The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема с IPSEC тунелем с pre-shared key"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от lexamot (ok) on 01-Окт-09, 00:58 
Приветствую! Есть cisco2811  c2800nm-advipservicesk9-mz.124-25b.bin

Настраиваю тунель, до товарища, находясь за NAT

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key masterkey"z" address 212.212.212.212
crypto isakmp keepalive 100 3
!
!
crypto ipsec transform-set z_vpn esp-3des esp-sha-hmac
!
crypto map dzetta_vpn 10 ipsec-isakmp
set peer 212.212.212.212
set security-association lifetime seconds 28800
set transform-set z_vpn
set pfs group2
match address vpn_z
!

interface FastEthernet0/0
crypto map dzetta_vpn

Нат, route делаю как мне нужно...

начинаю пинговать, происходит поднятие тунеля

....
Oct  1 00:45:51.828 MSD: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy
Oct  1 00:45:51.828 MSD: ISAKMP:      encryption 3DES-CBC
Oct  1 00:45:51.828 MSD: ISAKMP:      hash SHA
Oct  1 00:45:51.828 MSD: ISAKMP:      default group 2
Oct  1 00:45:51.828 MSD: ISAKMP:      auth pre-share
Oct  1 00:45:51.828 MSD: ISAKMP:      life type in seconds
Oct  1 00:45:51.828 MSD: ISAKMP:      life duration (basic) of 28800
Oct  1 00:45:51.828 MSD: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
Oct  1 00:45:51.832 MSD: CryptoEngine0: generating alg parameter for connid 1
Oct  1 00:45:51.868 MSD: CRYPTO_ENGINE: Dh phase 1 status: 0
Oct  1 00:45:51.868 MSD: CRYPTO_ENGINE: Dh phase 1 status: OK
Oct  1 00:45:51.868 MSD: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Oct  1 00:45:51.868 MSD: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM2

Oct  1 00:45:51.868 MSD: ISAKMP:(0:1:SW:1): sending packet to 212.212.212.212 my_port 500 peer_port 500 (I) MM_SA_SETUP
Oct  1 00:45:51.868 MSD: ISAKMP:(0:1:SW:1):Input = IK.E_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Oct  1 00:45:51.868 MSD: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM3

Oct  1 00:45:52.244 MSD: ISAKMP (0:134217729): received packet from 212.212.212.212 dport 500 sport 500 Global (I) MM_SA_SETUP
Oct  1 00:45:52.244 MSD: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Oct  1 00:45:52.244 MSD: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM3  New State = IKE_I_MM4

Oct  1 00:45:52.244 MSD: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
Oct  1 00:45:52.244 MSD: CryptoEngine0: generating alg parameter for connid 0
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1):found peer pre-shared key matching 212.212.212.212
Oct  1 00:45:52.292 MSD: CryptoEngine0: create ISAKMP SKEYID for conn id 1
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1):SKEYID state generated
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1): processing vendor id payload
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1): vendor ID is DPD
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Oct  1 00:45:52.292 MSD: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM4  New State = IKE_I_MM4

Oct  1 00:45:52.296 MSD: ISAKMP:(0:1:SW:1):Send initial contact
Oct  1 00:45:52.296 MSD: ISAKMP:(0:1:SW:1):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
Oct  1 00:45:52.296 MSD: ISAKMP (0:134217729): ID payload
        next-payload : 8
        type         : 1
        address      : 192.168.1.1
        protocol     : 17
        port         : 500
        length       : 12
Oct  1 00:50:06.464 MSD: ISAKMP:(0:1:SW:1):Total payload length: 12
Oct  1 00:50:06.464 MSD: CryptoEngine0: generate hmac context. for conn id 1
Oct  1 00:50:06.464 MSD: ISAKMP:(0:1:SW:1): sending packet to 212.212.212.212 my_port 500 peer_port 500 (I) MM_KEY_EXCH
Oct  1 00:50:06.464 MSD: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Oct  1 00:50:06.464 MSD: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM4  New State = IKE_I_MM5
Oct  1 00:50:35.972 MSD: ISAKMP: received ke message (1/1)
Oct  1 00:50:35.972 MSD: ISAKMP: set new node 0 to QM_IDLE
Oct  1 00:50:35.972 MSD: ISAKMP:(0:1:SW:1):SA is still budding. Attached new ipsec request to it. (local 192.168.64.252, remote 212.176.25.252)
Oct  1 00:50:36.464 MSD: ISAKMP:(0:1:SW:1): retransmitting phase 1 MM_KEY_EXCH...
Oct  1 00:50:36.464 MSD: ISAKMP (0:134217729): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
... и опять и снова..

насколько я понял, не проходит авторизация, т.к. SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
авторизируясь, в качестве ID_IPV4_ADDR посылается локальный айпи 192.168.1.1, что видно из ID payload... а надо-бы указать внешний... как это сделать? помогите советом!

заранее спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от ural_sm (ok) on 01-Окт-09, 08:28 
покажи acl vpn_z
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от lexamot (ok) on 01-Окт-09, 11:17 
>покажи acl vpn_z

ip access-list extended vpn_z
permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255

нат при пинге, показывает src=172.16.0.1 -> 192.168.100.1, dst=192.168.101.222

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от ilya (ok) on 01-Окт-09, 18:10 
>>покажи acl vpn_z
>
>ip access-list extended vpn_z
> permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255
>
>нат при пинге, показывает src=172.16.0.1 -> 192.168.100.1, dst=192.168.101.222

1. Покажите конфиги с обоих сторон (внп, асл, нат)
2. Вы находитесь за натом? Тунель соответственно строится с внешним ип который транслируется в вашу циску? Если да то с AH не будет работать IPSEC. Соответствено трансформсет попробуйте сделать только с ESP. Ну и NAT каких портов/протоколов осуществляется. Да и по дебагу циска должна сказать что она определила что она за натом.
3. Ну и если есть возможность - смотрите дебаг сразу с двух сторон. С одной стороны он может быть малоинформативным если отбивает другая сторона.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от ilya (ok) on 01-Окт-09, 18:25 
>[оверквотинг удален]
>
>1. Покажите конфиги с обоих сторон (внп, асл, нат)
>2. Вы находитесь за натом? Тунель соответственно строится с внешним ип который
>транслируется в вашу циску? Если да то с AH не будет
>работать IPSEC. Соответствено трансформсет попробуйте сделать только с ESP. Ну и
>NAT каких портов/протоколов осуществляется. Да и по дебагу циска должна сказать
>что она определила что она за натом.
>3. Ну и если есть возможность - смотрите дебаг сразу с двух
>сторон. С одной стороны он может быть малоинформативным если отбивает другая
>сторона.

Чуть поспешил. У вас же нет AH, с вашим трансформсетом должно работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблема с IPSEC тунелем с pre-shared key"  +/
Сообщение от lexamot (ok) on 01-Окт-09, 21:51 
использовал crypto isakmp identity hostname и испытывал проблемы...

вся трабла была в немного кривом натировании портов до меня... блин. стоит Pfsense и жестко не указал 1 к 1 проброс с внешнего на мой ничего не заработало


всем спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру