The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSEC ASA5510 <-> Cisco 1841"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от plohish email(??) on 22-Май-08, 15:54 
Добрый день! Строю сабж следующим образом:

ASA5510:

crypto ipsec transform-set apk-kz esp-des esp-md5-hmac
crypto map apk1305map 20 match address apk-kz
crypto map apk1305map 20 set peer 92.242.XXX.XXX
crypto map apk1305map 20 set transform-set apk-kz
crypto map apk1305map interface pri_isp_subif
crypto isakmp enable pri_isp_subif
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group 92.242.XXX.XXX type ipsec-l2l
tunnel-group 92.242.XXX.XXX ipsec-attributes
pre-shared-key *

access-list apk-kz extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
access-list apk-kz extended permit ip 172.31.23.0 255.255.255.0 192.168.65.0 255.255.255.0

no sysopt connection permit-vpn

Cisco 1841:

crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 blah-blah-blah address 92.242.XXX.XXX
!
!
crypto ipsec transform-set kz-apk esp-des esp-md5-hmac
!
crypto map apk 20 ipsec-isakmp
set peer 92.242.XXX.XXX
set transform-set kz-apk
match address 120

access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255

И имею очень странную картину: из сети за асой (.60.0) пингую приватный адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь сталкивался ?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от SergTel email on 23-Май-08, 09:11 
Смотри в сторону маршрутизации пакетов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от KiM email on 23-Май-08, 10:19 
>[оверквотинг удален]
> set transform-set kz-apk
> match address 120
>
>access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255
>access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255
>
>И имею очень странную картину: из сети за асой (.60.0) пингую приватный
>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>сталкивался ?

sh run | inc route
в студию на обееих железках

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от plohish email(??) on 23-Май-08, 11:05 
>[оверквотинг удален]
>>
>>access-list 120 permit ip 192.168.65.0 0.0.0.255 192.168.60.0 0.0.0.255
>>access-list 120 permit ip 192.168.65.0 0.0.0.255 172.31.23.0 0.0.0.255
>>
>>И имею очень странную картину: из сети за асой (.60.0) пингую приватный
>>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>>сталкивался ?
>sh run | inc route
>в студию на обееих железках

Сегодня с утра переделал, пакеты перестали ходить вообще:

#sh run | inc route
   default-router 192.168.65.254 - ip inside (???)
ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за ASA55100 через ее ip
ip nat inside source route-map nonat pool kz overload
route-map nonat permit 10

route-map nonat permit 10
match ip address 100

access-list 100 deny   ip 192.68.65.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 100 deny   ip 192.68.65.0 0.0.0.255 172.31.23.0 0.0.0.255
access-list 100 deny   tcp 192.68.65.0 0.0.0.255 any eq smtp
access-list 100 permit ip 192.168.65.0 0.0.0.255 any

ip nat pool kz 92.242.ZZ.ZZZ 92.242.ZZ.ZZZ netmask 255.255.255.0 - ip outside
ip nat inside source route-map nonat pool kz overload

ASA 5510:

# sh run | inc route
route pri_isp_subif 0.0.0.0 0.0.0.0 92.242.XXX.XX 1
route pri_isp_subif 192.168.65.0 255.255.255.0 92.242.XX.XXX 1 - через IP 1841

access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0

nat (inside) 0 access-list 100


5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты не ходят вовсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от plohish email(??) on 23-Май-08, 11:38 
>[оверквотинг удален]
>
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>
>nat (inside) 0 access-list 100
>
>
>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>не ходят вовсе

В access-list 100 на 1841 была неправильна указана сеть 192.68.65.0 0.0.0.255, надо
192.168.65.0 0.0.0.255. По прежнему пингуется 192.168.65.254 (инсайд 1841), на остальное -
пакеты идут через один..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от KiM email on 23-Май-08, 15:33 
>[оверквотинг удален]
>>>адрес 1841 (.65.254) - все отлично. Остальная подсеть (.65.0) пингуется с
>>>потерями 50%. Понятия не имею, в чем может быть дело. Кто-нибудь
>>>сталкивался ?
>>sh run | inc route
>>в студию на обееих железках
>
>Сегодня с утра переделал, пакеты перестали ходить вообще:
>
>#sh run | inc route
>   default-router 192.168.65.254 - ip inside (???)

это простите что за настройка?

>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за

убери эти 2 маршрута последних

ASA55100
>[оверквотинг удален]
>
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>
>nat (inside) 0 access-list 100
>
>
>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>не ходят вовсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от KiM email on 23-Май-08, 15:42 
>[оверквотинг удален]
>>
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 172.31.23.0 255.255.255.0
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 10.1.2.0 255.255.255.0
>>access-list 100 extended permit ip 192.168.60.0 255.255.255.0 192.168.65.0 255.255.255.0
>>
>>nat (inside) 0 access-list 100
>>
>>
>>5510 не трогал, а после перестройки 1841 - туннель устанавливается, но пакеты
>>не ходят вовсе

sh run?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от plohish email(??) on 23-Май-08, 16:50 

>>#sh run | inc route
>>   default-router 192.168.65.254 - ip inside (???)
>
>это простите что за настройка?

это то, что выдает dhcp сервер, настроенный на 1841, клиентам в качестве дефолта (себя, собственно, и выдает!).

>
>>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за
>
>убери эти 2 маршрута последних

Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с асы не видится сеть .65.0, а с 1841 не видно сетей за асой. вобщем и хрен с ним, но не хрен: 1841 т.о. не видит тфтп-сервера, находящегося в дмз асы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPSEC ASA5510 <-> Cisco 1841"  
Сообщение от Kim on 23-Май-08, 20:44 
>[оверквотинг удален]
>>>ip route 0.0.0.0 0.0.0.0 92.242.XX.XXX - шлюз провайдера
>>>ip route 172.31.23.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY
>>>ip route 192.168.60.0 255.255.255.0 FastEthernet0/1 92.242.YYY.YY - маршруты в подсети за
>>
>>убери эти 2 маршрута последних
>
>Вы маг и волшебник! :-) Но есть небольшая ложечка дегтя: непосредственно с
>асы не видится сеть .65.0, а с 1841 не видно сетей
>за асой. вобщем и хрен с ним, но не хрен: 1841
>т.о. не видит тфтп-сервера, находящегося в дмз асы.

если заработало то читайте про построение ipsec тунелей там маршруты не прописывают. та на интерфейсе создаётся крипто мап который за тебя делает всю маршрутизацию до пиира, проще говоря инкапсулирует обычный езернет пакет в ipsec с адресом пира в загаловке. когда пир получает пакет то извлекает езернет пакет из ipsec и дальше обрабатывает по правилам маршрутизации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру