The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает L2L на ASA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 05-Фев-15, 09:43 
Всем привет! Прошу помощи, поскольку не могу самостоятельно решить проблему в течении длительного времени.

Имеются два ASA, между ними интернет. Поднимаю на ASA туннель L2L. Туннель, как мне кажется поднимается, но трафик не ходит, т.е. ПК в локальных сетях, за ASA друг друга не пингают.
ASA1:
asa1# sh vpn-sessiondb detail l2l

Session Type: LAN-to-LAN Detailed

Connection   : 5.151.38.94
Index        : 165                    IP Addr      : 5.151.38.94
Protocol     : IKEv1 IPsec
Encryption   : DES DES DES            Hashing      : SHA1 MD5 MD5
Bytes Tx     : 323045                 Bytes Rx     : 145990
Login Time   : 21:13:38 UTC Wed Feb 4 2015
Duration     : 0h:47m:03s
IKEv1 Tunnels: 1
IPsec Tunnels: 2

IKEv1:
  Tunnel ID    : 165.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
  Encryption   : DES                    Hashing      : SHA1
  Rekey Int (T): 43200 Seconds          Rekey Left(T): 40376 Seconds
  D/H Group    : 2
  Filter Name  :
  IPv6 Filter  :

IPsec:
  Tunnel ID    : 165.2
  Local Addr   : 10.80.0.0/255.255.0.0/0/0
  Remote Addr  : 10.80.0.0/255.255.0.0/0/0
  Encryption   : DES                    Hashing      : MD5                    
  Encapsulation: Tunnel                
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 25976 Seconds          
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607687 K-Bytes        
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes            
  Bytes Tx     : 321262                 Bytes Rx     : 144763                
  Pkts Tx      : 4475                   Pkts Rx      : 2154                  
  
IPsec:
  Tunnel ID    : 165.3
  Local Addr   : 10.80.225.0/255.255.255.0/0/0
  Remote Addr  : 10.80.226.0/255.255.255.0/0/0
  Encryption   : DES                    Hashing      : MD5                    
  Encapsulation: Tunnel                
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 26800 Seconds          
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607999 K-Bytes        
  Idle Time Out: 30 Minutes             Idle TO Left : 1 Minutes              
  Bytes Tx     : 1835                   Bytes Rx     : 1279                  
  Pkts Tx      : 30                     Pkts Rx      : 24                    
  
NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 2825 Seconds
  Hold Left (T): 0 Seconds              Posture Token:

ASA2:
asa2# sh vpn-sessiondb detail l2l

Session Type: LAN-to-LAN Detailed

Connection   : 95.168.71.198
Index        : 104                    IP Addr      : 95.168.71.198
Protocol     : IKEv1 IPsec
Encryption   : DES DES DES            Hashing      : SHA1 MD5 MD5
Bytes Tx     : 83032                  Bytes Rx     : 0
Login Time   : 20:47:28 UTC Wed Feb 4 2015
Duration     : 0h:27m:49s
IKEv1 Tunnels: 1
IPsec Tunnels: 2

IKEv1:
  Tunnel ID    : 104.1
  UDP Src Port : 500                    UDP Dst Port : 500
  IKE Neg Mode : Main                   Auth Mode    : preSharedKeys
  Encryption   : DES                    Hashing      : SHA1
  Rekey Int (T): 43200 Seconds          Rekey Left(T): 41531 Seconds
  D/H Group    : 2
  Filter Name  :
  IPv6 Filter  :

IPsec:
  Tunnel ID    : 104.2
  Local Addr   : 10.80.0.0/255.255.0.0/0/0
  Remote Addr  : 10.80.0.0/255.255.0.0/0/0
  Encryption   : DES                    Hashing      : MD5                    
  Encapsulation: Tunnel                
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 27131 Seconds          
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607920 K-Bytes        
  Idle Time Out: 30 Minutes             Idle TO Left : 30 Minutes            
  Bytes Tx     : 81933                  Bytes Rx     : 0                      
  Pkts Tx      : 1211                   Pkts Rx      : 0                      
  
