- Access-list блокирует IPSEC, Andrey, 13:23 , 30-Ноя-16 (1)
> Есть две Cisco 2651XM между ними организован IPSEC туннель. > При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя > адресация сетей. > *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200 > (0/0), 3 packets > Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает. > Вопрос: как запретить access-list'у смотреть внутрь канала?Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec. Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.
- Access-list блокирует IPSEC, daemon80, 14:03 , 30-Ноя-16 (2)
> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения > для протоколов входящих в группу IPSec. > Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.ip access-list extended FIREWALL permit udp any any eq isakmp permit udp any any eq non500-isakmp permit esp any any permit ahp any any permit tcp any any eq 22 permit ip host "Встречная-Cicso" any permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда. deny ip any any log interface FastEthernet0/0 ip address XX.XX.XX.XX 255.255.255.248 ip access-group FIREWALL in no ip mroute-cache duplex auto speed auto no cdp enable crypto map aesmap
- Access-list блокирует IPSEC, Roman, 17:58 , 30-Ноя-16 (3)
- Access-list блокирует IPSEC, Andrey, 21:17 , 30-Ноя-16 (4)
>[оверквотинг удален] > без нее выше указанная беда. > deny ip any any log > interface FastEthernet0/0 > ip address XX.XX.XX.XX 255.255.255.248 > ip access-group FIREWALL in > no ip mroute-cache > duplex auto > speed auto > no cdp enable > crypto map aesmap Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.
- Access-list блокирует IPSEC, daemon80, 08:24 , 01-Дек-16 (5)
>[оверквотинг удален] >> interface FastEthernet0/0 >> ip address XX.XX.XX.XX 255.255.255.248 >> ip access-group FIREWALL in >> no ip mroute-cache >> duplex auto >> speed auto >> no cdp enable >> crypto map aesmap > Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но > из документа можно понять почему у вас так происходит.Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует. Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
- Access-list блокирует IPSEC, Andrey, 09:49 , 01-Дек-16 (6)
>[оверквотинг удален] >>> no ip mroute-cache >>> duplex auto >>> speed auto >>> no cdp enable >>> crypto map aesmap >> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >> из документа можно понять почему у вас так происходит. > Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и > блокирует. > Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? Табличку из cisco document id 6209 поняли полностью?
- Access-list блокирует IPSEC, daemon80, 10:00 , 01-Дек-16 (7)
>[оверквотинг удален] >>>> duplex auto >>>> speed auto >>>> no cdp enable >>>> crypto map aesmap >>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >>> из документа можно понять почему у вас так происходит. >> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и >> блокирует. >> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? > Табличку из cisco document id 6209 поняли полностью?Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?
- Access-list блокирует IPSEC, Andrey, 11:34 , 01-Дек-16 (8)
>[оверквотинг удален] >>>>> no cdp enable >>>>> crypto map aesmap >>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >>>> из документа можно понять почему у вас так происходит. >>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и >>> блокирует. >>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? >> Табличку из cisco document id 6209 поняли полностью? > Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз > ЧЕК который как раз и блокирует?Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию: interface Tunnel <num> ... tunnel protection ipsec profile <IPSec_Profile> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.
- Access-list блокирует IPSEC, daemon80, 13:56 , 01-Дек-16 (9)
>[оверквотинг удален] >>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? >>> Табличку из cisco document id 6209 поняли полностью? >> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз >> ЧЕК который как раз и блокирует? > Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию: > interface Tunnel <num> > ... > tunnel protection ipsec profile <IPSec_Profile> > Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать > crypto-map на физическом интерфейсе.А вот это интересная мысль! Спасибо. Буду пробовать.
|