форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Pix 515E Linksys BEFVP41 vpn"
Сообщение от maputa (ok) on 30-Ноя-05, 18:32  (MSK)
Подскажите пожалуйста почему не поднимается туннель: Конфигурация PIX: <skip> crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac crypto map OUTMAP 20 ipsec-isakmp crypto map OUTMAP 20 match address tunnel crypto map OUTMAP 20 set peer (ip linksys) crypto map OUTMAP 20 set transform-set 3des-md5 crypto map OUTMAP client configuration address initiate crypto map OUTMAP client authentication LOCAL crypto map OUTMAP interface outside isakmp key 1234 address (ip linksys) netmask 255.255.255.255 isakmp identity address isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encription 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 <skip> Linksys настраиваю на 3des md5, ключ вписываю - туннель не поднимается в логи валится вот это: 2005-11-30 18:09:37 2005-11-30 18:09:37 IKE[3] Tx >> MM_I1 : 62.141.90.218 SA 2005-11-30 18:09:38 IKE[3] Rx << MM_R1 : 62.141.90.218 SA 2005-11-30 18:09:38 IKE[3] ISAKMP SA CKI=[7be1dd61 eda7c5bf] CKR=[a7e37a54 e4182d9a] 2005-11-30 18:09:38 IKE[3] ISAKMP SA 3DES / MD5 / PreShared / MODP_1024 / 86400 sec (*86400 sec) 2005-11-30 18:09:38 IKE[3] Tx >> MM_I2 : 62.141.90.218 KE, NONCE 2005-11-30 18:09:39 IKE[3] Rx << MM_R2 : 62.141.90.218 KE, NONCE, VID, VID, VID, VID 2005-11-30 18:09:39 IKE[3] Tx >> MM_I3 : 62.141.90.218 ID, HASH 2005-11-30 18:09:40 IKE[3] Rx << MM_R3 : 62.141.90.218 ID, HASH 2005-11-30 18:09:40 IKE[3] Tx >> QM_I1 : 62.141.90.218 HASH, SA, NONCE, KE, ID, ID 2005-11-30 18:09:40 IKE[3] Rx << Notify : 2005-11-30 18:09:40 IKE[3] Tx >> Notify : INVALID-EXCHANGE-TYPE 2005-11-30 18:09:43 IKE[53] Tx >> Notify : INVALID-EXCHANGE-TYPE 2005-11-30 18:09:56 IKE[3] Tx >> Notify : INVALID-EXCHANGE-TYPE 2005-11-30 18:09:58 IKE[53] Tx >> Notify : INVALID-EXCHANGE-TYPE Похоже чего-то я на пиксе не довертел, а вот что именно не понимаю. :(
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Pix 515E Linksys BEFVP41 vpn"
Сообщение от lomo on 30-Ноя-05, 19:35  (MSK)
попробуйте для начала со строчкой: isakmp key 1234 address (ip linksys) netmask 255.255.255.255 no-xauth no-config-mode Linksys поддерживает 3des?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Pix 515E Linksys BEFVP41 vpn"
	Сообщение от maputa (ok) on 30-Ноя-05, 19:53  (MSK)
	>попробуйте для начала со строчкой: > >isakmp key 1234 address (ip linksys) netmask 255.255.255.255 no-xauth no-config-mode стало лучше, но всё ещё не поднимается. :( > >Linksys поддерживает 3des? Во всяком случае это заявляет. Логи pixa: IPSEC(validate_transform_proposal): proxy identities not supported IPSEC(validate_proposal_request): proposal part #1,   (key eng. msg.) dest= 1.1.1.1, src= 2.2.2.2,     dest_proxy= 192.168.20.251/255.255.255.255/0/0 (type=1),     src_proxy= 10.19.0.0/255.255.255.0/0/0 (type=4),     protocol= ESP, transform= esp-3des esp-md5-hmac ,     lifedur= 0s and 0kb,     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x24 IPSEC(validate_transform_proposal): proxy identities not supported Лог linksys: 2005-11-30 19:51:55 2005-11-30 19:51:55 IKE[1] Tx >> MM_I1 : 62.141.90.218 SA 2005-11-30 19:51:55 IKE[1] Rx << MM_R1 : 62.141.90.218 SA 2005-11-30 19:51:55 IKE[1] ISAKMP SA CKI=[c49830db 4c307b2f] CKR=[a7e37a54 34fb7379] 2005-11-30 19:51:55 IKE[1] ISAKMP SA 3DES / MD5 / PreShared / MODP_1024 / 3600 sec (*3600 sec) 2005-11-30 19:51:55 IKE[1] Tx >> MM_I2 : 62.141.90.218 KE, NONCE 2005-11-30 19:51:56 IKE[1] Rx << MM_R2 : 62.141.90.218 KE, NONCE, VID, VID, VID, VID 2005-11-30 19:51:56 IKE[1] Tx >> MM_I3 : 62.141.90.218 ID, HASH 2005-11-30 19:51:57 IKE[1] Rx << MM_R3 : 62.141.90.218 ID, HASH 2005-11-30 19:51:57 IKE[1] Tx >> QM_I1 : 62.141.90.218 HASH, SA, NONCE, KE, ID, ID 2005-11-30 19:51:57 IKE[1] Rx << Notify : 2005-11-30 19:51:57 IKE[1] Rx << Notify : 2005-11-30 19:51:57 IKE[1] Rx << Notify : NO-PROPOSAL-CHOSEN 2005-11-30 19:51:57 IKE[1] **Check your Encryption, Authentication method and PFS settings !
