IPsec между CiscoASA и Router, Doc, 19-Сен-17, 13:47 [смотреть все]Здравствуйте, нужна помощь. есть cisco ASA 5520 (ios 916), около 10 работающих туннелей IPSEC Туннели, на которых работают с обеих сторон ciscoASA, абсолютно нормальны.А вот с туннелями, поднятыми с маршрутизаторами, возникает такая проблема: Если туннель инициализируется трафиком со стороны ASA, туннель поднимается, и трафик идет. Но если инициализировать туннель трафиком со стороны маршрутизатора, то туннель не поднимается вообще. Так работают тоннели как cisco, microtik так и с linux, проблема со всеми маршрутами одинакова.
|
- IPsec между CiscoASA и Router, name, 19:48 , 19-Сен-17 (1)
- IPsec между CiscoASA и Router, Doc, 14:17 , 20-Сен-17 (3)
> ну а в дебаге что?в том то все и дело что ничего ни со стороны роутера ни со стороны асы нет в дебаге ничего как только посылаешь пакет со стороны асы все начинает лететь
- IPsec между CiscoASA и Router, Doc, 15:10 , 20-Сен-17 (5)
> ну а в дебаге что?вот что на в дебаге на стороне ASA esp request discarded from
- IPsec между CiscoASA и Router, Doc, 21:22 , 20-Сен-17 (6)
эксперименты показали следующие ситуация не меняться при изменении ios ASA (тесты проводились начиная с ios 7.4 и до 9.6) а вот с заменой ios у роутера все иначе с IOS старых версии 12.3 и 12.4 все начинает работать (при том же конфиге) а вот как переходит на ios 15.хх начинается петрушка описанная выше вот только в чем тут разница нифига не понятно
- IPsec между CiscoASA и Router, biglanis, 13:20 , 20-Сен-17 (2)
У вас не правильно настроен туннель между асашкой и роутером!
- IPsec между CiscoASA и Router, Doc, 14:20 , 20-Сен-17 (4)
> У вас не правильно настроен туннель между асашкой и роутером!сейчас собрали стенд , ситуация таже вот конфиг со стороны роутера : Current configuration : 2215 bytes ! version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname gw ! boot-start-marker boot-end-marker ! ! no aaa new-model ! ! ! ! ! ! dot11 syslog ip source-route --More-- *Sep 20 12:57:27.531: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed s! p ! ip cef ip dhcp excluded-address 192.168.2.1 192.168.2.10 ! ip dhcp pool LAN network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.2.1 ! ! ip domain name test.local no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! voice-card 0 ! ! ! license udi pid CISCO2811 sn FCZ121270LQ archive log config hidekeys ! redundancy ! ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key 12345 address 100.100.100.2 ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set ITG esp-3des esp-sha-hmac ! crypto map ITG 1 ipsec-isakmp description Tunnel to ITG set peer 100.100.100.2 set security-association lifetime seconds 86400 set transform-set ITG match address 121 ! ! ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 ip nat outside ip virtual-reassembly no ip route-cache cef no ip route-cache duplex auto speed auto crypto map ITG ! ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache cef no ip route-cache duplex auto speed auto ! ! ip forward-protocol nd ip http server no ip http secure-server ! ! ip nat pool test 100.100.100.1 100.100.100.1 netmask 255.255.255.252 ip nat inside source list 101 pool test overload ip route 0.0.0.0 0.0.0.0 100.100.100.2 ! access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.2.0 0.0.0.255 any access-list 121 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 access-class 23 in privilege level 15 login transport input telnet ssh line vty 5 15 access-class 23 in privilege level 15 login transport input telnet ssh ! scheduler allocate 20000 1000 ntp server 192.0.2.10 time-range guest periodic weekdays 8:00 to 16:00 periodic Saturday 10:00 to 14:00 ! end
вот конфиг со стороны асы : ASA Version 9.1(5) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 100.100.100.2 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! ftp mode passive object network obj-192.168.2.0 subnet 192.168.2.0 255.255.255.0 object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 access-list cacltest extended permit ip object obj-192.168.1.0 object obj-192.168.2.0 access-list inside-in extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-732.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source static any any destination static obj-192.168.1.0 obj-192.168.1.0 access-group inside-in in interface inside route outside 0.0.0.0 0.0.0.0 100.100.100.1 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL http server enable http 0.0.0.0 0.0.0.0 outside http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec ikev1 transform-set ITG esp-3des esp-sha-hmac crypto ipsec security-association pmtu-aging infinite crypto map cmPeerAndDynamic 10 match address cacltest crypto map cmPeerAndDynamic 10 set peer 100.100.100.1 crypto map cmPeerAndDynamic 10 set ikev1 transform-set ITG crypto map cmPeerAndDynamic interface outside crypto ca trustpool policy crypto ikev1 enable outside crypto ikev1 policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dhcpd address 192.168.1.10-192.168.1.254 inside dhcpd enable inside ! threat-detection statistics access-list no threat-detection statistics tcp-intercept tunnel-group 100.100.100.1 type ipsec-l2l tunnel-group 100.100.100.1 ipsec-attributes ikev1 pre-shared-key ***** ! ! prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 : end
- IPsec между CiscoASA и Router, zanswer CCNA RS and S, 07:17 , 21-Сен-17 (7)
>[оверквотинг удален] > destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService > destination address email callhome@cisco.com > destination transport-method http > subscribe-to-alert-group diagnostic > subscribe-to-alert-group environment > subscribe-to-alert-group inventory periodic monthly > subscribe-to-alert-group configuration periodic monthly > subscribe-to-alert-group telemetry periodic daily > Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 > : end Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется.
- IPsec между CiscoASA и Router, Doc, 11:08 , 21-Сен-17 (8)
>[оверквотинг удален] >> destination transport-method http >> subscribe-to-alert-group diagnostic >> subscribe-to-alert-group environment >> subscribe-to-alert-group inventory periodic monthly >> subscribe-to-alert-group configuration periodic monthly >> subscribe-to-alert-group telemetry periodic daily >> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >> : end > Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS > маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется.IOS на маршрутизаторе какой? пришлите конфиги для сравнения . плиз
- IPsec между CiscoASA и Router, zanswer CCNA RS and S, 17:20 , 21-Сен-17 (10)
>[оверквотинг удален] >>> subscribe-to-alert-group environment >>> subscribe-to-alert-group inventory periodic monthly >>> subscribe-to-alert-group configuration periodic monthly >>> subscribe-to-alert-group telemetry periodic daily >>> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >>> : end >> Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS >> маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется. > IOS на маршрутизаторе какой? > пришлите конфиги для сравнения . плиз "R0#show version Cisco IOS Software, Linux Software (I86BI_LINUX-ADVENTERPRISEK9-M), Version 15.4(2)T4, DEVELOPMENT TEST SOFTWARE R0#show running-config Building configuration... Current configuration : 1917 bytes ! version 15.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R0 ! boot-start-marker boot-end-marker ! no aaa new-model clock timezone MSK 3 0 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ! ip dhcp excluded-address 192.168.2.1 192.168.2.10 ! ip dhcp pool LAN network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.2.1 ! ip domain name test.local ip cef no ipv6 cef ! multilink bundle-name authenticated ! redundancy ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key 12345 address 100.100.100.2 ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set ITG esp-3des esp-sha-hmac mode tunnel ! crypto map ITG 1 ipsec-isakmp description Tunnel to ITG set peer 100.100.100.2 set security-association lifetime seconds 86400 set transform-set ITG match address 121 ! interface Ethernet0/0 ip address 100.100.100.1 255.255.255.0 ip nat outside ip virtual-reassembly in crypto map ITG ! interface Ethernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Ethernet0/2 no ip address shutdown ! interface Ethernet0/3 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ip nat pool test 100.100.100.1 100.100.100.1 netmask 255.255.255.252 ip nat inside source list 101 pool test overload ip route 0.0.0.0 0.0.0.0 100.100.100.2 ! access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.2.0 0.0.0.255 any access-list 121 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ! control-plane ! line con 0 logging synchronous line aux 0 line vty 0 4 login transport input none ! end" "ciscoasa# show version Cisco Adaptive Security Appliance Software Version 9.4(1) Device Manager Version 7.4(1) ciscoasa# show running-config : Saved : : Serial Number: 9AM4VU1T35N : Hardware: ASAv, 2048 MB RAM, CPU Pentium II 2333 MHz : ASA Version 9.4(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 100.100.100.2 255.255.255.0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/4 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/5 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/6 shutdown no nameif no security-level no ip address ! interface Management0/0 management-only nameif management security-level 100 ip address 172.16.64.200 255.255.255.0 ! ftp mode passive object network obj-192.168.2.0 subnet 192.168.2.0 255.255.255.0 object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 access-list cacltest extended permit ip object obj-192.168.1.0 object obj-192.168.2.0 access-list inside-in extended permit ip any any pager lines 23 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu management 1500 no failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source static any any destination static obj-192.168.1.0 obj-192.168.1.0 access-group inside-in in interface inside route outside 0.0.0.0 0.0.0.0 100.100.100.1 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 user-identity default-domain LOCAL http server enable http 172.16.64.0 255.255.255.0 management no snmp-server location no snmp-server contact crypto ipsec ikev1 transform-set