IPsec:
  Tunnel ID    : 104.3
  Local Addr   : 10.80.226.0/255.255.255.0/0/0
  Remote Addr  : 10.80.225.0/255.255.255.0/0/0
  Encryption   : DES                    Hashing      : MD5                    
  Encapsulation: Tunnel                
  Rekey Int (T): 28800 Seconds          Rekey Left(T): 27953 Seconds          
  Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607999 K-Bytes        
  Idle Time Out: 30 Minutes             Idle TO Left : 20 Minutes            
  Bytes Tx     : 1279                   Bytes Rx     : 0                      
  Pkts Tx      : 24                     Pkts Rx      : 0                      
  
NAC:
  Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
  SQ Int (T)   : 0 Seconds              EoU Age(T)   : 1671 Seconds
  Hold Left (T): 0 Seconds              Posture Token:
  Redirect URL :


Смущает то, что на ASA1, Rx и Tx вполне нормальные величины, а вот на ASA2 почему то Rx=0

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 05-Фев-15, 15:56 
Конфиги покажите.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 06-Фев-15, 06:30 
> Конфиги покажите.

ASA1:
interface GigabitEthernet0/0
nameif internet
security-level 0
ip address 95.168.71.198 255.255.255.192 standby 95.168.71.199
!
interface GigabitEthernet0/3
nameif servers
security-level 100
ip address 10.80.225.251 255.255.255.0 standby 10.80.225.252
!
interface GigabitEthernet1/2
description LAN Failover Interface
!
interface GigabitEthernet1/3
description STATE Failover Interface
!
ftp mode passive
object network srv-10.80.225.16
host 10.80.225.16
object network srv-10.80.225.11
host 10.80.215.10
object network srv-10.80.225.13
host 10.80.215.40
object network srv-10.80.225.10
host 10.80.215.50
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240
object network srv-10.80.221.8
host 10.80.221.8
object network LAN_10.80.200.0
subnet 10.80.200.0 255.255.255.240
object network LAN_10.80.200.16
subnet 10.80.200.16 255.255.255.240
object network LAN_10.80.201.0
subnet 10.80.201.0 255.255.255.0
object network LAN_10.80.202.0
subnet 10.80.202.0 255.255.255.0
object network LAN_10.80.211.0
subnet 10.80.211.0 255.255.255.0
object network LAN_10.80.212.0
subnet 10.80.212.0 255.255.255.0
object network LAN_10.80.221.0
subnet 10.80.221.0 255.255.255.0
object network LAN_10.80.222.0
subnet 10.80.222.0 255.255.255.0
object network LAN_10.80.215.0
subnet 10.80.215.0 255.255.255.0
object network LAN_10.80.216.0
subnet 10.80.216.0 255.255.255.0
object network LAN_10.80.235.0
subnet 10.80.235.0 255.255.255.0
object network LAN_10.80.236.0
subnet 10.80.236.0 255.255.255.0
object network sw1
host 10.80.225.2
object network srv-10.80.225.6
host 10.80.225.6
object network srv-10.80.221.11
host 10.80.221.11
object network srv-10.80.225.14
host 10.80.225.14
object network srv-10.80.225.212
host 10.80.225.212
object network srv-10.80.215.31
host 10.80.215.30
object network srv-10.80.225.180
host 10.80.225.180
object network LAN_10.0.0.0
subnet 10.0.0.0 255.0.0.0
object network srv-10.80.225.18
host 10.80.225.18
object network srv-10.80.215.49
host 10.80.215.49
object network srv-10.80.215.52
host 10.80.215.52
object network srv-SNIF
host 10.80.221.13
object network srv-10.80.225.22
host 10.80.225.22
object-group network LAN_UN
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN-226
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
access-list INTERNET extended permit ip any any
access-list l2l_list extended permit ip 10.80.225.0 255.255.255.0 10.80.226.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
pager lines 24
logging asdm informational
mtu internet 1500
mtu servers 1500
mtu management 1500
failover
failover lan unit primary
failover lan interface Failover GigabitEthernet1/2
failover key *****
failover link state GigabitEthernet1/3
failover interface ip Failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.255.255.0 standby 10.0.0.2
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (servers,internet) source static LAN-225 LAN-225 destination static LAN-226 LAN-226
nat (servers,internet) source static LAN_UN LAN_UN destination static LAN_OM LAN_OM
!
access-group INTERNET in interface internet
route internet 0.0.0.0 0.0.0.0 95.168.71.225 1
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set FirstSet esp-des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption des
protocol esp integrity sha-1
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 5.151.38.94
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
crypto ikev2 policy 1
encryption des
integrity sha
group 2
prf sha
lifetime seconds 43200
crypto ikev2 enable internet
crypto ikev1 enable internet
crypto ikev1 policy 1
authentication pre-share
encryption des
hash sha
group 2
lifetime 43200
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
tunnel-group 5.151.38.94 type ipsec-l2l
tunnel-group 5.151.38.94 ipsec-attributes
ikev1 pre-shared-key *****

