forum.opennet.ru - "Не работает IPsec между 2821 и ASA 5510" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не работает IPsec между 2821 и ASA 5510"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не работает IPsec между 2821 и ASA 5510"		+/–
Сообщение от woodcut (ok) on 08-Июл-09, 13:11
В логах ASA: construct_ipsec_delete(): No SPI to identify Phase 2 SA! Конфиг ASA правильный, т.к. другие к нему коннектятся нормально, алгоритмы шифрования и клююч точно совпадают. Проблема явно в маршрутизаторе. Конфиг 2821: crypto isakmp policy 1 encr aes authentication pre-share group 2 lifetime 36000 crypto isakmp key secret123 address 91.66.192.124 ! ! crypto ipsec transform-set tunnel1 esp-3des esp-sha-hmac ! crypto map tunnel1-map 10 ipsec-isakmp set peer 91.66.192.124 set security-association lifetime seconds 1800 set transform-set tunnel1 match address 121 interface GigabitEthernet0/0 description corbina_uplink ip address 84.25.222.171 255.255.255.240 secondary ip address 84.25.222.168 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map tunnel1-map ! # это внутренние сети access-list 1 permit 192.168.11.0 0.0.0.255 access-list 2 permit 10.80.1.0 0.0.0.255 access-list 3 permit 192.168.1.0 0.0.0.255 # это концы туннеля access-list 121 permit ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63 # это для nonat access-list 122 deny ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 122 deny ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 122 permit ip 10.80.1.0 0.0.0.255 any access-list 122 permit ip 192.168.1.0 0.0.0.255 any # также у меня 2 провайдера-аплинка route-map PROVIDER1-NAT permit 10 match ip address 1 3 match interface GigabitEthernet0/1 set ip default next-hop 232.47.91.81 ! route-map PROVIDER2-NAT permit 20 match ip address 2 match interface GigabitEthernet0/0 set ip default next-hop 84.25.222.161 ! route-map nonat permit 5 match ip address 122
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Не работает IPsec между 2821 и ASA 5510, sh_, 14:19 , 08-Июл-09, (1)

Не работает IPsec между 2821 и ASA 5510, woodcut, 14:22 , 08-Июл-09, (2)

Не работает IPsec между 2821 и ASA 5510, AleX, 14:31 , 08-Июл-09, (3)

Не работает IPsec между 2821 и ASA 5510, woodcut, 15:03 , 08-Июл-09, (4)

Не работает IPsec между 2821 и ASA 5510, sh_, 15:30 , 08-Июл-09, (5)

Не работает IPsec между 2821 и ASA 5510, woodcut, 16:11 , 08-Июл-09, (6)

Не работает IPsec между 2821 и ASA 5510, sh_, 10:51 , 09-Июл-09, (7)

Не работает IPsec между 2821 и ASA 5510, woodcut, 12:18 , 09-Июл-09, (8)

Не работает IPsec между 2821 и ASA 5510, sh_, 12:45 , 09-Июл-09, (9)

Не работает IPsec между 2821 и ASA 5510, woodcut, 16:00 , 09-Июл-09, (10)

Не работает IPsec между 2821 и ASA 5510, woodcut, 16:01 , 09-Июл-09, (11)
Не работает IPsec между 2821 и ASA 5510, sh_, 16:02 , 09-Июл-09, (12)

Не работает IPsec между 2821 и ASA 5510, woodcut, 16:51 , 09-Июл-09, (13)
Не работает IPsec между 2821 и ASA 5510, sh_, 17:34 , 09-Июл-09, (14)
Не работает IPsec между 2821 и ASA 5510, woodcut, 19:00 , 09-Июл-09, (16)
Не работает IPsec между 2821 и ASA 5510, woodcut, 19:08 , 09-Июл-09, (17)

Не работает IPsec между 2821 и ASA 5510, AleX, 18:15 , 09-Июл-09, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 08-Июл-09, 14:19

ACL для туннеля на ASA покажите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 08-Июл-09, 14:22

>ACL для туннеля на ASA покажите?
Конечно.
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от AleX (??) on 08-Июл-09, 14:31

sh ip route
и смотреть дальше

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 08-Июл-09, 15:03

>sh ip route
>
>и смотреть дальше
У меня 2 дефолтных маршрута, т.к. 2 аплинка, и это все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 08-Июл-09, 15:30

Покажите тогда еще  transform-set на ASA. А лучше вообще весь конфиг (касаемо IPSec) покажите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 08-Июл-09, 16:11

>Покажите тогда еще  transform-set на ASA. А лучше вообще весь конфиг
>(касаемо IPSec) покажите.
Вот он:
# список доступа
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0
# исключение из NAT
nat (inside) 0 access-list tunnel1
crypto ipsec transform-set tunnel1 esp-3des esp-sha-hmac
crypto map tunnel1-map 80 match address tunnel1
crypto map tunnel1-map 80 set pfs
crypto map tunnel1-map 80 set peer 84.25.222.171
crypto map tunnel1-map 80 set transform-set tunnel1
crypto map tunnel1-map 80 set security-association lifetime seconds 1800
crypto map tunnel1-map interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 3600
tunnel-group 84.25.222.171 type ipsec-l2l
tunnel-group 84.25.222.171 ipsec-attributes
pre-shared-key *
pre-shared-key точно совпадает, меня вот смущает строка:
crypto map tunnel1-map 80 set pfs - может быть в этом дело? На маршрутизаторе такого не прописано...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 09-Июл-09, 10:51

