https://217.65.3.21/openforum/vsluhforumID6/6.html Здравствуйте!!! Имеется оборудование cisco asa две штуки, одна на основной площадке, др на уделенной (филиал). Необходимо настроить Ipsec vpn tunnel в transport mode<br>Текущие нерабочие конфигурации.<br>ASA main<br><br>interface Ethernet0/0<br> nameif inside<br> security-level 100<br> ip address 192.168.0.1 255.255.255.0<br><br>interface Ethernet0/1<br> nameif remote<br> security-level 0<br> ip address 192.168.109.2 255.255.255.252<br><br>access-list remote_to_main extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0<br><br>crypto ipsec transform-set set esp-3des esp-md5-hmac<br>crypto ipsec transform-set set mode transport<br>crypto map remote_to_main 10 match address remote_to_main<br>crypto map remote_to_main 10 set pfs<br>crypto map remote_to_main 10 set peer 192.168.109.6<br>crypto map remote_to_main 10 set transform-set set<br>crypto map remote_to_main interface remote<br>crypto isakmp enable remote<br>crypto isakmp policy 10<br> authentication pre-share<br> encryption 3des<br> hash md5<br> group 2<br> lifetime 86400<br>crypto isakmp policy 6 https://217.65.3.21/openforum/vsluhforumID6/6.html#8 Thu, 26 Jul 2012 06:12:07 GMT Подскажите пожалуйста как настроить cisco asa vpn ipsec в режиме transport mode, или направьте где это можно высмотреть.<br><br><br> https://217.65.3.21/openforum/vsluhforumID6/6.html#7 Wed, 25 Jul 2012 10:10:57 GMT &gt; позвольте вопрос - какая надобность данного режима?<br><br>Есть основная площадка, есть несколько филиалов. До каждого отдельного филиала выделено по два логических канала через n провайдеров, трафик необходимо раскидывать на оба канал. Пробовал вот такую схему asa__3750===3750__asa. Раскидывать трафик планируется за счет протокола динамической маршрутизации ospf и используя возможности cef per-distance. Канал между asa всегда, в обычном режиме ipsec transform-set mode tunnel адрес источника и отправителя согласно которым и строиться балансировка всегда один и тот же, т.е. весь трафик бежит только по одному физическому каналу. Документация посоветовала что есть др вариант где шифруются только данные т.е. ipsec transform-set mode transport, что как раз и нужно, но нигде нет документации как это реализовать.<br> https://217.65.3.21/openforum/vsluhforumID6/6.html#6 Wed, 25 Jul 2012 09:56:40 GMT &gt;[оверквотинг удален]<br>&gt; Active and 1 Rekey SA during rekey) <br>&gt; Total IKE SA: 1 <br>&gt; 1 IKE Peer: 192.168.109.6 <br>&gt; Type : L2L <br>&gt; Role <br>&gt; : initiator <br>&gt; Rekey : no <br>&gt; State <br>&gt; : MM_ACTIVE <br>&gt; Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport <br><br>позвольте вопрос - какая надобность данного режима?<br><br><br> https://217.65.3.21/openforum/vsluhforumID6/6.html#5 Wed, 25 Jul 2012 09:51:32 GMT &gt; постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что <br>&gt; изменилось...<br>&gt; https://supportforums.cisco.com/servlet/JiveServlet/download/3328937-84281/sdm-vpn-asa-router-config.pdf <br><br>Извините может Вы меня неправильно поняли, или Я не совсем точно пояснил проблему. Еще раз :<br><br>Если настраиваю vpn tunnel стандартно т.е. так как указано в высланном Вами мануале (default ipsec transform-set mode tunnel) то все работает, пакеты ходят. Ели же я переключаясь на ipsec transform-set mode transport, то пакеты перестают ходить но канал сходиться нормально: <br><br><br> Active SA: 1<br> Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)<br>Total IKE SA: 1<br><br>1 IKE Peer: 192.168.109.6<br> Type : L2L Role : initiator<br> Rekey : no State : MM_ACTIVE<br><br>Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport<br> https://217.65.3.21/openforum/vsluhforumID6/6.html#4 Wed, 25 Jul 2012 09:04:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt; помимо <br>&gt;&gt; В конфиге фаервола (ASDM) надо правила для внешнего интерфейса: <br>&gt;&gt; ASA 1: <br>&gt;&gt; разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24 <br>&gt; access-list test extended permit ip any any <br>&gt;&gt; ASA 2: <br>&gt;&gt; разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24 <br>&gt; access-list test extended permit ip any any <br>&gt;&gt; и пожалуйста, отпишите, что пройзойдет <br>&gt; Пакеты не пошли <br><br>постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что изменилось...<br><br>https://supportforums.cisco.com/servlet/JiveServlet/download/3328937-84281/sdm-vpn-asa-router-config.pdf<br> https://217.65.3.21/openforum/vsluhforumID6/6.html#3 Wed, 25 Jul 2012 08:22:34 GMT &gt; Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом: <br>&gt; ASA 1 <br>&gt; Source 192.168.0.0/24 <br>&gt; Destination 192.168.18.0/24 <br>&gt; NAT Exempt oubound traffic from interface (interface_name) to lower security interface <br><br>access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0<br>nat (remote) 0 access-list test_nonat<br><br>&gt; ASA 2 <br>&gt; Source 192.168.18.0/24 <br>&gt; Destination 192.168.0.0/24 <br>&gt; NAT Exempt oubound traffic from interface (interface_name) to lower security interface <br><br>access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0<br>nat (remote) 0 access-list test_nonat<br><br>&gt; помимо <br>&gt; В конфиге фаервола (ASDM) надо правила для внешнего интерфейса: <br>&gt; ASA 1: <br>&gt; разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24<br><br>access-list test extended permit ip any any<br><br>&gt; ASA 2: <br>&gt; разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24 <br><br>access-list test extended permit ip any any<br><br>&gt; и пожалуйста, отпишите, что https://217.65.3.21/openforum/vsluhforumID6/6.html#2 Wed, 25 Jul 2012 08:01:34 GMT &gt; А что у вас не происходит, пакеты не ходят?<br><br>Да у меня не ходят пакеты.<br><br>Правильно ли Я Вас понял<br><br>&gt; Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом: <br>&gt; ASA 1 <br>&gt; Source 192.168.0.0/24 <br>&gt; Destination 192.168.18.0/24 <br>&gt; NAT Exempt oubound traffic from interface (interface_name) to lower security interface <br><br>access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0<br><br>nat (inside) 0 access-list test_nonat<br><br>&gt; ASA 2 <br>&gt; Source 192.168.18.0/24 <br>&gt; Destination 192.168.0.0/24 <br>&gt; NAT Exempt oubound traffic from interface (interface_name) to lower security interface <br><br>access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0<br>nat (inside) 0 access-list test_nonat<br><br> <br><br> https://217.65.3.21/openforum/vsluhforumID6/6.html#1 Wed, 25 Jul 2012 07:05:19 GMT &gt;[оверквотинг удален]<br>&gt; Rekey SA: 0 (A tunnel will report 1 <br>&gt; Active and 1 Rekey SA during rekey) <br>&gt; Total IKE SA: 1 <br>&gt; 1 IKE Peer: 192.168.109.2 <br>&gt; Type : L2L <br>&gt; Role <br>&gt; : responder <br>&gt; Rekey : no <br>&gt; State <br>&gt; : MM_ACTIVE <br><br>А что у вас не происходит, пакеты не ходят?<br><br>Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом:<br><br>ASA 1<br>Source 192.168.0.0/24 <br>Destination 192.168.18.0/24<br>NAT Exempt oubound traffic from interface (interface_name) to lower security interface<br><br>ASA 2<br>Source 192.168.18.0/24 <br>Destination 192.168.0.0/24<br>NAT Exempt oubound traffic from interface (interface_name) to lower security interface<br><br>помимо<br>В конфиге фаервола (ASDM) надо правила для внешнего интерфейса:<br><br>ASA 1: <br>разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24<br><br>ASA 2:<br>разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24<br><br>если пакеты пройдут, потом режте по собственному усмотрению....<br><br>и пожалуйста, отпишите, что пр