Вообщем ерунда заключается в том:
после ввода попытки запуска команды crypto map bbadminMAP(на единственном интерфейсе Ethernet 0/0) ничего вообще ничего не происходит после ввода
debug crypto isakmp никакого дебага на экран не вываливается(а вроде бы должен был)Помогите пжалуста я только начал изучать Цисок мог нагнать в конфиге такого... делал все по доке http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn-concentrator
!
enable secret 5 $1$ukDv$ccnJPj39YUz2i8QDC7b1k0
!
!
!
!
!
memory-size iomem 15
ip subnet-zero
no ip domain-lookup
!
ip audit notify log
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
lifetime 28800
crypto isakmp key cisco123 address 192.168.0.2
!
!
crypto ipsec transform-set bbadmin esp-des esp-md5-hmac
!
!
crypto map bbadminMAP 1 ipsec-isakmp
set peer 192.168.0.2
set transform-set bbadmin
match address 101
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no ip mroute-cache
crypto map bbadminMAP
!
interface Serial0/0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
ip classless
no ip http server
!
access-list 101 permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255
!
line con 0
transport input none
line aux 0
line vty 0 4
session-timeout 300
password master
login
!
end
вот так должно быть..
access-list 101 permit ip 192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255
результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает. После crypto map bbadminMAP тоже вообще ничего, ни одного бита не улетает.
Может кто то с ним должен инициировать соеденение?
>результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает.
>После crypto map bbadminMAP тоже вообще ничего, ни одного бита не
>улетает.
>Может кто то с ним должен инициировать соеденение?
А ты iosом со своей циске не поделишся?
>>результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает.
>>После crypto map bbadminMAP тоже вообще ничего, ни одного бита не
>>улетает.
>>Может кто то с ним должен инициировать соеденение?
>
>
>А ты iosом со своей циске не поделишся?
поделюсь... он старыйIOS (tm) C2600 Software (C2600-IO3S56I-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 06:39 by phanguye
Image text-base: 0x80008088, data-base: 0x80DB9F2CROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Constans-Bank uptime is 47 minutes
System returned to ROM by reload
System image file is "flash:c2600-ios56i-mz.120-7.t.bin"ЗЫ. Прошу вас ребяты не бройте меня =))), я реально с IPsec'ом парью второй месяц я уже перепробовал Windows 2000/XP, Cisco 2610, Zyxel Zywall 70, я уже писал в тех. суппорты(как только мы разбирали все меня бросали), я разобрал весь IPsec от и до я прочитал столько док... закопатся можно! ПОМОГИТЕ РАЗОРАТСЯ ПЛИИИИИЗЗЗЗ!!!
sh access-list 101
покажи...
какие натройки на другой стороне?
>sh access-list 101
>покажи...
а там ничего нет весь конфиг тут чуть выше
а вообще мне для вас ничего не жалко
Extended IP access list 101
permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255
permit ip 192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255>какие натройки на другой стороне?
на другой стороне у меня XP, 2K, zyxell zywall 70, пока еще до freebsd не дошел. Мне кажется что циска должна хоть какие то потуги совершать в сторону другой ipsec сторонытут вот новый немного конфиг(добавлен еще один IP на интерефейс, изменен access-list)
во новый конфиг
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn-concentrator
!
enable secret 5 $1$ukDv$ccnJPj39YUz2i8QDC7b1k0
!
!
!
!
!
memory-size iomem 15
ip subnet-zero
no ip domain-lookup
!
ip audit notify log
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
lifetime 28800
crypto isakmp key cisco123 address 192.168.0.2
!
!
crypto ipsec transform-set bbadmin esp-des esp-md5-hmac
!
!
crypto map bbadminMAP 1 ipsec-isakmp
set peer 192.168.0.2
set transform-set bbadmin
match address 101
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.167.115 255.255.255.0
no ip directed-broadcast
crypto map bbadminMAP
!
interface Serial0/0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
ip classless
no ip http server
!
access-list 101 permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255
access-list 101 permit ip 192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255
!
line con 0
transport input none
line aux 0
line vty 0 4
session-timeout 300
password master
login
!
no scheduler allocate
end
Chtobi debug tebe na console pokazival nuzhno k komande debug dobavit' komandu: term mon. Rezultati mozhno pokazat'?
>Chtobi debug tebe na console pokazival nuzhno k komande debug dobavit' komandu:
>term mon. Rezultati mozhno pokazat'?
пробовал в консоль ничего не вываливается...у меня есть какое то преположение(оно бредовое конечно но я другого обясняния не нахожу) что это какая то спцифика IPSEC, дело в том что такая же фигня у меня и на девайсе Zyxel Zywall 70 если я выставляю удаленные(за удаленным IPSEC-шлюзом) и локальные подсети то IPSEC делает вид что он не работает, ВОТ ЕСЛИ Я УБИРАЮ подсети то IPSEC начинает там ругатся в лог, но создать канал пытается такакя же фигня и в Cisco если уберу все подсети то вроде он че то пытается делать
>sh access-list 101
>покажи...
>какие натройки на другой стороне?Я добился того что Циска показывает дебаг причем реально не понял как у меня получилось. У меня другая сторона инициализирует/просит соеденение причем я РЕАЛЬНО НЕ ПОНИМАЮ как они инициализируют соеденения я на другой стороне случайно ошибочно ввел удаленные и локальные подсети
Local net 192.168.1.0 - 255.255.255.0(это не маска это диапозон)
Remote net 192.168.2.0 - 255.255.255.0
и мой 2-ой девайс(Zywall 70w) начал звонит на циску.
В логе есть какая то строка - "invalid local address 10.10.10.2" какой блин нафиг локал адресс? где я его не так ввел? Он является локальным ИП на циске что ей не нравится то?ЛОГ:
2d23h: ISAKMP (0): received packet from 10.10.10.1 (N) NEW SA
2d23h: CRYPTO: Allocated conn_id 1 slot 0, swidb 0x0,
2d23h: ISAKMP (0:1): processing SA payload. message ID = 0
2d23h: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy
2d23h: ISAKMP: encryption DES-CBC
2d23h: ISAKMP: hash MD5
2d23h: ISAKMP: auth pre-share
2d23h: ISAKMP: default group 1
2d23h: ISAKMP: life type in seconds
2d23h: ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
2d23h: ISAKMP (0:1): atts are acceptable. Next payload is 0
2d23h: CryptoEngine0: generate alg parameter
2d23h: CRYPTO_ENGINE: Dh phase 1 status: 0
2d23h: CRYPTO_ENGINE: Dh phase 1 status: 0
2d23h: CRYPTO: DH gen phase 1 status for conn_id 1 slot 0:OK
2d23h: ISAKMP (0:1): processing vendor id payload
2d23h: ISAKMP (0:1): SA is doing pre-shared key authentication
2d23h: ISAKMP (1): SA is doing pre-shared key authentication using id type ID_IP
V4_ADDR
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_SA_SETUP
2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) MM_SA_SETUP
2d23h: ISAKMP (0:1): processing KE payload. message ID = 0
2d23h: CryptoEngine0: generate alg parameter
2d23h: CRYPTO: DH gen phase 2 status for conn_id 1 slot 0:OK
2d23h: ISAKMP (0:1): processing NONCE payload. message ID = 0
2d23h: CryptoEngine0: create ISAKMP SKEYID for conn id 1
2d23h: ISAKMP (0:1): SKEYID state generated
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_KEY_EXCH
2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) MM_KEY_EXCH
2d23h: ISAKMP (0:1): processing ID payload. message ID = 0
2d23h: ISAKMP (0:1): processing HASH payload. message ID = 0
2d23h: CryptoEngine0: generate hmac context for conn id 1
2d23h: ISAKMP (1): processing NOTIFY payload 24578 protocol 1
spi 0, message ID = 0
2d23h: ISAKMP (0:1): SA has been authenticated with 10.10.10.1
2d23h: ISAKMP (1): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
2d23h: ISAKMP (1): Total payload length: 12
2d23h: CryptoEngine0: generate hmac context for conn id 1
2d23h: CryptoEngine0: clear dh number for conn id 1
2d23h: CRYPTO: Crypto Engine clear dh conn_id 1 slot 0: OK
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) QM_IDLE
2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) QM_IDLE
2d23h: CryptoEngine0: generate hmac context for conn id 1
2d23h: ISAKMP (0:1): processing SA payload. message ID = -239278973
2d23h: ISAKMP (0:1): Checking IPSec proposal 1
2d23h: ISAKMP: transform 1, ESP_DES
2d23h: ISAKMP: attributes in transform:
2d23h: ISAKMP: SA life type in seconds
2d23h: ISAKMP: SA life duration (VPI) of 0x0 0x0 0x70 0x80
2d23h: ISAKMP: encaps is 1
2d23h: ISAKMP: authenticator is HMAC-SHA
2d23h: validate proposal 0
2d23h: IPSEC(validate_proposal): invalid local address 10.10.10.2
2d23h: ISAKMP (0:1): atts not acceptable. Next payload is 0
2d23h: ISAKMP (0:1): SA not acceptable!
2d23h: CryptoEngine0: generate hmac context for conn id 1
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) QM_IDLE
2d23h: ISAKMP (0:1): deleting node -773955175
2d23h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at
10.10.10.1
2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) QM_IDLE
2d23h: CryptoEngine0: generate hmac context for conn id 1
2d23h: ISAKMP (0:1): processing DELETE payload. message ID = -648369773
2d23h: ISAKMP (0:1): deleting node -648369773
2d23h: ISAKMP (0:1): deleting SA
2d23h: ISAKMP (0:1): retransmitting phase 2 -239278973 ...
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_NO_STATE
2d23h: ISAKMP (0:1): retransmitting phase 2 -239278973 ...
2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_NO_STATE
2d23h: ISAKMP (0): received packet from 10.10.10.1 (N) NEW SA
2d23h: CRYPTO: Allocated conn_id 2 slot 0, swidb 0x0,
вы чего хотите то???
задайте нормальный, полный, развёрнутый вопрос, покажите логи и конфиг...
если хотите получить ответ...
>вы чего хотите то???
создать виртуальный VPN/IPSec канал.А вообще ОЧЕНЬ актуальный вопрос по какому принципу определяется кто является серверной стороной(ожидает IPSec звонка) а кто является клиентской(сам звонит на сервер)???
>задайте нормальный, полный, развёрнутый вопрос, покажите логи и конфиг...
ммммм... даже прямо таки не знаю - я лог дал(чуть выше), конфиг дал, счаз дам последнею версию конфига
А вопрос то банален почему не создается VPN канал???
>если хотите получить ответ...
ОЧЕНЬ, ОЧЕНЬ хочу просто сам не понимаю чего вам еще не хватаетпоследний конфиг
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0 secondary
ip address 10.10.10.2 255.0.0.0 secondary
ip address 192.168.167.115 255.255.255.0
!
! 192.168.2.0 net behind cisco
! 192.168.167.115 simple IP(for my manageement)
! 10.10.10.2 out IP(for remote IPSEC getway)
!
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 28800
crypto isakmp key 12345678 address 10.10.10.1
!
!
crypto ipsec transform-set TRANSFORMSET esp-des esp-sha-hmac
!
crypto map CRYPTOMAP local-address Ethernet0/0
crypto map CRYPTOMAP 1 ipsec-isakmp
set peer 10.10.10.1
set transform-set TRANSFORMSET
match address 100
!
! 192.168.2.0 net behind cisco2610
! 192.168.1.0 net behind zywall 70w
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
conf t
int e0
crypto map CRYPTOMAP
>conf t
>int e0
> crypto map CRYPTOMAP
ввел
vpn-cons#terminal monitor
vpn-cons#debug crypto isakmp
Crypto ISAKMP debugging is on
vpn-cons#debug crypto ipsec
Crypto IPSEC debugging is on
vpn-cons#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
vpn-cons(config)#interface e0/0
vpn-cons(config-if)#crypto map CRYPTOMAP
vpn-cons(config-if)#чего дальше ждать?
На другой IPSEC сторне ровно то же самое
(в логах НИЧЕГО, они ждут что кто то им позвонит они себя мнят IPSec серверами)
звонить они начинают только тогда, когда есть интересующий трафик...
который указан в acl 100
>звонить они начинают только тогда, когда есть интересующий трафик...
>который указан в acl 100попробовал организовать интересующий трафик вот какой лог появился
00:26:51: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.
(ip) dest_addr= 192.168.1.205, src_addr= 192.168.2.140, prot= 1что то почитал что за ошибка на циске написанно "ACLs Do Not Match"
блин а как она не совадает если она правильная
vpn-cons#sh access-lists
Extended IP access list 100
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (16 matches)вот что в конфиге относительно IP адресов
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0 secondary
ip address 10.10.10.2 255.0.0.0 secondary
ip address 192.168.167.115 255.255.255.0
crypto map CRYPTOMAP
!
! 192.168.2.0 net behind cisco
! 192.168.167.115 simple IP(for my manageement)
! 10.10.10.2 out IP(for remote IPSEC getway)
!
>звонить они начинают только тогда, когда есть интересующий трафик...
>который указан в acl 100ВСЕ!
Спсибо большое ВОЛКА я все построил... =))) на sysadmins.ru еще немного помогли.
>звонить они начинают только тогда, когда есть интересующий трафик...
это фраза являлась ключевой
Если можешь, кинь плз, конфиг. А то я тоже не первый месяц мучаюсь с IPSec. Правда у меня немного другая проблема, но хочется хотя бы посмотреть рабочий конфиг.
netrax@yandex.ru