The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
«ISA 2004 не хочет дружить с cisco через IPsec», !*! Gudy, 25-Окт-07, 20:10  [смотреть все]
Имеем
Cisco 851 isa 2004
Туннель. Работает с циски пингую локальный адрес ISA, но не пингую дальше. Из сети за циско не пингую вообще ничего.
Из сети за ISA пинги не идут, а с сервака на котором стоит ISA дело обстоит так:
Код
Превышен интервал ожидания для запроса.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
.......
Согласование используемого уровня безопастности IP.

Кто нить сталкивался?

Статус туннеля в циске гласит что тунель is OK.

Что может значяить это согласование?

Ответить | Сообщить модератору
  • «ISA 2004 не хочет дружить с cisco через IPsec», !*! Gudy, 14:26 , 30-Окт-07 (1)
    >[оверквотинг удален]
    >.......
    >Согласование используемого уровня безопастности IP.
    >
    >
    >
    >Кто нить сталкивался?
    >
    >Статус туннеля в циске гласит что тунель is OK.
    >
    >Что может значяить это согласование?

    Cisco:

    crypto isakmp policy 1
    authentication pre-share
    group 2
    lifetime 28800
    crypto isakmp key КЛЮЧЕВОЕ СЛОВО address ВНЕШНИЙ АДРЕС ISA no-xauth
    !
    crypto ipsec transform-set set1 esp-3des esp-sha-hmac
    mode transport
    !
    crypto map map1 1 ipsec-isakmp
    description test tunnel
    set peer ВНЕШНИЙ АДРЕС ISA
    set transform-set set1
    match address 144
    !
    interface FastEthernet4
    .....
    crypto map map1
    !
    access-list 144 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
    !
    !чтобы трафик адресованный в тонель не натился:
    !
    access-list 115 permit ip 10.0.0.0 0.0.0.255 any
    access-list 115 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
    route-map mainroute permit 1
    match ip address 115


    Теперь с ISA
    Vpn>>Remote Site>>Add

    Genrela:
    имя: test1
    Address:
    start address: 10.0.0.1
    end address: 10.0.0.255
    Connection:
    remote gateway
    Внешний адрес cisco

    local gateway
    Внутренний адрес ISA

    аутентификация pre-share

    IpSec Summary:

    Local Tunnel Endpoint: 192.168.0.167
    Remote Tunnel Endpoint: 89.*.*.67 (внешний циски)

    To allow HTTP proxy or NAT traffic to the remote site,
    the remote site configuration must contain the local
    site tunnel end-point IP address.

    IKE Phase I Parameters:
    Mode: Main mode
    Encryption: 3DES
    Integrity: SHA1
    Diffie-Hellman group: Group 2 (1024 bit)
    Authentication method: Pre-shared secret (СЛОВО)
    Security Association lifetime: 28800 seconds

    IKE Phase II Parameters:
    Mode: ESP tunnel mode
    Encryption: 3DES
    Integrity: SHA1
    Perfect Forward Secrecy: ON
    Diffie-Hellman group: Group 2 (1024 bit)
    Time rekeying: OFF
    Kbyte rekeying: OFF

    Remote Network 'plg' IP Subnets:
    Subnet: 10.0.0.0/255.255.255.0

    Local Network 'Internal' IP Subnets:
    Subnet: 192.168.0.0/255.255.255.0

    Local Network 'VPN Clients' IP Subnets:
    Subnet: 192.168.1.220/255.255.255.255
    Subnet: 192.168.1.216/255.255.255.252
    Subnet: 192.168.1.200/255.255.255.248
    Subnet: 192.168.1.208/255.255.255.248


    Далее в NetWorks
    Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)


    Не пашет.
    Вообще не пашет. никак не пашет.

    Ответить | Сообщить модератору
    • «ISA 2004 не хочет дружить с cisco через IPsec», !*! dxer, 23:15 , 31-Окт-07 (2)
      >[оверквотинг удален]
      >Subnet: 192.168.1.200/255.255.255.248
      >Subnet: 192.168.1.208/255.255.255.248
      >
      >
      >Далее в NetWorks
      >Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
      >
      >
      >Не пашет.
      >Вообще не пашет. никак не пашет.

      А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO, решение преобрести железку Cisco.

      Ответить | Сообщить модератору
      • «ISA 2004 не хочет дружить с cisco через IPsec», !*! rada, 14:08 , 26-Янв-10 (3)
        >[оверквотинг удален]
        >>
        >>Далее в NetWorks
        >>Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
        >>
        >>
        >>Не пашет.
        >>Вообще не пашет. никак не пашет.
        >
        >А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO,
        >решение преобрести железку Cisco.

        ISA может соединиться и нормально говорить с Cisco-ой. Есть только разница втом, в качестве кого будет использоваться İSA- в качестве клиентской стороны или серверной.  В качестве клиентской стороны вполне можно использовать.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру