форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите плиз разобратся с IPSEC на Cisco2610"
Сообщение от TepKuH (??) on 15-Сен-04, 17:38  (MSK)
Вообщем ерунда заключается в том: после ввода попытки запуска команды crypto map bbadminMAP(на единственном интерфейсе Ethernet 0/0) ничего вообще ничего не происходит после ввода debug crypto isakmp никакого дебага на экран не вываливается(а вроде бы должен был) Помогите пжалуста я только начал изучать Цисок мог нагнать в конфиге такого... делал все по доке http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b12b5.shtml Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vpn-concentrator ! enable secret 5 $1$ukDv$ccnJPj39YUz2i8QDC7b1k0 ! ! ! ! ! memory-size iomem 15 ip subnet-zero no ip domain-lookup ! ip audit notify log ip audit po max-events 100 ! ! crypto isakmp policy 1 authentication pre-share lifetime 28800 crypto isakmp key cisco123 address 192.168.0.2 ! ! crypto ipsec transform-set bbadmin esp-des esp-md5-hmac ! ! crypto map bbadminMAP 1 ipsec-isakmp set peer 192.168.0.2 set transform-set bbadmin match address 101 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 no ip redirects no ip directed-broadcast no ip proxy-arp no ip mroute-cache crypto map bbadminMAP ! interface Serial0/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown no fair-queue ! ip classless no ip http server ! access-list 101 permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255 ! line con 0 transport input none line aux 0 line vty 0 4 session-timeout 300 password master login ! end
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите плиз разобратся с IPSEC на Cisco2610"
Сообщение от ВОЛКА on 15-Сен-04, 17:59  (MSK)
вот так должно быть.. access-list 101 permit ip  192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 16-Сен-04, 09:52  (MSK)
	результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает. После crypto map bbadminMAP тоже вообще ничего, ни одного бита не улетает. Может кто то с ним должен инициировать соеденение?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от vsh on 16-Сен-04, 16:31  (MSK)
	>результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает. >После crypto map bbadminMAP тоже вообще ничего, ни одного бита не >улетает. >Может кто то с ним должен инициировать соеденение? А ты iosом со своей циске не поделишся?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 16-Сен-04, 18:03  (MSK)
	>>результат ровно такой же(нулевой) ни один debug crypto вообще ничего не показывает. >>После crypto map bbadminMAP тоже вообще ничего, ни одного бита не >>улетает. >>Может кто то с ним должен инициировать соеденение? > > >А ты iosом со своей циске не поделишся? поделюсь... он старый IOS (tm) C2600 Software (C2600-IO3S56I-M), Version 12.0(7)T,  RELEASE SOFTWARE (fc2) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 07-Dec-99 06:39 by phanguye Image text-base: 0x80008088, data-base: 0x80DB9F2C ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Constans-Bank uptime is 47 minutes System returned to ROM by reload System image file is "flash:c2600-ios56i-mz.120-7.t.bin" ЗЫ. Прошу вас ребяты не бройте меня =))), я реально с IPsec'ом парью второй месяц я уже перепробовал Windows 2000/XP, Cisco 2610, Zyxel Zywall 70, я уже писал в тех. суппорты(как только мы разбирали все меня бросали), я разобрал весь IPsec от и до я прочитал столько док... закопатся можно! ПОМОГИТЕ РАЗОРАТСЯ ПЛИИИИИЗЗЗЗ!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите плиз разобратся с IPSEC на Cisco2610"
Сообщение от ВОЛКА on 16-Сен-04, 16:43  (MSK)
sh access-list 101 покажи... какие натройки на другой стороне?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 17-Сен-04, 10:39  (MSK)