ASA2:
interface GigabitEthernet0/0
description To Sw1-Gi1/1
nameif internet
security-level 0
ip address 5.151.38.94 255.255.255.0 standby 5.151.38.95
!
interface GigabitEthernet0/3
description To Sw1-Gi1/4
nameif servers
security-level 100
ip address 10.80.226.251 255.255.255.0 standby 10.80.226.252
!
interface GigabitEthernet1/2
description LAN Failover Interface
!
interface GigabitEthernet1/3
description STATE Failover Interface
!
ftp mode passive
object network srv-10.80.226.51
host 10.80.216.100
object network srv-10.80.226.11
host 10.80.216.11
object network srv-10.80.226.12
host 10.80.216.21
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240
object network srv-10.80.200.19
range 10.80.200.19 10.80.200.20
object network LAN_10.80.200.0
subnet 10.80.200.0 255.255.255.240
object network LAN_10.80.200.16
subnet 10.80.200.16 255.255.255.240
object network LAN_10.80.201.0
subnet 10.80.201.0 255.255.255.0
object network LAN_10.80.202.0
subnet 10.80.202.0 255.255.255.0
object network LAN_10.80.211.0
subnet 10.80.211.0 255.255.255.0
object network LAN_10.80.212.0
subnet 10.80.212.0 255.255.255.0
object network LAN_10.80.221.0
subnet 10.80.221.0 255.255.255.0
object network LAN_10.80.222.0
subnet 10.80.222.0 255.255.255.0
object network LAN_10.80.215.0
subnet 10.80.215.0 255.255.255.0
object network LAN_10.80.216.0
subnet 10.80.216.0 255.255.255.0
object network LAN_10.80.235.0
subnet 10.80.235.0 255.255.255.0
object network LAN_10.80.236.0
subnet 10.80.236.0 255.255.255.0
object network srv-SNIF
host 10.80.222.13
object network sw1
host 10.80.226.253
object network srv-10.80.226.101
host 10.80.226.101
object network srv-10.80.226.51-a
host 10.80.216.100
object network pubwebn1
host 10.80.216.101
object-group network LAN_UN
network-object object LAN_10.80.200.0
network-object object LAN_10.80.201.0
network-object object LAN_10.80.211.0
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN_10.80.235.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN_10.80.200.16
network-object object LAN-226
network-object object LAN_10.80.202.0
network-object object LAN_10.80.212.0
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
network-object object LAN_10.80.236.0
access-list INTERNET extended permit ip any any
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
pager lines 24
logging asdm informational
mtu internet 1500
mtu servers 1500
mtu management 1500
failover
failover lan unit primary
failover lan interface Failover GigabitEthernet1/2
failover key *****
failover link state GigabitEthernet1/3
failover interface ip Failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.255.255.0 standby 10.0.0.2
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (servers,internet) source static LAN-226 LAN-226 destination static LAN-225 LAN-225
nat (servers,internet) source static LAN_OM LAN_OM destination static LAN_UN LAN_UN
!
access-group INTERNET in interface internet
route internet 0.0.0.0 0.0.0.0 5.151.38.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set FirstSet esp-des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption des
protocol esp integrity sha-1
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 95.168.71.198
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
crypto ikev2 policy 1
encryption des
integrity sha
group 2
prf sha
lifetime seconds 43200
crypto ikev2 enable internet
crypto ikev1 enable internet
crypto ikev1 policy 1
authentication pre-share
encryption des
hash sha
group 2
lifetime 43200
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
tunnel-group 95.168.71.198 type ipsec-l2l
tunnel-group 95.168.71.198 ipsec-attributes
ikev1 pre-shared-key *****

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не работает L2L на ASA"  +/
Сообщение от crash (ok) on 06-Фев-15, 06:54 
с какого адреса какой адрес пытаетесь пинговать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 06-Фев-15, 06:57 
> с какого адреса какой адрес пытаетесь пинговать?

10.80.221.13 --> 10.80.222.13
ну или наоборот

оба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания внутренних сетей), но там с маршрутизацией все четко.

Делал такой эксперимент:
с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер). Так вот, по сниферу видно, что хост получает пинги и отвечает на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только отправленные пакеты.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не работает L2L на ASA"  +/
Сообщение от crash (ok) on 06-Фев-15, 07:25 
>> с какого адреса какой адрес пытаетесь пинговать?
> 10.80.221.13 --> 10.80.222.13
> ну или наоборот
> оба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания
> внутренних сетей), но там с маршрутизацией все четко.
> Делал такой эксперимент:
> с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер).
> Так вот, по сниферу видно, что хост получает пинги и отвечает
> на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только
> отправленные пакеты.

так может маршрутизатор у вас по другому пути пытается отправить пакет обратный? Или на другой стороне ASA не так настроена?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 06-Фев-15, 11:18 
>[оверквотинг удален]
>> ну или наоборот
>> оба узла идентичны. Межу ASA и хостом есть еще маршрутизатор (для разруливания
>> внутренних сетей), но там с маршрутизацией все четко.
>> Делал такой эксперимент:
>> с хоста 10.80.222.13 (со стороны ASA2) пинговал 10.80.221.13 (на него поставил снифер).
>> Так вот, по сниферу видно, что хост получает пинги и отвечает
>> на них. Снифер со стороны ASA2? установленный на 10.80.222.13, видит только
>> отправленные пакеты.
> так может маршрутизатор у вас по другому пути пытается отправить пакет обратный?
> Или на другой стороне ASA не так настроена?

Выше у меня приведены конфиги обоих ASA, а в маршрутизаторах ошибок нет, тут я уверен на 100%.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Не работает L2L на ASA"  +/
Сообщение от ShyLion (ok) on 06-Фев-15, 11:58 
> тут я уверен на 100%.

тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 10-Фев-15, 08:25 
>> тут я уверен на 100%.
> тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.

Думал и об этом, но честно сказать не знаю как это сделать ((

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Не работает L2L на ASA"  +/
Сообщение от ShyLion (ok) on 11-Фев-15, 16:39 
>>> тут я уверен на 100%.
>> тупо понюхай ESP траффик с internet интерфейсов, возможно оператор связи что-то фильтрует.
> Думал и об этом, но честно сказать не знаю как это сделать
> ((

ASA умеет сама:
http://www.packetu.com/2012/04/03/span-port-on-the-asa-5505/

Другой способ:
На любом управляемом коммутаторе есть функция зеркалирования траффика.
Зеркалируешь порт, кода воткнута АСА (например отдельный VLAN для интернет подключения, один порт к провайдеру, второй к АСА) и нюхаешь, под линухом tcpdump, под виндой WireShark.