Вам на роутер нуна добавить
access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 12:18

>Вам на роутер нуна добавить
>access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63
Добавил, то же самое...((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 09-Июл-09, 12:45

Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе железки (только с клавиатуры,а не с помощью copy/paste). И что выдает deb cry ipsec, когда пытаемся попинговать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 16:00

>Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе
>железки (только с клавиатуры,а не с помощью copy/paste). И что выдает
>deb cry ipsec, когда пытаемся попинговать?
Вот тут пошли интересные вещи(для меня).
Пинг с машрутизатора в интернет ни на какой хост не идёт, хотя NAT для клиентов работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 16:01

Шлюзы провайдеров отвечают, дальше никто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 09-Июл-09, 16:02

Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 16:51

>Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую.
Ключи перебил, debug crypto ipsec на обоих концах молчит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от sh_ (ok) on 09-Июл-09, 17:34

На 2800 покажите вывод команд:
un all
deb cry isa
deb cry ipsec
conf t
interface GigabitEthernet0/0
no crypto map
crypto map tunnel1-map
end
ping 172.16.197.XXX so 192.168.1.YYY
sh cry isak sa
sh cry ips sa

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 19:00

>На 2800 покажите вывод команд:
router#undebug all
All possible debugging has been turned off
router#debug crypto isakmp
Crypto ISAKMP debugging is on
router#debug crypto ipsec
Crypto IPSEC debugging is on
router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#int g0/0
router(config-if)#no crypto map
router(config-if)#crypto map tunnel1-map
router(config-if)#end
router#ping 172.16.197.65 source 192.168.1.89
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.197.65, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.89
.....
Success rate is 0 percent (0/5)
router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
84.25.222.171   91.66.192.124   QM_IDLE           1037    0 ACTIVE
IPv6 Crypto ISAKMP SA
router#show crypto ipsec sa
interface: GigabitEthernet0/0
    Crypto map tag: tunnel1-map, local addr 84.25.222.168
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.80.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0)
   current_peer 91.66.192.124 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
---------------------------------------------------------------
Судя по выводу, правильно ли я понял, что соединение пытается пройти через первичный адрес интерфейса - 84.25.222.168, а на ASA явно указан вторичный - 84.25.222.171?
Правильно ли будет:
1) На ASA поменять адрес пира на первичный.
2) Снять secondary с g0/0 2800(или это необязательный шаг?).
3) Перегрузить crypto map на g0/0.
?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от woodcut (ok) on 09-Июл-09, 19:08

Да, вдогонку, пусть Вам не кажется странным количество сетей. Просто в конфиге для краткости выложил не весь ACL для туннелируемых сетей.
Вот они полностью:
2821:
access-list 121 permit ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 192.168.200.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 192.168.11.0 0.0.0.255 172.16.197.64 0.0.0.63
access-list 121 permit ip 172.16.2.0 0.0.0.255 172.16.197.64 0.0.0.63
ASA:
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.200.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 172.16.2.0 255.255.255.0
access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.11.0 255.255.255.0
В общем, концы туннеля совпадают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не работает IPsec между 2821 и ASA 5510" +/–