	>sh access-list 101 >покажи... а там ничего нет весь конфиг тут чуть выше   а вообще мне для вас ничего не жалко Extended IP access list 101     permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255     permit ip 192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255 >какие натройки на другой стороне? на другой стороне у меня XP, 2K, zyxell zywall 70, пока еще до freebsd не дошел. Мне кажется что циска должна хоть какие то потуги совершать в сторону другой ipsec стороны тут вот новый немного конфиг(добавлен еще один IP на интерефейс, изменен access-list)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 17-Сен-04, 10:43  (MSK)
	во новый конфиг ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname vpn-concentrator ! enable secret 5 $1$ukDv$ccnJPj39YUz2i8QDC7b1k0 ! ! ! ! ! memory-size iomem 15 ip subnet-zero no ip domain-lookup ! ip audit notify log ip audit po max-events 100 ! ! crypto isakmp policy 1 authentication pre-share lifetime 28800 crypto isakmp key cisco123 address 192.168.0.2     ! ! crypto ipsec transform-set bbadmin esp-des esp-md5-hmac ! ! crypto map bbadminMAP 1 ipsec-isakmp   set peer 192.168.0.2 set transform-set bbadmin match address 101 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 secondary ip address 192.168.167.115 255.255.255.0 no ip directed-broadcast crypto map bbadminMAP ! interface Serial0/0 no ip address no ip directed-broadcast no ip mroute-cache shutdown no fair-queue ! ip classless no ip http server ! access-list 101 permit ip 192.168.167.0 0.0.0.255 192.168.168.0 0.0.0.255 access-list 101 permit ip 192.168.168.0 0.0.0.255 192.168.167.0 0.0.0.255 ! line con 0 transport input none line aux 0 line vty 0 4 session-timeout 300 password master login ! no scheduler allocate end
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от sh_ (??) on 17-Сен-04, 11:54  (MSK)
	Chtobi debug tebe na console pokazival nuzhno k komande debug dobavit' komandu: term mon. Rezultati mozhno pokazat'?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 17-Сен-04, 13:03  (MSK)
	>Chtobi debug tebe na console pokazival nuzhno k komande debug dobavit' komandu: >term mon. Rezultati mozhno pokazat'? пробовал в консоль ничего не вываливается... у меня есть какое то преположение(оно бредовое конечно но я другого обясняния не нахожу) что это какая то спцифика IPSEC, дело в том что такая же фигня у меня и на девайсе Zyxel Zywall 70 если я выставляю удаленные(за удаленным IPSEC-шлюзом) и локальные подсети то IPSEC делает вид что он не работает, ВОТ ЕСЛИ Я УБИРАЮ подсети то IPSEC начинает там ругатся в лог, но создать канал пытается такакя же фигня и в Cisco если уберу все подсети то вроде он че то пытается делать
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 20-Сен-04, 12:20  (MSK)
	>sh access-list 101 >покажи... >какие натройки на другой стороне? Я добился того что Циска показывает дебаг причем реально не понял как у меня получилось. У меня другая сторона инициализирует/просит соеденение причем я РЕАЛЬНО НЕ ПОНИМАЮ как они инициализируют соеденения я на другой стороне случайно ошибочно ввел удаленные и локальные подсети Local net  192.168.1.0 - 255.255.255.0(это не маска это диапозон) Remote net 192.168.2.0 - 255.255.255.0 и мой 2-ой девайс(Zywall 70w) начал звонит на циску. В логе есть какая то строка - "invalid local address 10.10.10.2" какой блин нафиг локал адресс? где я его не так ввел? Он является локальным ИП на циске что ей не нравится то? ЛОГ: 2d23h: ISAKMP (0): received packet from 10.10.10.1 (N) NEW SA 2d23h: CRYPTO: Allocated conn_id 1 slot 0, swidb 0x0, 2d23h: ISAKMP (0:1): processing SA payload. message ID = 0 2d23h: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy 2d23h: ISAKMP:      encryption DES-CBC 2d23h: ISAKMP:      hash MD5 2d23h: ISAKMP:      auth pre-share 2d23h: ISAKMP:      default group 1 2d23h: ISAKMP:      life type in seconds 