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Pix 515E Linksys BEFVP41 vpn"
Сообщение от lomo on 30-Ноя-05, 19:40  (MSK)
сделайте на cisco pix: term moni debug crypto isakmp crypto map OUTMAP interface outside и покажите чего валится на консоль pix(а)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Pix 515E Linksys BEFVP41 vpn"
	Сообщение от maputa (ok) on 30-Ноя-05, 19:58  (MSK)
	>сделайте на cisco pix: > >term moni >debug crypto isakmp >crypto map OUTMAP interface outside > >и покажите чего валится на консоль pix(а) crypto_isakmp_process_block:src:62.141.90.220, dest:62.141.90.218 spt:500 dpt:50 0 OAK_MM exchange ISAKMP (0): processing SA payload. message ID = 0 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy ISAKMP:      encryption 3DES-CBC ISAKMP:      hash MD5 ISAKMP:      auth pre-share ISAKMP:      default group 2 ISAKMP:      life type in seconds ISAKMP:      life duration (VPI) of  0x0 0x0 0xe 0x10 ISAKMP (0): atts are acceptable. Next payload is 3 ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:62.141.90.220, dest:62.141.90.218 spt:500 dpt:50 0 OAK_MM exchange ISAKMP (0): processing KE payload. message ID = 0 ISAKMP (0): processing NONCE payload. message ID = 0 return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:62.141.90.220, dest:62.141.90.218 spt:500 dpt:50 0 OAK_MM exchange ISAKMP (0): processing ID payload. message ID = 0 ISAKMP (0): processing HASH payload. message ID = 0 ISAKMP (0): SA has been authenticated ISAKMP (0): ID payload         next-payload : 8         type         : 1         protocol     : 17         port         : 0         length       : 8 ISAKMP (0): Total payload length: 12 return status is IKMP_NO_ERROR ISAKMP (0): sending INITIAL_CONTACT notify ISAKMP (0): sending NOTIFY message 24578 protocol 1 ISAKMP (0): sending phase 1 RESPONDER_LIFETIME notify ISAKMP (0): sending NOTIFY message 24576 protocol 1 VPN Peer: ISAKMP: Peer ip:62.141.90.220/500 Ref cnt incremented to:2 Total VPN P eers:1 crypto_isakmp_process_block:src:62.141.90.220, dest:62.141.90.218 spt:500 dpt:50 0 OAK_QM exchange oakley_process_quick_mode: OAK_QM_IDLE ISAKMP (0): processing SA payload. message ID = 3258858935 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_3DES ISAKMP:   attributes in transform: ISAKMP:      SA life type in seconds ISAKMP:      SA life duration (VPI) of  0x0 0x0 0xe 0x10 ISAKMP:      group is 2 ISAKMP:      encaps is 1 ISAKMP:      authenticator is HMAC-MD5 ISAKMP (0): atts are acceptable. ISAKMP: IPSec policy invalidated proposal ISAKMP (0): SA not acceptable! ISAKMP (0): sending NOTIFY message 14 protocol 3 return status is IKMP_ERR_NO_RETRANS
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Pix 515E Linksys BEFVP41 vpn"
	Сообщение от maputa (??) on 01-Дек-05, 09:30  (MSK)
	>сделайте на cisco pix: > >term moni >debug crypto isakmp >crypto map OUTMAP interface outside > >и покажите чего валится на консоль pix(а) Спасибо за ответы. Разобрался. access-list был кривой.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]