И да, с роутингом и НАТом у тебя недоделано, как тебе уже сказали.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

8. "Не работает L2L на ASA"  +/
Сообщение от _alecx_ (ok) on 06-Фев-15, 12:40 
>access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0

сети с двух сторон должны быть разные, что-то типо:

access-list l2l list ext permit ip object-group LAN_UN object-group LAN_OM

Маршрутизация на ASA не настроена

route internet удаленные_сети ip_удаленной_asa
route servers внутренние_сети ip_внутреннего_gw

После этого смотрите счетчики в sh cry ips sa

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 06-Фев-15, 13:29 
Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А то у них есть дефолты только которые в интернет смотрят. А о других сетях локальных они знать и не знают.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 10-Фев-15, 08:18 
> Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А
> то у них есть дефолты только которые в интернет смотрят. А
> о других сетях локальных они знать и не знают.

Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо. ASA сама знает (при помощи ACL) какие сети и от каких нужно заворачивать в туннель.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 10-Фев-15, 11:21 
>> Правильно Вам пишут, в первую очередь настройте маршрутизацию, на обоих асах. А
>> то у них есть дефолты только которые в интернет смотрят. А
>> о других сетях локальных они знать и не знают.
> Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо.
> ASA сама знает (при помощи ACL) какие сети и от каких
> нужно заворачивать в туннель.

В первую очередь, аса это не маршрутизатор, это фаервол.
Поэтому ей в первую очередь надо либо настраивать какой нить оспф, либо рисовать статические маршруты, это обязательное условие. А то что у вас нарисовано в ACL это уже десятое дело, и к маршрутизации оно дела не имеет.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 10-Фев-15, 12:06 
>[оверквотинг удален]
>>> то у них есть дефолты только которые в интернет смотрят. А
>>> о других сетях локальных они знать и не знают.
>> Тоже задавался таким вопросом, но помоему маршрутизировать эти сети и не надо.
>> ASA сама знает (при помощи ACL) какие сети и от каких
>> нужно заворачивать в туннель.
> В первую очередь, аса это не маршрутизатор, это фаервол.
> Поэтому ей в первую очередь надо либо настраивать какой нить оспф, либо
> рисовать статические маршруты, это обязательное условие. А то что у вас
> нарисовано в ACL это уже десятое дело, и к маршрутизации оно
> дела не имеет.

Я конечно не специалист в туннелях подобного типа (первый раз делаю), но ситуацию понимаю так (может и не правильно):
-с хоста пакет уходит на шлюз (в моем случае это внутренней рутер)
-внутренний рутер маршрутизит это все на ASA
-на ASA есть такие строчки
access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 95.168.71.198
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface internet
здесь определяется трафик от куда и куда. на какой хост его отправить, с какого интерфейса и чем шифровать.
Вопрос маршрутизации по идее на этом уровне и решается.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 11-Фев-15, 14:18 
>[оверквотинг удален]
> -на ASA есть такие строчки
> access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
> crypto map abcmap 1 match address l2l_list
> crypto map abcmap 1 set peer 95.168.71.198
> crypto map abcmap 1 set ikev1 transform-set FirstSet
> crypto map abcmap 1 set ikev2 ipsec-proposal secure
> crypto map abcmap interface internet
> здесь определяется трафик от куда и куда. на какой хост его отправить,
> с какого интерфейса и чем шифровать.
> Вопрос маршрутизации по идее на этом уровне и решается.

Вообще эти строчки относятся к туннелю. И в частности какой трафик согласно листа l2l_list попадёт в данный туннель. Не более. И ещё одно условие, тот трафик который должен попадать в туннель он не должнет транслироваться. т.е NO-NAT.
Более наглядно как проходит трафик через асу можно посмотреть встроенным packet-tracer либо в консоли, либо в ASDM. В ASDM нагляднее.
вообще вот ссылка как классически настраивается l2l. Не поленитесь посмотрите, там хоть и для 7.2, но понятно.
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...
поясню на всякий случай:
1. Для начала нужно привести в порядок маршрутизацию на АСах это первое условие и обязательное, если посмотрите packet-tracer то увидите, что на первом шаге пакета происходит проверка Phase: 1 Type: ROUTE-LOOKUP, т.е. аса смотрит куда отправить пакет.
2. Если вы строите туннель, то в туннель надо каким то образом заворачивать трафик, это делается путём написания ACL в которых описывается от какой сети к какой идёт трафик, и в случае L2L эти ACL на 2х сторонах отличаются зеркально.
3. Т.к. вы заворачиваете трафик в туннель, то логично предположить что трафик не должен транслироваться (натироваться), поэтому есть такой инструмент исключение из ната (NAT exemption, NAT 0, No NAT) и в большинстве случаев ACL описывающий то что попадает в туннель совпадает с ACL описывающий какой трафик должен быть исключен из трансляции.

У вас же сейчас, не порядок с маршрутами, нету нормальных ACL описывающий какой трафик попадает в туннель (l2l_list) и каламбур в том, что стоит исключить из трансляции.
https://www.fir3net.com/Firewalls/Cisco/cisco-asa-83-no-nat-...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 11-Фев-15, 14:58 
>[оверквотинг удален]
> ACL на 2х сторонах отличаются зеркально.
> 3. Т.к. вы заворачиваете трафик в туннель, то логично предположить что трафик
> не должен транслироваться (натироваться), поэтому есть такой инструмент исключение из
> ната (NAT exemption, NAT 0, No NAT) и в большинстве случаев
> ACL описывающий то что попадает в туннель совпадает с ACL описывающий
> какой трафик должен быть исключен из трансляции.
> У вас же сейчас, не порядок с маршрутами, нету нормальных ACL описывающий
> какой трафик попадает в туннель (l2l_list) и каламбур в том, что
> стоит исключить из трансляции.
> https://www.fir3net.com/Firewalls/Cisco/cisco-asa-83-no-nat-...

Хочу докопаться до истины, поэтому не обижайтесь, буду спорить :)

Мне кажется, что с маршрутизацией у меня проблем быть не должно. Я внимательно просмотрел Вашу ссылочку с примером. В ней все сети на втором конце уходят на хост в InternetCloud. Так оно и у меня точно также, отрутится строчкой
route internet 0.0.0.0 0.0.0.0 95.168.71.225 1
(признаюсь, привел выше конфиг, а строчки route как то забыл указать)
Привету результат команды:
asa1# packet-tracer input servers icmp 10.80.221.13 0 0 10.80.222.13

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         internet

Phase: 2
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 3
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: NAT
Subtype:      
Result: ALLOW
Config:
nat (servers,internet) source static test1 test1 destination static test2 test2
Additional Information:
Static translate 10.80.221.13/0 to 10.80.221.13/0

Phase: 5
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 10569666, packet dispatched to next module

Result:
input-interface: servers
input-status: up
input-line-status: up
output-interface: internet
output-status: up
output-line-status: up
Action: allow

я несколько изменил уже конфик, сейчас там есть такая строчка
nat (servers,internet) source static test1 test1 destination static test2 test2
в замен подобных же.
Кстате это ответ на третий пункт, это и есть NAT-0

По поводу второго пункта, у меня имеется access-list l2l_list (он приведен в кнфиге выше), оа обоих ASA он зеркальный.

По идее то как бы все правильно. И трафик то в одну сторону проходит (сниферил), а вот в обратку не идет. Такое ощущение, что в туннель заходит, а из него не выходит на другом конце. Хотя мне может это только кажется.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 11-Фев-15, 17:27 
> я несколько изменил уже конфик, сейчас там есть такая строчка
> nat (servers,internet) source static test1 test1 destination static test2 test2
> в замен подобных же.
> Кстате это ответ на третий пункт, это и есть NAT-0
> По поводу второго пункта, у меня имеется access-list l2l_list (он приведен в
> кнфиге выше), оа обоих ASA он зеркальный.
> По идее то как бы все правильно. И трафик то в одну
> сторону проходит (сниферил), а вот в обратку не идет. Такое ощущение,
> что в туннель заходит, а из него не выходит на другом
> конце. Хотя мне может это только кажется.

Я не против спора, он рождает истину :)
По поводу исключения из ната, я вижу что он настроен, только он далеко у вас не зеркальный.
ASA1:
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240

object-group network LAN_UN
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN-226
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0

nat (servers,internet) source static LAN-225 LAN-225 destination static LAN-226 LAN-226
nat (servers,internet) source static LAN_UN LAN_UN destination static LAN_OM LAN_OM
т.е. как бы первая строка не имеет смысла при наличии второй.

ASA2:
object network LAN-225
range 10.80.225.1 10.80.225.240
object network LAN-226
range 10.80.226.1 10.80.226.240

object-group network LAN_UN
network-object object LAN_10.80.200.0
network-object object LAN_10.80.201.0
network-object object LAN_10.80.211.0
network-object object LAN_10.80.221.0
network-object object LAN_10.80.215.0
network-object object LAN_10.80.235.0
network-object object LAN-225
object-group network LAN_OM
network-object object LAN_10.80.200.16
network-object object LAN-226
network-object object LAN_10.80.202.0
network-object object LAN_10.80.212.0
network-object object LAN_10.80.222.0
network-object object LAN_10.80.216.0
network-object object LAN_10.80.236.0

nat (servers,internet) source static LAN-226 LAN-226 destination static LAN-225 LAN-225
nat (servers,internet) source static LAN_OM LAN_OM destination static LAN_UN LAN_UN
Ну как бы есть различия, т.е. не очень зеркальный. И достаточно странный. Поэтому и говорю, что для начала нужно конечно привести в порядок всё.

Во вторых странность наводит в ACL вторая строка:
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
Зачем так написано?
Далее вопрос, а что стоит за обоими асами? Т.е. к чему подключаются сервера? Асы для серверов выступают в качестве гейтов?
А теперь порассуждаем, вы пишите что пингуете 10.80.221.13 --> 10.80.222.13
Рассуждаем логично, аса1 знает о существовании сети 10.80.225.0 она для неё коннектед.
Аса2 так же знает о существовании сети 10.80.226.0 она тоже для неё коннектед.
Всё что другое они обе будут кидать в дефолт. Рассуждаем дальше, вы отправляете пакет с асы1 в сторону вроде как асы2, пакет приходит на асу1 уходит допустим в туннель, выходит из туннеля, и теперь подумайте куда должна при наличии 2х у неё маршрутов коннектед 10.80.226.0 и дефолта, куда она данный пакет запульнёт?
Вы же видете первый шаг асы, это роутинг:
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         internet
Дальше она его пуляет в сторону дефолта, что правильно, и он далее попадает в туннель:
Phase: 4
Type: NAT
Subtype:      
Result: ALLOW
Config:
nat (servers,internet) source static test1 test1 destination static test2 test2
Additional Information:
Static translate 10.80.221.13/0 to 10.80.221.13/0
Phase: 5
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:
И поверьте на другой стороне он выходит из туннеля, только скорее всего аса его дропает, т.к. не знает куда его деть.
Снифирить трафик с асы не получится, т.к. там будет шифрованный трафик, не поймёте.
Можно попробовать, на самой асе.
Поэтому и пишу, нарисуйте вначале статикой, правильно на обоих асах, где искать какие сети.
Потом опишите, правильно, что запихивать в туннель, и что не транслировать.
Только пишите конкретные сети, а не /16.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Не работает L2L на ASA"  +/
Сообщение от Тимофей (??) on 11-Фев-15, 17:30 
и сделайте вывод команд:
sho crypto isa sa
sho crypto ips sa
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 12-Фев-15, 08:13 
> и сделайте вывод команд:
> sho crypto isa sa
> sho crypto ips sa

На данный момент у меня ACL и NAT-0 выглядят так:
ASA1:
access-list l2l_list extended permit ip 10.80.225.0 255.255.255.0 10.80.226.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.221.0 255.255.255.0 10.80.222.0 255.255.255.0

object network test1
host 10.80.221.13
object network test2
host 10.80.222.13
nat (servers,internet) source static test1 test1 destination static test2 test2
-----------------------------------
asa1# sho crypto isa sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 95.168.71.198
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

There are no IKEv2 SAs
-----------------------------------
asa1# sho crypto ips sa
interface: internet
    Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94

      access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.80.222.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.80.221.0/255.255.255.0/0/0)
      current_peer: 95.168.71.198

      #pkts encaps: 21774, #pkts encrypt: 21774, #pkts digest: 21774
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 21774, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 26742134
      current inbound spi : BBF90391

    inbound esp sas:
      spi: 0xBBF90391 (3153658769)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3915000/4863)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x26742134 (645144884)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3914173/4863)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

    Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94

      access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.80.226.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.80.225.0/255.255.255.0/0/0)
      current_peer: 91.198.71.198

      #pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 2, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 65AC7C89
      current inbound spi : F6FABDA8

    inbound esp sas:
      spi: 0xF6FABDA8 (4143627688)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3915000/27475)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x65AC7C89 (1705802889)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3914999/27474)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001


===============================================================================
ASA2:
access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0

object network test1
host 10.80.221.13
object network test2
host 10.80.222.13
nat (servers,internet) source static test2 test2 destination static test1 test1

-----------------------------------

asa2# sho crypto isa sa

IKEv1 SAs:

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 95.168.71.198
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

-----------------------------------
asa2# sho crypto ips sa
interface: internet
    Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94

      access-list l2l_list extended permit ip 10.80.222.0 255.255.255.0 10.80.221.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.80.222.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.80.221.0/255.255.255.0/0/0)
      current_peer: 95.168.71.198

      #pkts encaps: 21774, #pkts encrypt: 21774, #pkts digest: 21774
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 21774, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 26742134
      current inbound spi : BBF90391

    inbound esp sas:
      spi: 0xBBF90391 (3153658769)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3915000/4863)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x26742134 (645144884)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3914173/4863)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

    Crypto map tag: abcmap, seq num: 1, local addr: 5.151.38.94

      access-list l2l_list extended permit ip 10.80.226.0 255.255.255.0 10.80.225.0 255.255.255.0
      local ident (addr/mask/prot/port): (10.80.226.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.80.225.0/255.255.255.0/0/0)
      current_peer: 95.168.71.198

      #pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 2, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 5.151.38.94/0, remote crypto endpt.: 95.168.71.198/0
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 65AC7C89
      current inbound spi : F6FABDA8

    inbound esp sas:
      spi: 0xF6FABDA8 (4143627688)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3915000/27475)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x65AC7C89 (1705802889)
         transform: esp-des esp-md5-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 446464, crypto-map: abcmap
         sa timing: remaining key lifetime (kB/sec): (3914999/27474)
         IV size: 8 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Не работает L2L на ASA"  +/
Сообщение от ShyLion (??) on 11-Фев-15, 22:24 
На принимающей стороне счетчик decaps должен крутится все равно, даже если потом траффик дропается
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

10. "Не работает L2L на ASA"  +/
Сообщение от Vladimir3000 (ok) on 10-Фев-15, 08:17 
>>access-list l2l_list extended permit ip 10.80.0.0 255.255.0.0 10.80.0.0 255.255.0.0
> сети с двух сторон должны быть разные, что-то типо:
> access-list l2l list ext permit ip object-group LAN_UN object-group LAN_OM

для чистоты эксперимента внес изменения в конфиги - не помогло. По идее моя запись не противоречит идее.

> Маршрутизация на ASA не настроена
> route internet удаленные_сети ip_удаленной_asa

Тоже попробовал на всякий случай - не помогло. Записи такого вида не должны работать.

> route servers внутренние_сети ip_внутреннего_gw
> После этого смотрите счетчики в sh cry ips sa

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру