- Access-list блокирует IPSEC,
 Andrey, 13:23 , 30-Ноя-16 (1)> Есть две Cisco 2651XM между ними организован IPSEC туннель.
> При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя
> адресация сетей.
> *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200
> (0/0), 3 packets
> Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
> Вопрос: как запретить access-list'у смотреть внутрь канала?Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec.
Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.
- Access-list блокирует IPSEC, daemon80, 14:03 , 30-Ноя-16 (2)
> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения
> для протоколов входящих в группу IPSec.
> Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.ip access-list extended FIREWALL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
permit tcp any any eq 22
permit ip host "Встречная-Cicso" any
permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда.
deny ip any any log interface FastEthernet0/0
ip address XX.XX.XX.XX 255.255.255.248
ip access-group FIREWALL in
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map aesmap
- Access-list блокирует IPSEC, Roman, 17:58 , 30-Ноя-16 (3)
- Access-list блокирует IPSEC, Andrey, 21:17 , 30-Ноя-16 (4)
>[оверквотинг удален]
> без нее выше указанная беда.
> deny ip any any log
> interface FastEthernet0/0
> ip address XX.XX.XX.XX 255.255.255.248
> ip access-group FIREWALL in
> no ip mroute-cache
> duplex auto
> speed auto
> no cdp enable
> crypto map aesmap Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.
- Access-list блокирует IPSEC, daemon80, 08:24 , 01-Дек-16 (5)
>[оверквотинг удален]
>> interface FastEthernet0/0
>> ip address XX.XX.XX.XX 255.255.255.248
>> ip access-group FIREWALL in
>> no ip mroute-cache
>> duplex auto
>> speed auto
>> no cdp enable
>> crypto map aesmap
> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
> из документа можно понять почему у вас так происходит.Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует.
Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
- Access-list блокирует IPSEC, Andrey, 09:49 , 01-Дек-16 (6)
>[оверквотинг удален]
>>> no ip mroute-cache
>>> duplex auto
>>> speed auto
>>> no cdp enable
>>> crypto map aesmap
>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>> из документа можно понять почему у вас так происходит.
> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
> блокирует.
> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? Табличку из cisco document id 6209 поняли полностью?
- Access-list блокирует IPSEC, daemon80, 10:00 , 01-Дек-16 (7)
>[оверквотинг удален]
>>>> duplex auto
>>>> speed auto
>>>> no cdp enable
>>>> crypto map aesmap
>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>> из документа можно понять почему у вас так происходит.
>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>> блокирует.
>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
> Табличку из cisco document id 6209 поняли полностью?Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?
- Access-list блокирует IPSEC, Andrey, 11:34 , 01-Дек-16 (8)
>[оверквотинг удален]
>>>>> no cdp enable
>>>>> crypto map aesmap
>>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>>> из документа можно понять почему у вас так происходит.
>>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>>> блокирует.
>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>> Табличку из cisco document id 6209 поняли полностью?
> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
> ЧЕК который как раз и блокирует?Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
interface Tunnel <num>
...
tunnel protection ipsec profile <IPSec_Profile> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.
- Access-list блокирует IPSEC, daemon80, 13:56 , 01-Дек-16 (9)
>[оверквотинг удален]
>>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>>> Табличку из cisco document id 6209 поняли полностью?
>> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
>> ЧЕК который как раз и блокирует?
> Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
> interface Tunnel <num>
> ...
> tunnel protection ipsec profile <IPSec_Profile>
> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать
> crypto-map на физическом интерфейсе.А вот это интересная мысль! Спасибо. Буду пробовать.
|
Версия для распечатки
Access-list блокирует IPSEC, 
