форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"ASA ipsec туннель не строится"

Сообщение от horton on 06-Фев-09, 15:44

Делаю ipsec туннель между ASA и Dlink-ом.Все вроде настроил, а не получается туннель.Подскажите? это логи при попытке пропинговать: Built inbound UDP connection 28004 for outside:dlink-wan/500 (dlink-wan/500) to NP Identity Ifc:113.133.59.115/500 (113.133.59.115/500) Group = 113.133.59.120, IP = 113.133.59.120, Freeing previously allocated memory for authorization-dn-attributes AAA retrieved default group policy (DfltGrpPolicy) for user = 113.133.59.120 Group = 113.133.59.120, IP = 113.133.59.120, PHASE 1 COMPLETED Group = 113.133.59.120, IP = 113.133.59.120, All IPSec SA proposals found unacceptable! Group = 113.133.59.120, IP = 113.133.59.120, QM FSM error (P2 struct &0x19f17020, mess id 0x3d95c2a2)! Group = 113.133.59.120, IP = 113.133.59.120, Removing peer from correlator table failed, no match! это кусок конфига crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto map outside_map 1 match address outside_1_cryptomap_1 crypto map outside_map 1 set pfs crypto map outside_map 1 set peer dlink-wan crypto map outside_map 1 set transform-set ESP-DES-MD5 crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 5 authentication pre-share encryption des hash md5 group 2 lifetime 86400 no crypto isakmp nat-traversal tunnel-group 113.133.59.120 type ipsec-l2l tunnel-group 113.133.59.120 ipsec-attributes pre-shared-key *

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ASA ipsec туннель не строится"

Сообщение от ilya (ok) on 06-Фев-09, 20:59

>[оверквотинг удален] >crypto isakmp policy 5 > authentication pre-share > encryption des > hash md5 > group 2 > lifetime 86400 >no crypto isakmp nat-traversal >tunnel-group 113.133.59.120 type ipsec-l2l >tunnel-group 113.133.59.120 ipsec-attributes > pre-shared-key * попробйуте убрать crypto map outside_map 1 set pfs и проверьте какие параметры IPSECа указаны на длинке - циска грит что они у вас с длинком не совпадают. на длинуке указан трасформ-сет дес-мд5?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ASA ipsec туннель не строится"
	Сообщение от jkchief on 09-Фев-09, 16:04
	>[оверквотинг удален] >> authentication pre-share >> encryption des >> hash md5 >> group 2 >> lifetime 86400 >>no crypto isakmp nat-traversal >>tunnel-group 113.133.59.120 type ipsec-l2l >>tunnel-group 113.133.59.120 ipsec-attributes >> pre-shared-key * > выложи полностью настройки и по ipsec, как вариант, в крипто-мапе у тебя с обоих сторон интерфейса могут не совпадать аксесс-листы, они должны быть зеркальные. или не включен crypto isakmp enable inerf  для интерфейса. сложно чтото сказать по той, инфе, что выложена
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ASA ipsec туннель не строится"
	Сообщение от jkchief on 09-Фев-09, 16:19
	Извиняюсь, не увидил первоначального сообщения. Попробуй посмотреть аксесс-листы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]