forum.opennet.ru - "Маршрутизация VPN" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Маршрутизация VPN"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация VPN"
Сообщение от Stupidity (ok) on 03-Сен-08, 05:54
Такая ситуация... С одной стороны Linux c ip-адресами: интернетовским - A.A.A.A и локальным - 192.168.3.10 С другой стороны Cisco ASA 5505 с адресами: B.B.B.B и 192.168.101.2 Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально... В офисе где Linux есть еще пару сетей к примеру 192.168.1.0/24, 192.168.2.0/24... Как дать доступ этим сетям к сети 192.168.101.0/24... как на циске указать чтобы трафик для этих сетей слался через туннель на 192.168.3.10... Мучаюсь уже давно с этим ничего не получается... на линуксе запускаю tcpdump трафика вообще не появляется, то есть получается через циску не проходит....
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Маршрутизация VPN, Stupidity, 06:35 , 03-Сен-08, (1)
Маршрутизация VPN, Stupidity, 13:12 , 03-Сен-08, (2)

Маршрутизация VPN, ural_sm, 13:28 , 03-Сен-08, (3)

Маршрутизация VPN, Stupidity, 14:08 , 03-Сен-08, (4)
Маршрутизация VPN, Stupidity, 14:14 , 03-Сен-08, (5)
Маршрутизация VPN, Stupidity, 14:42 , 03-Сен-08, (6)

Маршрутизация VPN, ural_sm, 14:55 , 03-Сен-08, (7)

Маршрутизация VPN, Stupidity, 15:29 , 03-Сен-08, (8)

Маршрутизация VPN, Stupidity, 15:38 , 03-Сен-08, (9)

Маршрутизация VPN, ural_sm, 15:40 , 03-Сен-08, (10)

Маршрутизация VPN, Stupidity, 04:16 , 04-Сен-08, (11)

Маршрутизация VPN, ural_sm, 09:52 , 04-Сен-08, (12)

Маршрутизация VPN, Stupidity, 11:21 , 04-Сен-08, (13)

Маршрутизация VPN, Stupidity, 07:01 , 05-Сен-08, (14)

Маршрутизация VPN, ural_sm, 09:42 , 05-Сен-08, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 06:35

С других компьютеров в сети 192.168.3.0/24 через 192.168.3.10 сеть 101.0/24 видится...
Подскажите как это вообще должно правильно быть? Что где глянуть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 13:12

Еще хочу дополнить... Схема получается примерно такая:
[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]
Так вот пинги с Comp1(192.168.3.10) идут на Comp3(192.168.101.1)
С Comp2 тоже пинги идут на Comp3... Но если на Comp2 ввожу пинг так:
ping -I 192.168.1.241 192.168.101.1
т.е. с интерфейса в сети 192.168.1.0... пинги не идут....
Помоги кто-нить... У мня уже руки опускаются... мучаюсь уже... Проблема как я понимаю в настройках цыски...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Маршрутизация VPN"

Сообщение от ural_sm (ok) on 03-Сен-08, 13:28

С обеих сторон дописать на АСЛ который выбирает трафик и привязан к криптомапе
эти сети 192.168.1.0/24, 192.168.2.0/24
ну естесно не забыть NONAT сделать на них, разрешить хождение трафика соответствующими АСЛ на интерфейсах

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 14:08

>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>криптомапе
>эти сети 192.168.1.0/24, 192.168.2.0/24
Прошу прощения... :) ... А можно подробней?
>ну естесно не забыть NONAT сделать на них,
Ага, из ната исключал...
>разрешить хождение трафика соответствующими
>АСЛ на интерфейсах
На фаерволе всё разрешено...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 14:14

А маршруты нужно какие-нить на цыске добавить?
Был прописан только маршрут по-умолчанию на интернетовский шлюз провайдера...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 14:42

>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>криптомапе
>эти сети 192.168.1.0/24, 192.168.2.0/24
Добавил в конфиге теперь
access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
Измений нет... я до этого уже проделывал такое...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Маршрутизация VPN"

Сообщение от ural_sm (ok) on 03-Сен-08, 14:55

>>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>>криптомапе
>>эти сети 192.168.1.0/24, 192.168.2.0/24
>
>Добавил в конфиге теперь
>access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
>Измений нет... я до этого уже проделывал такое...
На linux надеюсь тоже добавил? Шлюзы?
покажи sh crypto ipsec sa

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 15:29

Result of the command: "sh crypto ipsec sa"
interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: A.A.A.A
      #pkts encaps: 210, #pkts encrypt: 210, #pkts digest: 210
      #pkts decaps: 273, #pkts decrypt: 273, #pkts verify: 273
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 210, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06D2F9C3
    inbound esp sas:
      spi: 0xA3BEE1A2 (2747195810)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274864/28351)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06D2F9C3 (114489795)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274949/28351)
         IV size: 8 bytes
         replay detection support: Y

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 03-Сен-08, 15:38

По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Маршрутизация VPN"

