавливали соединение, т.е. с маршрутизатора а не с пикса как сейчас!!!!

"route 804-805 ti pix 520"
Отправлено Volume , 24-Май-04 13:35

>а как это победить? мне бы надо наоборот чтобы работало! Так как
>железка уйдёт в филиала, он будет где-то за 3-4 тыс.км. А
>надо чтобы из филиала устанавливали соединение, т.е. с маршрутизатора а не
>с пикса как сейчас!!!!
документацию надо почитать еще раз и повнимательней

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 13:41

А если ткнуть носом где читать? Мне в принципе нужно чтобы маршрутизатор устанавливал соединение, а пикса тупо ждал когда к нему придут

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 13:58

Я делал по вот этому примеру
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 24-Май-04 15:27

Ну народ! Чего идей нету чтоль??? А то горю! Ехать надоть в филиал через два дня, а она уже неделю как не работает!!!!

"route 804-805 ti pix 520"
Отправлено ВОЛКА , 24-Май-04 16:22

написать симметричные списки доступа...

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 05:49

Да как бы списки доступа уже сделаны давно, просто в первом примере я с двух разных версий конфигов взял и не много ошибся, так сказать!
Посему версию о несиметричности листов отпадают сразу же!
А вот почему пикс ругаеться на
ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3
Вот это не понятно!!!

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 06:47

Вот тут видно что правила как бы срабатывают! Идёт коннект
с адресов 10.2.0.0 255.255.255.0 на адреса 192.168.253.0 255.255.255.0
ISAKMP (0): processing SA payload. message ID = 1116307544
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (basic) of 3600
ISAKMP:      SA life type in kilobytes
ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
ISAKMP:      authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
    dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    src_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
    dest_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3

Кстати а что за фраза
IPSEC(validate_transform_proposal): proxy identities not supported
За что она отвечает???

"route 804-805 ti pix 520"
Отправлено AlexDv , 25-Май-04 13:12

>Вот тут видно что правила как бы срабатывают! Идёт коннект
>с адресов 10.2.0.0 255.255.255.0 на адреса 192.168.253.0 255.255.255.0
>
>ISAKMP (0): processing SA payload. message ID = 1116307544
>
>ISAKMP : Checking IPSec proposal 1
>
>ISAKMP: transform 1, ESP_DES
>ISAKMP:   attributes in transform:
>ISAKMP:      encaps is 1
>ISAKMP:      SA life type in seconds
>ISAKMP:      SA life duration (basic) of 3600
>
>ISAKMP:      SA life type in kilobytes
>ISAKMP:      SA life duration (VPI) of
>0x0 0x46 0x50 0x0
>ISAKMP:      authenticator is HMAC-MD5
>ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
>  (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
>    dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
>    src_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
>    protocol= ESP, transform= esp-des esp-md5-hmac ,
>    lifedur= 0s and 0kb,
>    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
>
>IPSEC(validate_transform_proposal): proxy identities not supported
>IPSEC(validate_proposal_request): proposal part #1,
>  (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
>    dest_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
>    src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
>    protocol= ESP, transform= esp-des esp-md5-hmac ,
>    lifedur= 0s and 0kb,
>    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
>
>IPSEC(validate_transform_proposal): proxy identities not supported
>
>ISAKMP: IPSec policy invalidated proposal
>ISAKMP (0): SA not acceptable!
>ISAKMP (0): sending NOTIFY message 14 protocol 3
>
>
>Кстати а что за фраза
>IPSEC(validate_transform_proposal): proxy identities not supported
>За что она отвечает???

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 13:39

И вы хотите сказать, что я написал не правильно лист?
Вот листы с роутера:
Các806#sh ip acce 120
Extended IP access list 120
    20 permit ip 10.1.51.0 0.0.0.255 192.168.253.0 0.0.0.255 (6589 matches)
А вот на пиксе
access-list outside_cryptomap_40 line 1 permit ip host 192.168.253.20 10.1.51.0 255.255.255.0 (hitcnt=2948)
access-list outside_cryptomap_40 line 2 permit ip host 192.168.253.30 10.1.51.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 3 permit ip host 192.168.253.101 10.1.51.0 255.255.255.0 (hitcnt=0)
Самое интересное что со стороны пикса на роут всё работает, а вот с роутера на пикс ломаеться
Пикс пишет вот такое
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
    dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    src_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
    dest_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
    dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    src_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
    dest_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
    src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 05:50

Кстати может быть у кого-нибудь есть готовый конфиг для работы роутера как обычного клиента VPN?
Поделитесь если не жалко

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 12:45

Горю ну помогите чем-нибудь

"route 804-805 ti pix 520"
Отправлено nvinokurtsev , 25-Май-04 15:35

Заработало! Но только после того как на пиксе прописал всё сетку в листах 192.168.253.0, а без всей сетки почему-то не подымаеться!!!