forum.opennet.ru - "IPSEC ASA5510 <-> Cisco 1841" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSEC ASA5510 <-> Cisco 1841"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSEC ASA5510 <-> Cisco 1841"
Сообщение от plohish (??) on 22-Май-08, 15:54
Добрый день! Строю сабж следующим образом: ASA5510: crypto ipsec transform-set apk-kz esp-des esp-md5-hmac crypto map apk1305map 20 match address apk-kz crypto map apk1305map 20 set peer 92.242.XXX.XXX crypto map apk1305map 20 set transform-set apk-kz crypto map apk1305map interface pri_isp_subif crypto isakmp enable pri_isp_subif crypto isakmp policy 20 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 tunnel-group 92.242.XXX.XXX type ipsec-l2l tunnel-group 92.242.XXX.XXX ipsec-attributes pre-shared-key * access-list apk-kz extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0 access-list apk-kz extended permit ip 172.31.23.0 255.255.255.0 192.168.65.0 255.255.255.0 no sysopt connection permit-vpn Cisco 1841: crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key 6 blah-blah-blah address 92.242.XXX.XXX ! ! crypto ipsec transform-set kz-apk esp-des esp-md5-hmac ! crypto map apk 20 ipsec-isakmp set peer 92.242.XXX.XXX set transform-set kz-apk match address 120 access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255 access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255 И имею очень странную картину: из сети за асой (.60.0) пингую приватный адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь сталкивался ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

IPSEC ASA5510 <-> Cisco 1841, SergTel, 09:11 , 23-Май-08, (1)
IPSEC ASA5510 <-> Cisco 1841, KiM, 10:19 , 23-Май-08, (2)

IPSEC ASA5510 <-> Cisco 1841, plohish, 11:05 , 23-Май-08, (3)

IPSEC ASA5510 <-> Cisco 1841, plohish, 11:38 , 23-Май-08, (4)
IPSEC ASA5510 <-> Cisco 1841, KiM, 15:33 , 23-Май-08, (5)

IPSEC ASA5510 <-> Cisco 1841, KiM, 15:42 , 23-Май-08, (6)
IPSEC ASA5510 <-> Cisco 1841, plohish, 16:50 , 23-Май-08, (7)

IPSEC ASA5510 <-> Cisco 1841, Kim, 20:44 , 23-Май-08, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от SergTel on 23-Май-08, 09:11

Смотри в сторону маршрутизации пакетов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от KiM on 23-Май-08, 10:19

>[оверквотинг удален]
> set transform-set kz-apk
> match address 120
>
>access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255
>access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255
>
>И имею очень странную картину: из сети за асой (.60.0) пингую приватный
>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>сталкивался ?
sh run | inc route
в студию на обееих железках

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от plohish (??) on 23-Май-08, 11:05

>[оверквотинг удален]
>>
>>access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255
>>access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255
>>
>>И имею очень странную картину: из сети за асой (.60.0) пингую приватный
>>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>>сталкивался ?
>sh run | inc route
>в студию на обееих железках
Сегодня с утра переделал, пакеты перестали ходить вообще:
#sh run | inc route
   default-router 192.168.65.254 - ip inside (???)
ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за ASA55100 через ее ip
ip nat inside source route-map nonat pool kz overload
route-map nonat permit 10
route-map nonat permit 10
match ip address 100
access-list 100 deny   ip 192.68.65.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 100 deny   ip 192.68.65.0 0.0.0.255 172.31.23.0 0.0.0.255
access-list 100 deny   tcp 192.68.65.0 0.0.0.255 any eq smtp
access-list 100 permit ip 192.168.65.0 0.0.0.255 any
ip nat pool kz 92.242.ZZ.ZZZ 92.242.ZZ.ZZZ netmask 255.255.255.0 - ip outside
ip nat inside source route-map nonat pool kz overload
ASA 5510:
# sh run | inc route
route pri_isp_subif 0.0.0.0 0.0.0.0 92.242.XXX.XX 1
route pri_isp_subif 192.168.65.0 255.255.255.0 92.242.XX.XXX 1 - через IP 1841
access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
nat (inside) 0 access-list 100

5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты не ходят вовсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от plohish (??) on 23-Май-08, 11:38

>[оверквотинг удален]
>
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>
>nat (inside) 0 access-list 100
>
>
>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>не ходят вовсе
В access-list 100 на 1841 была неправильна указана сеть 192.68.65.0 0.0.0.255, надо
192.168.65.0 0.0.0.255. По прежнему пингуется 192.168.65.254 (инсайд 1841), на остальное -
пакеты идут через один..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от KiM on 23-Май-08, 15:33

>[оверквотинг удален]
>>>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>>>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>>>сталкивался ?
>>sh run | inc route
>>в студию на обееих железках
>
>Сегодня с утра переделал, пакеты перестали ходить вообще:
>
>#sh run | inc route
>   default-router 192.168.65.254 - ip inside (???)
это простите что за настройка?
>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за
убери эти 2 маршрута последних
ASA55100
>[оверквотинг удален]
>
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>
>nat (inside) 0 access-list 100
>
>
>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>не ходят вовсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от KiM on 23-Май-08, 15:42

>[оверквотинг удален]
>>
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>>
>>nat (inside) 0 access-list 100
>>
>>
>>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>>не ходят вовсе
sh run?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от plohish (??) on 23-Май-08, 16:50

>>#sh run | inc route
>>   default-router 192.168.65.254 - ip inside (???)
>
>это простите что за настройка?
это то, что выдает dhcp сервер, настроенный на 1841, клиентам в качестве дефолта (себя, собственно, и выдает!).
>
>>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за
>
>убери эти 2 маршрута последних
Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с асы не видится сеть .65.0, а с 1841 не видно сетей за асой. вобщем и хрен с ним, но не хрен: 1841 т.о. не видит тфтп-сервера, находящегося в дмз асы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPSEC ASA5510 <-> Cisco 1841"

Сообщение от Kim on 23-Май-08, 20:44

>[оверквотинг удален]
>>>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>>>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>>>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за
>>
>>убери эти 2 маршрута последних
>
>Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с
>асы не видится сеть .65.0, а с 1841 не видно сетей
>за асой. вобщем и хрен с ним, но не хрен: 1841
>т.о. не видит тфтп-сервера, находящегося в дмз асы.
если заработало то читайте про построение ipsec тунелей там маршруты не прописывают. та на интерфейсе создаётся крипто мап который за тебя делает всю маршрутизацию до пиира, проще говоря инкапсулирует обычный езернет пакет в ipsec с адресом пира в загаловке. когда пир получает пакет то извлекает езернет пакет из ipsec и дальше обрабатывает по правилам маршрутизации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSEC ASA5510 <-> Cisco 1841"
Сообщение от SergTel on 23-Май-08, 09:11
Смотри в сторону маршрутизации пакетов
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "IPSEC ASA5510 <-> Cisco 1841"
Сообщение от KiM on 23-Май-08, 10:19
>[оверквотинг удален] > set transform-set kz-apk > match address 120 > >access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255 >access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255 > >И имею очень странную картину: из сети за асой (.60.0) пингую приватный >адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с >потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь >сталкивался ? sh run \| inc route в студию на обееих железках
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от plohish (??) on 23-Май-08, 11:05
	>[оверквотинг удален] >> >>access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255 >>access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255 >> >>И имею очень странную картину: из сети за асой (.60.0) пингую приватный >>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с >>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь >>сталкивался ? >sh run \| inc route >в студию на обееих железках Сегодня с утра переделал, пакеты перестали ходить вообще: #sh run \| inc route default-router 192.168.65.254 - ip inside (???) ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за ASA55100 через ее ip ip nat inside source route-map nonat pool kz overload route-map nonat permit 10 route-map nonat permit 10 match ip address 100 access-list 100 deny ip 192.68.65.0 0.0.0.255 192.168.60.0 0.0.0.255 access-list 100 deny ip 192.68.65.0 0.0.0.255 172.31.23.0 0.0.0.255 access-list 100 deny tcp 192.68.65.0 0.0.0.255 any eq smtp access-list 100 permit ip 192.168.65.0 0.0.0.255 any ip nat pool kz 92.242.ZZ.ZZZ 92.242.ZZ.ZZZ netmask 255.255.255.0 - ip outside ip nat inside source route-map nonat pool kz overload ASA 5510: # sh run \| inc route route pri_isp_subif 0.0.0.0 0.0.0.0 92.242.XXX.XX 1 route pri_isp_subif 192.168.65.0 255.255.255.0 92.242.XX.XXX 1 - через IP 1841 access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0 access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0 access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0 nat (inside) 0 access-list 100 5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты не ходят вовсе
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от plohish (??) on 23-Май-08, 11:38
	>[оверквотинг удален] > >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0 >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0 >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0 > >nat (inside) 0 access-list 100 > > >5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты >не ходят вовсе В access-list 100 на 1841 была неправильна указана сеть 192.68.65.0 0.0.0.255, надо 192.168.65.0 0.0.0.255. По прежнему пингуется 192.168.65.254 (инсайд 1841), на остальное - пакеты идут через один..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от KiM on 23-Май-08, 15:33
	>[оверквотинг удален] >>>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с >>>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь >>>сталкивался ? >>sh run \| inc route >>в студию на обееих железках > >Сегодня с утра переделал, пакеты перестали ходить вообще: > >#sh run \| inc route > default-router 192.168.65.254 - ip inside (???) это простите что за настройка? >ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера >ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY >ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за убери эти 2 маршрута последних ASA55100 >[оверквотинг удален] > >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0 >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0 >access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0 > >nat (inside) 0 access-list 100 > > >5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты >не ходят вовсе
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от KiM on 23-Май-08, 15:42
	>[оверквотинг удален] >> >>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0 >>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0 >>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0 >> >>nat (inside) 0 access-list 100 >> >> >>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты >>не ходят вовсе sh run?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от plohish (??) on 23-Май-08, 16:50
	>>#sh run \| inc route >> default-router 192.168.65.254 - ip inside (???) > >это простите что за настройка? это то, что выдает dhcp сервер, настроенный на 1841, клиентам в качестве дефолта (себя, собственно, и выдает!). > >>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера >>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY >>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за > >убери эти 2 маршрута последних Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с асы не видится сеть .65.0, а с 1841 не видно сетей за асой. вобщем и хрен с ним, но не хрен: 1841 т.о. не видит тфтп-сервера, находящегося в дмз асы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IPSEC ASA5510 <-> Cisco 1841"
	Сообщение от Kim on 23-Май-08, 20:44
	>[оверквотинг удален] >>>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера >>>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY >>>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за >> >>убери эти 2 маршрута последних > >Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с >асы не видится сеть .65.0, а с 1841 не видно сетей >за асой. вобщем и хрен с ним, но не хрен: 1841 >т.о. не видит тфтп-сервера, находящегося в дмз асы. если заработало то читайте про построение ipsec тунелей там маршруты не прописывают. та на интерфейсе создаётся крипто мап который за тебя делает всю маршрутизацию до пиира, проще говоря инкапсулирует обычный езернет пакет в ipsec с адресом пира в загаловке. когда пир получает пакет то извлекает езернет пакет из ipsec и дальше обрабатывает по правилам маршрутизации.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]