ITG esp-3des esp-sha-hmac crypto ipsec ikev2 sa-strength-enforcement crypto ipsec security-association pmtu-aging infinite crypto map cmPeerAndDynamic 10 match address cacltest crypto map cmPeerAndDynamic 10 set peer 100.100.100.1 crypto map cmPeerAndDynamic 10 set ikev1 transform-set ITG crypto map cmPeerAndDynamic interface outside crypto ca trustpoint _SmartCallHome_ServerCA no validation-usage crl configure crypto ca trustpool policy crypto ca certificate chain _SmartCallHome_ServerCA quit crypto ikev1 enable outside crypto ikev1 policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh version 1 ssh key-exchange group dh-group1-sha1 console timeout 0 dhcpd address 192.168.1.10-192.168.1.254 inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept dynamic-access-policy-record DfltAccessPolicy tunnel-group 100.100.100.1 type ipsec-l2l tunnel-group 100.100.100.1 ipsec-attributes ikev1 pre-shared-key ***** ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect ip-options inspect netbios inspect rtsp inspect sunrpc inspect tftp inspect xdmcp inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect esmtp inspect sqlnet inspect sip inspect skinny policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum client auto message-length maximum 512 ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly 10 subscribe-to-alert-group configuration periodic monthly 10 subscribe-to-alert-group telemetry periodic daily profile License destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination transport-method http Cryptochecksum:ba0487089b476981b97e494c5fe62d11 : end"
- IPsec между CiscoASA и Router, Doc, 14:04 , 21-Сен-17 (9)
>[оверквотинг удален] >> destination transport-method http >> subscribe-to-alert-group diagnostic >> subscribe-to-alert-group environment >> subscribe-to-alert-group inventory periodic monthly >> subscribe-to-alert-group configuration periodic monthly >> subscribe-to-alert-group telemetry periodic daily >> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >> : end > Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS > маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется.попробуйте принудительно положить тоннель со стороны роутера , поднимется ли
- IPsec между CiscoASA и Router, zanswer CCNA RS and S, 17:35 , 21-Сен-17 (11)
>[оверквотинг удален] >>> subscribe-to-alert-group diagnostic >>> subscribe-to-alert-group environment >>> subscribe-to-alert-group inventory periodic monthly >>> subscribe-to-alert-group configuration periodic monthly >>> subscribe-to-alert-group telemetry periodic daily >>> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >>> : end >> Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS >> маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется. > попробуйте принудительно положить тоннель со стороны роутера , поднимется ли Если клиент направит трафик, то да, поднимется.
- IPsec между CiscoASA и Router, Doc, 15:31 , 22-Сен-17 (12)
>[оверквотинг удален] >>>> subscribe-to-alert-group environment >>>> subscribe-to-alert-group inventory periodic monthly >>>> subscribe-to-alert-group configuration periodic monthly >>>> subscribe-to-alert-group telemetry periodic daily >>>> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >>>> : end >>> Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS >>> маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется. >> попробуйте принудительно положить тоннель со стороны роутера , поднимется ли > Если клиент направит трафик, то да, поднимется.у нас ни в какую , не хочет только при откате на ios на 12 версию
- IPsec между CiscoASA и Router, zanswer CCNA RS and S, 06:21 , 25-Сен-17 (13)
>[оверквотинг удален] >>>>> subscribe-to-alert-group configuration periodic monthly >>>>> subscribe-to-alert-group telemetry periodic daily >>>>> Cryptochecksum:a360df0c41b5d69c2fcaa9dbf18ef9f0 >>>>> : end >>>> Я собрал ваш стенд в EVE-NG, выполняю инициализацию туннеля со стороны IOS >>>> маршрутизатора, ASAv не каких ошибок не выдаёт, трафик шифруется. >>> попробуйте принудительно положить тоннель со стороны роутера , поднимется ли >> Если клиент направит трафик, то да, поднимется. > у нас ни в какую , не хочет > только при откате на ios на 12 версию Хорошо, давайте в таком случае делать debug, поскольку других вариантов не остаётся. Активируйте находясь в Cli: debug crypto ikev1 (1-255), debug crypto ipsec (1-255).
|