https://opennet.ru/openforum/vsluhforumID6/2110.html Здравствуйте!<br><br>Не получается установить соединение Site-to-Site между Cisco 2900 (C2900-UNIVERSALK9-M), Version 15.4(3)M6a, RELEASE SOFTWARE (fc1) и, Microsoft Forefront TMG 2010 (Version: 7.0.9193.500). TMG находится за NAT C2951 (Version 15.0(1r)M13, RELEASE SOFTWARE (fc1)). <br><br>Схема соединения:<br><br>(10.72.0.0/16) С2900 (х.х.37.29) ---Internet--- (x.x.199.5) С2951 NAT (192.168.11.1) --- (192.168.11.3) TMG2010 (172.16.0.0/24) <br><br>Первая фаза соединения завершается нормально:<br>355510: Jan 25 09:21:42.063 YEKT: ISAKMP:(6300):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE<br><br>CR02#sh cry is sa<br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id status<br>x.x.37.29 x.x.199.5 QM_IDLE 6300 ACTIVE<br><br>А вот вторая фаза - не устанавливается. Причем пытается, но не выходит с разным результатом через раз! Лог:<br><br>==== 1 попытка!<br>355511: Jan 25 09:21:42.119 YEKT: ISAKMP (6300): received packet from x.x.199.5 dport 4500 sport 4500 Global (R) QM_IDLE<br>355512: Jan 25 09:21:42 https://opennet.ru/openforum/vsluhforumID6/2110.html#11 Wed, 25 Jan 2017 18:00:43 GMT &gt;&gt;&gt; И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только <br>&gt;&gt;&gt; (он прописан)...<br>&gt;&gt; Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: <br>&gt; Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за <br>&gt; исключением конечно Windows... Результат тот же, ошибка та же (( <br>&gt; Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия <br>&gt; канала ( Не знаю даже... Буду дальше рыть...<br><br>УДАЛОСЬ РЕШИТЬ ПРОБЛЕМУ!<br><br>Вся проблема заключалась в том, что в настройках IPSec было установлено не одинаковое значение таймаута сессии в секундах в фазе 2. Установил значение, указанное на роутере и фаза 2 поднялась! <br> https://opennet.ru/openforum/vsluhforumID6/2110.html#10 Wed, 25 Jan 2017 17:10:14 GMT &gt;&gt; И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только <br>&gt;&gt; (он прописан)...<br>&gt; Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: <br><br>Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за исключением конечно Windows... Результат тот же, ошибка та же (( <br><br>Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия канала ( Не знаю даже... Буду дальше рыть... <br> https://opennet.ru/openforum/vsluhforumID6/2110.html#9 Wed, 25 Jan 2017 15:58:45 GMT &gt;[оверквотинг удален]<br>&gt; 1d00h: ISAKMP (0:2): SA not acceptable!<br>&gt; Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи <br>&gt; должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем <br>&gt; примере.<br>&gt; Peer A <br>&gt; access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255 <br>&gt; access-list 150 permit ip host 15.15.15.1 host 172.21.114.123 <br>&gt; Peer B <br>&gt; access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255 <br>&gt; access-list 150 permit ip host 172.21.114.123 host 15.15.15.1 <br><br>Это понятно. Но как это реализовать на прокси-сервере Windows?!<br><br>Там правило такое: Allow access All outbound traffik from 172.16.0.0/22 to 10.72.0.0/24 All users<br><br>На маршрутизаторе правило такое:<br>ip access-list extended crypto-tsng<br> permit ip 10.72.0.0 0.0.255.255 172.16.0.0 0.0.3.255<br><br>Зеркальные же?<br><br><br> https://opennet.ru/openforum/vsluhforumID6/2110.html#8 Wed, 25 Jan 2017 15:50:18 GMT &gt;[оверквотинг удален]<br>&gt; life type in kilobytes <br>&gt; 420553: Jan 25 20:33:49.754 YEKT: ISAKMP: SA <br>&gt; life duration (VPI) of 0x0 0x46 0x50 0x0 <br>&gt; 420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable.<br>&gt; 420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not <br>&gt; supported <br>&gt; 420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with <br>&gt; error 32 <br>&gt; 420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable! <br>&gt; (local х.х.37.29 remote х.х.199.5) <br><br>Это сообщение появляется в командах отладки, если списки доступа трафика IPSec не совпадают.<br><br> 1d00h: IPSec(validate_transform_proposal): proxy identities not supported<br> 1d00h: ISAKMP: IPSec policy invalidated proposal<br> 1d00h: ISAKMP (0:2): SA not acceptable!<br><br>Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем примере.<br><br> Peer https://opennet.ru/openforum/vsluhforumID6/2110.html#7 Wed, 25 Jan 2017 15:40:41 GMT &gt;&gt;&gt; И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только <br>&gt;&gt;&gt; (он прописан)...<br>&gt;&gt; Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: <br>&gt; TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером <br>&gt; Там нельзя применить настройки, как указано... Там все ограничено "мастером"...<br>&gt; Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT <br>&gt; и роутере...<br>&gt; В данный момент привел инет напрямую на прокси TMG2010. Результат тот же <br>&gt; и без NAT... (( <br><br>Вот что получаю на второй фазе:<br><br>420540: Jan 25 20:33:49.754 YEKT: ISAKMP (6433): received packet from х.х.199.5 dport 500 sport 500 Global (R) QM_IDLE<br>420541: Jan 25 20:33:49.754 YEKT: ISAKMP: set new node 1 to QM_IDLE<br>420542: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing HASH payload. message ID = 1<br>420543: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing SA payload. message ID = 1<br>420544: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433):Checking IPSec proposal 1<br>420545: Jan 25 20:33:49.754 https://opennet.ru/openforum/vsluhforumID6/2110.html#6 Wed, 25 Jan 2017 14:55:31 GMT &gt;&gt; И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только <br>&gt;&gt; (он прописан)...<br>&gt; Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: <br><br>TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером<br>Там нельзя применить настройки, как указано... Там все ограничено "мастером"...<br><br>Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT и роутере...<br><br>В данный момент привел инет напрямую на прокси TMG2010. Результат тот же и без NAT... ((<br> https://opennet.ru/openforum/vsluhforumID6/2110.html#5 Wed, 25 Jan 2017 14:33:17 GMT <br>&gt; И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только <br>&gt; (он прописан)...<br><br>Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:<br><br><br>TMG2010<br><br>crypto isakmp policy 1<br> encr aes<br> authentication pre-share<br> group 2<br>crypto isakmp key cisco address 99.99.37.29 <br>!<br>crypto ipsec transform-set set esp-des esp-sha-hmac <br> mode tunnel<br>!<br>crypto map map 10 ipsec-isakmp <br> set peer 99.99.37.29<br> set transform-set set <br> match address 101<br>!<br>interface Loopback0<br> description local-NET<br> ip address 172.16.1.1 255.255.255.0<br>!<br>interface GigabitEthernet0/1<br> description to-C2951_NAT<br> ip address 192.168.11.3 255.255.255.0<br> crypto map map<br>!<br>ip route 0.0.0.0 0.0.0.0 192.168.11.1<br>!<br>access-list 101 permit ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255<br><br><br>С2951 NAT<br><br>! <br>interface GigabitEthernet0/1<br> description to-INTERNET<br> ip address 212.87.199.5 255.255.255.0<br> ip nat outside<br>!<br>interface GigabitEthernet0/2<br> description to-TMG2010<br> ip address 192.168.11.1 https://opennet.ru/openforum/vsluhforumID6/2110.html#4 Wed, 25 Jan 2017 12:30:12 GMT &gt;[оверквотинг удален]<br>&gt; Не так. В примере указан и isakamp key внешний адрес пира <br>&gt; и в crypto map set peer указан внешний адрес.<br>&gt; crypto isakmp key cisco123 address 95.95.95.2 <br>&gt; set peer 95.95.95.2 <br>&gt; В acl для крипто карты указываете интересующий трафик.<br>&gt; access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 <br>&gt; А в acl для route-map запрещаете интересующий трафик для NAT-а и <br>&gt; разрешаете трафик который нужно отправлять в NAT.<br>&gt; access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 <br>&gt; access-list 110 permit ip 10.103.1.0 0.0.0.255 any <br><br>Ну так для роутера А адрес 95.95.95.20 является моим ВНУТРЕННИМ адресом роутера Б (ISA) перед НАТом... Мой ВНЕШНИЙ = 9.9.9.1 по схеме... <br><br>И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только (он прописан)... <br><br> https://opennet.ru/openforum/vsluhforumID6/2110.html#3 Wed, 25 Jan 2017 12:11:47 GMT <br>&gt; По данной инструкции в crypto isakmp key и crypto map указывается внутренний <br>&gt; адрес за NAT. Т.е. в моем случае в обоих блоках 192.168.11.3. <br><br>Не так. В примере указан и isakamp key внешний адрес пира и в crypto map set peer указан внешний адрес.<br><br>crypto isakmp key cisco123 address 95.95.95.2 <br>set peer 95.95.95.2 <br><br><br>В acl для крипто карты указываете интересующий трафик.<br><br>access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 <br><br><br> А в acl для route-map запрещаете интересующий трафик для NAT-а и разрешаете трафик который нужно отправлять в NAT.<br><br>access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 <br>access-list 110 permit ip 10.103.1.0 0.0.0.255 any <br><br><br>