2d23h: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80 2d23h: ISAKMP (0:1): atts are acceptable. Next payload is 0 2d23h: CryptoEngine0: generate alg parameter 2d23h: CRYPTO_ENGINE: Dh phase 1 status: 0 2d23h: CRYPTO_ENGINE: Dh phase 1 status: 0 2d23h: CRYPTO: DH gen phase 1 status for conn_id 1 slot 0:OK 2d23h: ISAKMP (0:1): processing vendor id payload 2d23h: ISAKMP (0:1): SA is doing pre-shared key authentication 2d23h: ISAKMP (1): SA is doing pre-shared key authentication using id type ID_IP V4_ADDR 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_SA_SETUP 2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) MM_SA_SETUP 2d23h: ISAKMP (0:1): processing KE payload. message ID = 0 2d23h: CryptoEngine0: generate alg parameter 2d23h: CRYPTO: DH gen phase 2 status for conn_id 1 slot 0:OK 2d23h: ISAKMP (0:1): processing NONCE payload. message ID = 0 2d23h: CryptoEngine0: create ISAKMP SKEYID for conn id 1 2d23h: ISAKMP (0:1): SKEYID state generated 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_KEY_EXCH 2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) MM_KEY_EXCH 2d23h: ISAKMP (0:1): processing ID payload. message ID = 0 2d23h: ISAKMP (0:1): processing HASH payload. message ID = 0 2d23h: CryptoEngine0: generate hmac context for conn id 1 2d23h: ISAKMP (1): processing NOTIFY payload 24578 protocol 1         spi 0, message ID = 0 2d23h: ISAKMP (0:1): SA has been authenticated with 10.10.10.1 2d23h: ISAKMP (1): ID payload         next-payload : 8         type         : 1         protocol     : 17         port         : 500         length       : 8 2d23h: ISAKMP (1): Total payload length: 12 2d23h: CryptoEngine0: generate hmac context for conn id 1 2d23h: CryptoEngine0: clear dh number for conn id 1 2d23h: CRYPTO: Crypto Engine clear dh conn_id 1 slot 0: OK 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) QM_IDLE 2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) QM_IDLE 2d23h: CryptoEngine0: generate hmac context for conn id 1 2d23h: ISAKMP (0:1): processing SA payload. message ID = -239278973 2d23h: ISAKMP (0:1): Checking IPSec proposal 1 2d23h: ISAKMP: transform 1, ESP_DES 2d23h: ISAKMP:   attributes in transform: 2d23h: ISAKMP:      SA life type in seconds 2d23h: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80 2d23h: ISAKMP:      encaps is 1 2d23h: ISAKMP:      authenticator is HMAC-SHA 2d23h: validate proposal 0 2d23h: IPSEC(validate_proposal): invalid local address 10.10.10.2 2d23h: ISAKMP (0:1): atts not acceptable. Next payload is 0 2d23h: ISAKMP (0:1): SA not acceptable! 2d23h: CryptoEngine0: generate hmac context for conn id 1 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) QM_IDLE 2d23h: ISAKMP (0:1): deleting node -773955175 2d23h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 10.10.10.1 2d23h: ISAKMP (1): received packet from 10.10.10.1 (R) QM_IDLE 2d23h: CryptoEngine0: generate hmac context for conn id 1 2d23h: ISAKMP (0:1): processing DELETE payload. message ID = -648369773 2d23h: ISAKMP (0:1): deleting node -648369773 2d23h: ISAKMP (0:1): deleting SA 2d23h: ISAKMP (0:1): retransmitting phase 2 -239278973 ... 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_NO_STATE 2d23h: ISAKMP (0:1): retransmitting phase 2 -239278973 ... 2d23h: ISAKMP (1): sending packet to 10.10.10.1 (R) MM_NO_STATE 2d23h: ISAKMP (0): received packet from 10.10.10.1 (N) NEW SA 2d23h: CRYPTO: Allocated conn_id 2 slot 0, swidb 0x0,
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от ВОЛКА on 20-Сен-04, 12:24  (MSK)
	вы чего хотите то??? задайте нормальный, полный, развёрнутый вопрос, покажите логи и конфиг... если хотите получить ответ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 20-Сен-04, 12:36  (MSK)
	>вы чего хотите то??? создать виртуальный VPN/IPSec канал. А вообще ОЧЕНЬ актуальный вопрос по какому принципу определяется кто является серверной стороной(ожидает IPSec звонка) а кто является клиентской(сам звонит на сервер)??? >задайте нормальный, полный, развёрнутый вопрос, покажите логи и конфиг... ммммм... даже прямо таки не знаю - я лог дал(чуть выше), конфиг дал, счаз дам последнею версию конфига А вопрос то банален почему не создается VPN канал??? >если хотите получить ответ... ОЧЕНЬ, ОЧЕНЬ хочу просто сам не понимаю чего вам еще не хватает последний конфиг interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 secondary ip address 10.10.10.2 255.0.0.0 secondary ip address 192.168.167.115 255.255.255.0 ! ! 192.168.2.0 net behind cisco ! 192.168.167.115 simple IP(for my manageement) ! 10.10.10.2 out IP(for remote IPSEC getway) ! crypto isakmp policy 1 hash md5 authentication pre-share lifetime 28800 crypto isakmp key 12345678 address 10.10.10.1 ! ! crypto ipsec transform-set TRANSFORMSET esp-des esp-sha-hmac ! crypto map CRYPTOMAP local-address Ethernet0/0 crypto map CRYPTOMAP 1 ipsec-isakmp set peer 10.10.10.1 set transform-set TRANSFORMSET match address 100 ! ! 192.168.2.0 net behind cisco2610 ! 192.168.1.0 net behind zywall 70w access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от ВОЛКА on 20-Сен-04, 12:40  (MSK)
	conf t int e0 crypto map CRYPTOMAP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 20-Сен-04, 12:49  (MSK)
	>conf t >int e0 > crypto map CRYPTOMAP ввел vpn-cons#terminal monitor vpn-cons#debug crypto isakmp Crypto ISAKMP debugging is on vpn-cons#debug crypto ipsec Crypto IPSEC debugging is on vpn-cons#configure terminal Enter configuration commands, one per line.  End with CNTL/Z. vpn-cons(config)#interface e0/0 vpn-cons(config-if)#crypto map CRYPTOMAP vpn-cons(config-if)# чего дальше ждать? На другой IPSEC сторне ровно то же самое (в логах НИЧЕГО, они ждут что кто то им позвонит они себя мнят IPSec серверами)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от ВОЛКА on 20-Сен-04, 13:00  (MSK)
	звонить они начинают только тогда, когда есть интересующий трафик... который указан в acl 100
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (??) on 20-Сен-04, 14:47  (MSK)
	>звонить они начинают только тогда, когда есть интересующий трафик... >который указан в acl 100 попробовал организовать интересующий трафик вот какой лог появился 00:26:51: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.         (ip) dest_addr= 192.168.1.205, src_addr= 192.168.2.140, prot= 1 что то почитал что за ошибка на циске написанно "ACLs Do Not Match" блин а как она не совадает если она правильная vpn-cons#sh access-lists Extended IP access list 100     permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (16 matches) вот что в конфиге относительно IP адресов interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 secondary ip address 10.10.10.2 255.0.0.0 secondary ip address 192.168.167.115 255.255.255.0 crypto map CRYPTOMAP ! ! 192.168.2.0 net behind cisco ! 192.168.167.115 simple IP(for my manageement) ! 10.10.10.2 out IP(for remote IPSEC getway) !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от TepKuH (ok) on 29-Сен-04, 16:41  (MSK)
	>звонить они начинают только тогда, когда есть интересующий трафик... >который указан в acl 100 ВСЕ! Спсибо большое ВОЛКА я все построил... =))) на sysadmins.ru еще немного помогли. >звонить они начинают только тогда, когда есть интересующий трафик... это фраза являлась ключевой
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Помогите плиз разобратся с IPSEC на Cisco2610"
	Сообщение от Krotik (ok) on 11-Окт-04, 16:37  (MSK)
	Если можешь, кинь плз, конфиг. А то я тоже не первый месяц мучаюсь  с IPSec. Правда у меня немного другая проблема, но хочется хотя бы посмотреть рабочий конфиг. netrax@yandex.ru
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.