Сообщение от ural_sm (ok) on 03-Сен-08, 15:40

>По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой
>сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...
Туннель будет один но в него будет загнан трафик отвечающий требованиям АСЛ
то есть три сети. И на обратной стороне так же.
access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list outside_20_cryptomap permit ip 192.168.1.0 255.255.255.0 192.168.3.0
255.255.255.0
access-list outside_20_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
а потом смотри по  sh crypto ipsec sa

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 04-Сен-08, 04:16

Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит...
[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]
Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0"
Запускаю racoon...
С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"...
Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10).
Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3...
А циске пишет "IKE: 1 IPSec: 2"
Это как понимать? Туннель один же должен быть?
Вывод команды "sh crypto ipsec sa"
:

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      current_peer: A.A.A.A
      #pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125
      #pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 321
      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 0FFBA690
    inbound esp sas:
      spi: 0x753A1D59 (1966742873)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x0FFBA690 (268150416)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 81.2.1.10
      #pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073
      #pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 2
      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06E47DB9
    inbound esp sas:
      spi: 0x6C811878 (1820399736)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274893/28574)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06E47DB9 (115637689)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274693/28574)
         IV size: 8 bytes
         replay detection support: Y
Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"...
Правила ipsec на циске вот так прописаны...
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0
На Линухе:
в /etc/racoon/racoon.conf
    remote B.B.B.B {
        exchange_mode main;
    lifetime time 1440 min;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
    }
    sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }
    sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }
в /etc/ipsec-tools.conf
    spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;
    spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;
    spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;
    spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;
Вроде ж всё правильно??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Маршрутизация VPN"

Сообщение от ural_sm (ok) on 04-Сен-08, 09:52

>
>access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
>access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0
access-list outside_20_cryptomap  нет 3.0 сетки

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 04-Сен-08, 11:21

Не, там всё нормально... эт опечатка... там:
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Маршрутизация VPN"

Сообщение от Stupidity (ok) on 05-Сен-08, 07:01

Народ, ну помогите!
Проблема в итоге уперлась в такую ситуацию:
С одной стороны Linux c ip-адресами:
интернетовским - A.A.A.A и локальным - 192.168.3.10
С другой стороны Cisco ASA 5505 с адресами:
B.B.B.B и 192.168.101.2
Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально...
В офисе где Linux есть еще пару сетей для примера возьмём 192.168.99.0/24...
Как сделать чтобы обе сети 192.168.3.0/24 и сеть 192.168.99.0/24 видели сеть 192.168.101.0/24???
После махинаций получилось следующее - после запуска racoon на линуксе, из какой сети я пинги запускаю в 101-ую сеть с той туннель и устанавливается, и с другой сети пинги трафик не ходит.
Конфиги racoon и ipsec в предыдущем посте...
Прошу помощи, подсказок!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Маршрутизация VPN"

Сообщение от ural_sm (ok) on 05-Сен-08, 09:42

>Народ, ну помогите!
>Прошу помощи, подсказок!!!
Во первых у тебя в выводе sh crypto ipsec sa нет сведений о 99.0 сети, что говорит о то  что ты не включил эту сеть в АСЛ для криптомапы.
Смотри должно быть так:
Хост типа  99.10 пингует  101.10 шлюз у него линукс (типа 99.1). Он видит что этот трафик надо затолкнуть в  ipsec туннель (наcтройки racoona).
Там ASA смотрит криптомапу и и распаковыет и шлет по назначению.
То есть в криптомапах на обеих сторонах должен быть интересующий трафик.
Вот и все. У меня такая связка работает, правда с одной 3640 и ASA c другой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маршрутизация VPN"
Сообщение от Stupidity (ok) on 03-Сен-08, 06:35
С других компьютеров в сети 192.168.3.0/24 через 192.168.3.10 сеть 101.0/24 видится... Подскажите как это вообще должно правильно быть? Что где глянуть?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Маршрутизация VPN"
Сообщение от Stupidity (ok) on 03-Сен-08, 13:12
Еще хочу дополнить... Схема получается примерно такая: [Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1] Так вот пинги с Comp1(192.168.3.10) идут на Comp3(192.168.101.1) С Comp2 тоже пинги идут на Comp3... Но если на Comp2 ввожу пинг так: ping -I 192.168.1.241 192.168.101.1 т.е. с интерфейса в сети 192.168.1.0... пинги не идут.... Помоги кто-нить... У мня уже руки опускаются... мучаюсь уже... Проблема как я понимаю в настройках цыски...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Маршрутизация VPN"
	Сообщение от ural_sm (ok) on 03-Сен-08, 13:28
	С обеих сторон дописать на АСЛ который выбирает трафик и привязан к криптомапе эти сети 192.168.1.0/24, 192.168.2.0/24 ну естесно не забыть NONAT сделать на них, разрешить хождение трафика соответствующими АСЛ на интерфейсах
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 03-Сен-08, 14:08
	>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >криптомапе >эти сети 192.168.1.0/24, 192.168.2.0/24 Прошу прощения... :) ... А можно подробней? >ну естесно не забыть NONAT сделать на них, Ага, из ната исключал... >разрешить хождение трафика соответствующими >АСЛ на интерфейсах На фаерволе всё разрешено...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 03-Сен-08, 14:14
	А маршруты нужно какие-нить на цыске добавить? Был прописан только маршрут по-умолчанию на интернетовский шлюз провайдера...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 03-Сен-08, 14:42
	>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >криптомапе >эти сети 192.168.1.0/24, 192.168.2.0/24 Добавил в конфиге теперь access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 Измений нет... я до этого уже проделывал такое...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Маршрутизация VPN"
	Сообщение от ural_sm (ok) on 03-Сен-08, 14:55
	>>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >>криптомапе >>эти сети 192.168.1.0/24, 192.168.2.0/24 > >Добавил в конфиге теперь >access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 >Измений нет... я до этого уже проделывал такое... На linux надеюсь тоже добавил? Шлюзы? покажи sh crypto ipsec sa
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 03-Сен-08, 15:29
	Result of the command: "sh crypto ipsec sa" interface: outside Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: A.A.A.A #pkts encaps: 210, #pkts encrypt: 210, #pkts digest: 210 #pkts decaps: 273, #pkts decrypt: 273, #pkts verify: 273 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 210, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 06D2F9C3 inbound esp sas: spi: 0xA3BEE1A2 (2747195810) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 32, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274864/28351) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x06D2F9C3 (114489795) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 32, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274949/28351) IV size: 8 bytes replay detection support: Y
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 03-Сен-08, 15:38
	По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Маршрутизация VPN"
	Сообщение от ural_sm (ok) on 03-Сен-08, 15:40
	>По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой >сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?... Туннель будет один но в него будет загнан трафик отвечающий требованиям АСЛ то есть три сети. И на обратной стороне так же. access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0 а потом смотри по sh crypto ipsec sa
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 04-Сен-08, 04:16
	Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит... [Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1] Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0" Запускаю racoon... С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"... Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10). Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3... А циске пишет "IKE: 1 IPSec: 2" Это как понимать? Туннель один же должен быть? Вывод команды "sh crypto ipsec sa" : interface: outside Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer: A.A.A.A #pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125 #pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 321 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 0FFBA690 inbound esp sas: spi: 0x753A1D59 (1966742873) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (sec): 28400 IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x0FFBA690 (268150416) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (sec): 28400 IV size: 8 bytes replay detection support: Y Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: 81.2.1.10 #pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073 #pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 2 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 06E47DB9 inbound esp sas: spi: 0x6C811878 (1820399736) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274893/28574) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x06E47DB9 (115637689) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274693/28574) IV size: 8 bytes replay detection support: Y Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"... Правила ipsec на циске вот так прописаны... access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0 На Линухе: в /etc/racoon/racoon.conf remote B.B.B.B { exchange_mode main; lifetime time 1440 min; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; } } sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any { lifetime time 1440 min; pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any { lifetime time 1440 min; pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } в /etc/ipsec-tools.conf spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/81.2.1.10-82.162.157.77/require; spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec esp/tunnel/82.162.157.77-81.2.1.10/require; spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/81.2.1.10-82.162.157.77/require; spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec esp/tunnel/82.162.157.77-81.2.1.10/require; Вроде ж всё правильно??
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Маршрутизация VPN"
	Сообщение от ural_sm (ok) on 04-Сен-08, 09:52
	> >access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 >access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0 access-list outside_20_cryptomap нет 3.0 сетки
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Маршрутизация VPN"
	Сообщение от Stupidity (ok) on 04-Сен-08, 11:21
	Не, там всё нормально... эт опечатка... там: access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Маршрутизация VPN"
Сообщение от Stupidity (ok) on 05-Сен-08, 07:01
Народ, ну помогите! Проблема в итоге уперлась в такую ситуацию: С одной стороны Linux c ip-адресами: интернетовским - A.A.A.A и локальным - 192.168.3.10 С другой стороны Cisco ASA 5505 с адресами: B.B.B.B и 192.168.101.2 Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально... В офисе где Linux есть еще пару сетей для примера возьмём 192.168.99.0/24... Как сделать чтобы обе сети 192.168.3.0/24 и сеть 192.168.99.0/24 видели сеть 192.168.101.0/24??? После махинаций получилось следующее - после запуска racoon на линуксе, из какой сети я пинги запускаю в 101-ую сеть с той туннель и устанавливается, и с другой сети пинги трафик не ходит. Конфиги racoon и ipsec в предыдущем посте... Прошу помощи, подсказок!!!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Маршрутизация VPN"
	Сообщение от ural_sm (ok) on 05-Сен-08, 09:42
	>Народ, ну помогите! >Прошу помощи, подсказок!!! Во первых у тебя в выводе sh crypto ipsec sa нет сведений о 99.0 сети, что говорит о то что ты не включил эту сеть в АСЛ для криптомапы. Смотри должно быть так: Хост типа 99.10 пингует 101.10 шлюз у него линукс (типа 99.1). Он видит что этот трафик надо затолкнуть в ipsec туннель (наcтройки racoona). Там ASA смотрит криптомапу и и распаковыет и шлет по назначению. То есть в криптомапах на обеих сторонах должен быть интересующий трафик. Вот и все. У меня такая связка работает, правда с одной 3640 и ASA c другой.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]