Сообщение от AleX (??) on 09-Июл-09, 18:15

Пробуй так:
interface GigabitEthernet0/0
description corbina_uplink
ip address 84.25.222.171 255.255.255.240 secondary
ip address 84.25.222.168 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map tunnel1-map ------ убрать
!
int tun 0
ip unnumbered int fast 0/1 (при условии что 0/1 смотрит в локалку)
tun source you ip
tun dest dest ip
crypto map tunnel1-map
ip route 192.168.11.0 0.0.0.255 int tun0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает IPsec между 2821 и ASA 5510"		+/–
Сообщение от sh_ (ok) on 08-Июл-09, 14:19
ACL для туннеля на ASA покажите?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 08-Июл-09, 14:22
	>ACL для туннеля на ASA покажите? Конечно. access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от AleX (??) on 08-Июл-09, 14:31
	sh ip route и смотреть дальше
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 08-Июл-09, 15:03
	>sh ip route > >и смотреть дальше У меня 2 дефолтных маршрута, т.к. 2 аплинка, и это все.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от sh_ (ok) on 08-Июл-09, 15:30
	Покажите тогда еще transform-set на ASA. А лучше вообще весь конфиг (касаемо IPSec) покажите.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 08-Июл-09, 16:11
	>Покажите тогда еще transform-set на ASA. А лучше вообще весь конфиг >(касаемо IPSec) покажите. Вот он: # список доступа access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0 # исключение из NAT nat (inside) 0 access-list tunnel1 crypto ipsec transform-set tunnel1 esp-3des esp-sha-hmac crypto map tunnel1-map 80 match address tunnel1 crypto map tunnel1-map 80 set pfs crypto map tunnel1-map 80 set peer 84.25.222.171 crypto map tunnel1-map 80 set transform-set tunnel1 crypto map tunnel1-map 80 set security-association lifetime seconds 1800 crypto map tunnel1-map interface outside crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 3600 tunnel-group 84.25.222.171 type ipsec-l2l tunnel-group 84.25.222.171 ipsec-attributes pre-shared-key * pre-shared-key точно совпадает, меня вот смущает строка: crypto map tunnel1-map 80 set pfs - может быть в этом дело? На маршрутизаторе такого не прописано...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от sh_ (ok) on 09-Июл-09, 10:51
	Вам на роутер нуна добавить access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 12:18
	>Вам на роутер нуна добавить >access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63 Добавил, то же самое...((
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от sh_ (ok) on 09-Июл-09, 12:45
	Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе железки (только с клавиатуры,а не с помощью copy/paste). И что выдает deb cry ipsec, когда пытаемся попинговать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 16:00
	>Очень странно. :( А давайте все-таки еще раз вобьем pre-shared-key на обе >железки (только с клавиатуры,а не с помощью copy/paste). И что выдает >deb cry ipsec, когда пытаемся попинговать? Вот тут пошли интересные вещи(для меня). Пинг с машрутизатора в интернет ни на какой хост не идёт, хотя NAT для клиентов работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 16:01
	Шлюзы провайдеров отвечают, дальше никто.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от sh_ (ok) on 09-Июл-09, 16:02
	Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 16:51
	>Не нужно интернет пинговать. Попингайте из 10-ой сети 172-ую. Ключи перебил, debug crypto ipsec на обоих концах молчит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от sh_ (ok) on 09-Июл-09, 17:34
	На 2800 покажите вывод команд: un all deb cry isa deb cry ipsec conf t interface GigabitEthernet0/0 no crypto map crypto map tunnel1-map end ping 172.16.197.XXX so 192.168.1.YYY sh cry isak sa sh cry ips sa
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 19:00
	>На 2800 покажите вывод команд: router#undebug all All possible debugging has been turned off router#debug crypto isakmp Crypto ISAKMP debugging is on router#debug crypto ipsec Crypto IPSEC debugging is on router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#int g0/0 router(config-if)#no crypto map router(config-if)#crypto map tunnel1-map router(config-if)#end router#ping 172.16.197.65 source 192.168.1.89 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.197.65, timeout is 2 seconds: Packet sent with a source address of 192.168.1.89 ..... Success rate is 0 percent (0/5) router#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 84.25.222.171 91.66.192.124 QM_IDLE 1037 0 ACTIVE IPv6 Crypto ISAKMP SA router#show crypto ipsec sa interface: GigabitEthernet0/0 Crypto map tag: tunnel1-map, local addr 84.25.222.168 protected vrf: (none) local ident (addr/mask/prot/port): (172.16.2.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (10.80.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.197.64/255.255.255.192/0/0) current_peer 91.66.192.124 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 84.25.222.168, remote crypto endpt.: 91.66.192.124 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: --------------------------------------------------------------- Судя по выводу, правильно ли я понял, что соединение пытается пройти через первичный адрес интерфейса - 84.25.222.168, а на ASA явно указан вторичный - 84.25.222.171? Правильно ли будет: 1) На ASA поменять адрес пира на первичный. 2) Снять secondary с g0/0 2800(или это необязательный шаг?). 3) Перегрузить crypto map на g0/0. ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Не работает IPsec между 2821 и ASA 5510"		+/–
	Сообщение от woodcut (ok) on 09-Июл-09, 19:08
	Да, вдогонку, пусть Вам не кажется странным количество сетей. Просто в конфиге для краткости выложил не весь ACL для туннелируемых сетей. Вот они полностью: 2821: access-list 121 permit ip 10.80.1.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 192.168.1.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 192.168.100.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 192.168.200.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 192.168.11.0 0.0.0.255 172.16.197.64 0.0.0.63 access-list 121 permit ip 172.16.2.0 0.0.0.255 172.16.197.64 0.0.0.63 ASA: access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.1.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 10.80.1.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.100.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.200.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 172.16.2.0 255.255.255.0 access-list tunnel1 extended permit ip 172.16.197.64 255.255.255.192 192.168.11.0 255.255.255.0 В общем, концы туннеля совпадают.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Не работает IPsec между 2821 и ASA 5510"		+/–
Сообщение от AleX (??) on 09-Июл-09, 18:15
Пробуй так: interface GigabitEthernet0/0 description corbina_uplink ip address 84.25.222.171 255.255.255.240 secondary ip address 84.25.222.168 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map tunnel1-map ------ убрать ! int tun 0 ip unnumbered int fast 0/1 (при условии что 0/1 смотрит в локалку) tun source you ip tun dest dest ip crypto map tunnel1-map ip route 192.168.11.0 0.0.0.255 int tun0
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору