The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от naphta on 24-Окт-08, 18:30 
Всем доброго времени суток! Возникла проблемма с поднятием ipsec туннеля между циской и ракуном на FreeBSD.

xx.xx.xx.xx - айпи белый на бсд
yy.yy.yy.yy - белій на кошке, которая стоит в локалке за натом

Конфиг циски(к которой нет доступа)

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp key <KEY> address xx.xx.xx.xx
!
crypto ipsec transform-set VPN-SECURE-SET esp-aes 256 esp-sha-hmac
mode transport
!
crypto map VPN-MAP 720 ipsec-isakmp

set peer xx.xx.xx.xx
set transform-set VPN-SECURE-SET
set pfs group2
match address VPN-ACL
!
interface Tunnel1

ip address 172.17.6.5 255.255.255.252
ip verify unicast reverse-path allow-self-ping
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip virtual-reassembly
ip tcp adjust-mss 1360
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel destination 212.82.194.10
tunnel path-mtu-discovery
!
ip access-list extended VPN-ACL
  permit gre host 172.17.254.6 host xx.xx.xx.xx
!

конфиги на бсд

ipsec.conf

flush;
spdflush;

spdadd xx.xx.xx.xx/32 yy.yy.yy.yy/32 any -P out ipsec esp/transport//use;
spdadd yy.yy.yy.yy/32 xx.xx.xx.xx/32 any -P in ipsec esp/transport//use;

racoon.conf

path include "/etc/racoon";
        path pre_shared_key "/usr/local/etc/racoon/psk.txt";
        log debug2;
        padding
        {
                strict_check on;       # enable strict check.
                exclusive_tail off;     # extract last one octet.
        }
        listen
        {
                isakmp xx.xx.xx.xx [500];
        isakmp_natt xx.xx.xx.xx [4500];
        }
        timer
        {
                # These value can be changed per remote node.
        
                # timer for waiting to complete each phase.
                phase1 60 sec;
                phase2 30 sec;
        }

        ## IKE phase 1
        remote yy.yy.yy.yy
        {
                exchange_mode main,aggressive;
            dpd_delay 10;
            situation identity_only;
        initial_contact on;
            my_identifier address 212.82.194.10;
        peers_identifier address 212.160.248.2;
        nat_traversal on;
        
                proposal_check obey;    # obey, strict or claim
                proposal {
                        encryption_algorithm aes256;
                        hash_algorithm sha1;
                        authentication_method pre_shared_key;
                        dh_group 2;
            lifetime time 7200 sec;
                }
#        generate_policy off;
        }

        ## IKE phase 2
        sainfo address xx.xx.xx.xx any address yy.yy.yy.yy any {
                pfs_group 2;
                encryption_algorithm aes256;
                authentication_algorithm hmac_sha1;
        lifetime time 3600 sec;
                compression_algorithm deflate;
        }

Пепвую фазу проходит нормально. На второй все и останавливается в лог пишет DEBUG: notification message 14:NO-PROPOSAL-CHOSEN


Уже все перерыл, хз что делать.Надеюсь на помощь.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от sh_ (??) on 24-Окт-08, 23:55 
Может какой-нибудь nat-traversal включить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от Ярослав Росомахо email(ok) on 25-Окт-08, 07:42 
>ip access-list extended VPN-ACL
>  permit gre host 172.17.254.6 host xx.xx.xx.xx

поменяйте на
ip access-list extended VPN-ACL
  permit ip host 172.17.254.6 host xx.xx.xx.xx

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от Ярослав Росомахо email(ok) on 25-Окт-08, 07:46 
>>ip access-list extended VPN-ACL
>>  permit gre host 172.17.254.6 host xx.xx.xx.xx
>
>поменяйте на
>ip access-list extended VPN-ACL
>  permit ip host 172.17.254.6 host xx.xx.xx.xx

И вообще непонятно что такое этот 172.17.254.6...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от asma (??) on 02-Мрт-09, 18:20 
Привет, тоже самое и у меня. Как нибудь удалось решить эту проблему?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "cisco 3845 <> FreeBSD 6.3 IPSec !!!!! NO-PROPOSAL-CHOSEN"  +/
Сообщение от rawen999 on 07-Окт-13, 12:28 
> Привет, тоже самое и у меня. Как нибудь удалось решить эту проблему?

проверьте маски на интерфесах и в аксесах  сети должны совпадать


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру