https://opennet.ru/openforum/vsluhforumID6/2083.html Есть две Cisco 2651XM между ними организован IPSEC туннель.<br>При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя адресация сетей.<br>*Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -&gt; 10.0.0.200 (0/0), 3 packets<br><br>Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.<br>Вопрос: как запретить access-list'у смотреть внутрь канала?<br> <br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#9 Thu, 01 Dec 2016 10:56:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?<br>&gt;&gt;&gt; Табличку из cisco document id 6209 поняли полностью?<br>&gt;&gt; Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз <br>&gt;&gt; ЧЕК который как раз и блокирует?<br>&gt; Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию: <br>&gt; interface Tunnel &lt;num&gt; <br>&gt; ...<br>&gt; tunnel protection ipsec profile &lt;IPSec_Profile&gt; <br>&gt; Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать <br>&gt; crypto-map на физическом интерфейсе.<br><br>А вот это интересная мысль! Спасибо. Буду пробовать.<br> https://opennet.ru/openforum/vsluhforumID6/2083.html#8 Thu, 01 Dec 2016 08:34:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; no cdp enable <br>&gt;&gt;&gt;&gt;&gt; crypto map aesmap <br>&gt;&gt;&gt;&gt; Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но <br>&gt;&gt;&gt;&gt; из документа можно понять почему у вас так происходит.<br>&gt;&gt;&gt; Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и <br>&gt;&gt;&gt; блокирует.<br>&gt;&gt;&gt; Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?<br>&gt;&gt; Табличку из cisco document id 6209 поняли полностью?<br>&gt; Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз <br>&gt; ЧЕК который как раз и блокирует?<br><br>Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:<br>interface Tunnel &lt;num&gt;<br> ...<br> tunnel protection ipsec profile &lt;IPSec_Profile&gt;<br><br>Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.<br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#7 Thu, 01 Dec 2016 07:00:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; duplex auto <br>&gt;&gt;&gt;&gt; speed auto <br>&gt;&gt;&gt;&gt; no cdp enable <br>&gt;&gt;&gt;&gt; crypto map aesmap <br>&gt;&gt;&gt; Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но <br>&gt;&gt;&gt; из документа можно понять почему у вас так происходит.<br>&gt;&gt; Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и <br>&gt;&gt; блокирует.<br>&gt;&gt; Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?<br>&gt; Табличку из cisco document id 6209 поняли полностью?<br><br>Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?<br><br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#6 Thu, 01 Dec 2016 06:49:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; no ip mroute-cache <br>&gt;&gt;&gt; duplex auto <br>&gt;&gt;&gt; speed auto <br>&gt;&gt;&gt; no cdp enable <br>&gt;&gt;&gt; crypto map aesmap <br>&gt;&gt; Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но <br>&gt;&gt; из документа можно понять почему у вас так происходит.<br>&gt; Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и <br>&gt; блокирует.<br>&gt; Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? <br><br>Табличку из cisco document id 6209 поняли полностью?<br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#5 Thu, 01 Dec 2016 05:24:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; interface FastEthernet0/0 <br>&gt;&gt; ip address XX.XX.XX.XX 255.255.255.248 <br>&gt;&gt; ip access-group FIREWALL in <br>&gt;&gt; no ip mroute-cache <br>&gt;&gt; duplex auto <br>&gt;&gt; speed auto <br>&gt;&gt; no cdp enable <br>&gt;&gt; crypto map aesmap <br>&gt; Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но <br>&gt; из документа можно понять почему у вас так происходит.<br><br>Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует.<br>Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?<br> https://opennet.ru/openforum/vsluhforumID6/2083.html#4 Wed, 30 Nov 2016 18:17:02 GMT &gt;[оверквотинг удален]<br>&gt; без нее выше указанная беда.<br>&gt; deny ip any any log <br>&gt; interface FastEthernet0/0 <br>&gt; ip address XX.XX.XX.XX 255.255.255.248 <br>&gt; ip access-group FIREWALL in <br>&gt; no ip mroute-cache <br>&gt; duplex auto <br>&gt; speed auto <br>&gt; no cdp enable <br>&gt; crypto map aesmap <br><br>Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит. <br> https://opennet.ru/openforum/vsluhforumID6/2083.html#3 Wed, 30 Nov 2016 14:58:08 GMT gre over ipsec?<br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#2 Wed, 30 Nov 2016 11:03:45 GMT &gt; Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения <br>&gt; для протоколов входящих в группу IPSec.<br>&gt; Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.<br><br>ip access-list extended FIREWALL<br> permit udp any any eq isakmp<br> permit udp any any eq non500-isakmp<br> permit esp any any<br> permit ahp any any<br> permit tcp any any eq 22<br> permit ip host "Встречная-Cicso" any<br> permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда.<br> deny ip any any log<br><br>interface FastEthernet0/0<br> ip address XX.XX.XX.XX 255.255.255.248<br> ip access-group FIREWALL in<br> no ip mroute-cache<br> duplex auto<br> speed auto<br> no cdp enable<br> crypto map aesmap<br><br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/2083.html#1 Wed, 30 Nov 2016 10:23:23 GMT &gt; Есть две Cisco 2651XM между ними организован IPSEC туннель.<br>&gt; При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя <br>&gt; адресация сетей.<br>&gt; *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -&gt; 10.0.0.200 <br>&gt; (0/0), 3 packets <br>&gt; Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает. <br>&gt; Вопрос: как запретить access-list'у смотреть внутрь канала?<br><br>Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec. <br>Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно. <br><br>