URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6
[ Назад ]

Исходное сообщение
"Asa vpn transpor mode"
Отправлено milliardik , 25-Июл-12 07:49

Здравствуйте!!! Имеется оборудование cisco asa две штуки, одна на основной площадке, др на уделенной (филиал). Необходимо настроить Ipsec vpn tunnel в transport mode
Текущие нерабочие конфигурации.
ASA main
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
interface Ethernet0/1
nameif remote
security-level 0
ip address 192.168.109.2 255.255.255.252
access-list remote_to_main extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0
crypto ipsec transform-set set esp-3des esp-md5-hmac
crypto ipsec transform-set set mode transport
crypto map remote_to_main 10 match address remote_to_main
crypto map remote_to_main 10 set pfs
crypto map remote_to_main 10 set peer 192.168.109.6
crypto map remote_to_main 10 set transform-set set
crypto map remote_to_main interface remote
crypto isakmp enable remote
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.109.6 type ipsec-l2l
tunnel-group 192.168.109.6 ipsec-attributes
pre-shared-key *
ASA2
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.18.1 255.255.255.0
interface Ethernet0/1
nameif main
security-level 0
ip address 192.168.109.6 255.255.255.252
access-list main_to_remote extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0
crypto ipsec transform-set set esp-3des esp-md5-hmac
crypto ipsec transform-set set mode transport
crypto map main_to_remote 10 match address main_to_remote
crypto map main_to_remote 10 set pfs
crypto map main_to_remote 10 set peer 192.168.109.2
crypto map main_to_remote 10 set transform-set set
crypto map main_to_remote interface main
crypto isakmp enable main
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.109.2 type ipsec-l2l
tunnel-group 192.168.109.2 ipsec-attributes
pre-shared-key *

sh isa sa
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 192.168.109.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

Содержание

Asa vpn transpor mode,Mirage_sk, 11:05 , 25-Июл-12
- Asa vpn transpor mode,milliardik, 12:01 , 25-Июл-12
- Asa vpn transpor mode,milliardik, 12:22 , 25-Июл-12
  - Asa vpn transpor mode,Mirage_sk, 13:04 , 25-Июл-12
    - Asa vpn transpor mode,milliardik, 13:51 , 25-Июл-12
      - Asa vpn transpor mode,Mirage_sk, 13:56 , 25-Июл-12
        
        Asa vpn transpor mode,milliardik, 14:10 , 25-Июл-12
        Asa vpn transpor mode,milliardik, 10:12 , 26-Июл-12

Сообщения в этом обсуждении

"Asa vpn transpor mode"
Отправлено Mirage_sk , 25-Июл-12 11:05

>[оверквотинг удален]
>     Rekey SA: 0 (A tunnel will report 1
> Active and 1 Rekey SA during rekey)
> Total IKE SA: 1
> 1   IKE Peer: 192.168.109.2
>     Type    : L2L
>           Role
>    : responder
>     Rekey   : no
>           State
>   : MM_ACTIVE
А что у вас не происходит, пакеты не ходят?
Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом:
ASA 1
Source 192.168.0.0/24
Destination 192.168.18.0/24
NAT Exempt oubound traffic from interface (interface_name) to lower security interface
ASA 2
Source 192.168.18.0/24
Destination 192.168.0.0/24
NAT Exempt oubound traffic from interface (interface_name) to lower security interface
помимо
В конфиге фаервола (ASDM) надо правила для внешнего интерфейса:
ASA 1:
разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24
ASA 2:
разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24
если пакеты пройдут, потом режте по собственному усмотрению....
и пожалуйста, отпишите, что пройзойдет

"Asa vpn transpor mode"
Отправлено milliardik , 25-Июл-12 12:01

> А что у вас не происходит, пакеты не ходят?
Да у меня не ходят пакеты.
Правильно ли Я Вас понял
> Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом:
> ASA 1
> Source 192.168.0.0/24
> Destination 192.168.18.0/24
> NAT Exempt oubound traffic from interface (interface_name) to lower security interface
access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0
nat (inside) 0 access-list test_nonat
> ASA 2
> Source 192.168.18.0/24
> Destination 192.168.0.0/24
> NAT Exempt oubound traffic from interface (interface_name) to lower security interface
access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0
nat (inside) 0 access-list test_nonat

"Asa vpn transpor mode"
Отправлено milliardik , 25-Июл-12 12:22

> Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом:
> ASA 1
> Source 192.168.0.0/24
> Destination 192.168.18.0/24
> NAT Exempt oubound traffic from interface (interface_name) to lower security interface
access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0
nat (remote) 0 access-list test_nonat
> ASA 2
> Source 192.168.18.0/24
> Destination 192.168.0.0/24
> NAT Exempt oubound traffic from interface (interface_name) to lower security interface
access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0
nat (remote) 0 access-list test_nonat
> помимо
> В конфиге фаервола (ASDM) надо правила для внешнего интерфейса:
> ASA 1:
> разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24
access-list test extended permit ip any any
> ASA 2:
> разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24
access-list test extended permit ip any any
> и пожалуйста, отпишите, что пройзойдет
Пакеты не пошли

"Asa vpn transpor mode"
Отправлено Mirage_sk , 25-Июл-12 13:04

>[оверквотинг удален]
>> помимо
>> В конфиге фаервола (ASDM) надо правила для внешнего интерфейса:
>> ASA 1:
>> разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24
> access-list test extended permit ip any any
>> ASA 2:
>> разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24
> access-list test extended permit ip any any
>> и пожалуйста, отпишите, что пройзойдет
> Пакеты не пошли
постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что изменилось...
https://supportforums.cisco.com/servlet/JiveServlet/download...

"Asa vpn transpor mode"
Отправлено milliardik , 25-Июл-12 13:51

> постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что
> изменилось...
> https://supportforums.cisco.com/servlet/JiveServlet/download...
Извините может Вы меня неправильно поняли, или Я не совсем точно пояснил проблему. Еще раз :
Если настраиваю vpn tunnel стандартно т.е. так как указано в высланном Вами мануале (default ipsec transform-set mode tunnel) то все работает, пакеты ходят. Ели же  я переключаясь на  ipsec transform-set mode transport, то пакеты перестают ходить но канал сходиться нормально:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 192.168.109.6
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport

"Asa vpn transpor mode"
Отправлено Mirage_sk , 25-Июл-12 13:56

>[оверквотинг удален]
> Active and 1 Rekey SA during rekey)
> Total IKE SA: 1
> 1   IKE Peer: 192.168.109.6
>     Type    : L2L
>           Role
>    : initiator
>     Rekey   : no
>           State
>   : MM_ACTIVE
> Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport
позвольте вопрос - какая надобность данного режима?

"Asa vpn transpor mode"
Отправлено milliardik , 25-Июл-12 14:10

> позвольте вопрос - какая надобность данного режима?
Есть основная площадка, есть несколько филиалов. До каждого отдельного филиала выделено по два логических канала через n провайдеров, трафик необходимо раскидывать на оба канал. Пробовал вот такую схему asa__3750===3750__asa. Раскидывать трафик планируется за счет протокола динамической маршрутизации ospf и используя возможности cef per-distance. Канал между asa всегда, в обычном режиме ipsec transform-set mode tunnel адрес источника и отправителя согласно которым и строиться балансировка всегда один и тот же, т.е. весь трафик бежит только по одному физическому каналу. Документация посоветовала что есть др вариант где шифруются только данные т.е. ipsec transform-set mode transport, что как раз и нужно, но нигде нет документации как это реализовать.

"Asa vpn transpor mode"
Отправлено milliardik , 26-Июл-12 10:12

Подскажите пожалуйста как настроить cisco asa vpn ipsec в режиме transport mode, или направьте где это можно высмотреть.