forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSec ASA+MTK"
Отправлено alpolle, 17-Авг-11 18:15

>> Доброго времени суток!
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Видимо не все фазы проходят :)
> Как насчёт скинуть конф и дебаги?
Фазы проходят все - факт.
Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель.
192.168.123.0 - сеть за асой
192.168.88.0 - сеть за микротиком
real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) )
95.111.xxx.xxx - адрес пира
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.123.23 255.255.255.0
interface Ethernet0/3
nameif real
security-level 0
ip address 91.223.xxx.xxx 255.255.255.0
access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
access-list DMZ_access_in extended permit ip any any
access-list local standard permit 192.168.123.0 255.255.255.0
access-list real_access_in extended permit ip any any
access-list real standard permit 91.223.xxx.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list real_cryptomap extended permit ip any any
icmp permit any inside
icmp permit any real
nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
access-group inside_access_in in interface inside
access-group real_access_in in interface real
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 1 match address real_cryptomap
crypto map real_map 1 set peer 95.111.xxx.xxx
crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map real_map interface real
crypto isakmp identity address
no crypto isakmp nat-traversal
crypto ikev1 enable inside
crypto ikev1 enable real
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
group-policy GroupPolicy_95.111.xxx.xxx internal
group-policy GroupPolicy_95.111.xxx.xxx attributes
vpn-tunnel-protocol ikev1
tunnel-group 95.111.xxx.xxx type ipsec-l2l
tunnel-group 95.111.xxx.xxx general-attributes
default-group-policy GroupPolicy_95.111.xxx.xxx
tunnel-group 95.111.xxx.xxx ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5

Исходное сообщение
"IPSec ASA+MTK" Отправлено alpolle, 17-Авг-11 18:15
>> Доброго времени суток! >> Построил айписек туннель между ASA 5510 и микротиком. >> Сам по себе туннель поднимается, все фазы проходят. >> НО! Внутри туннеля пакеты не ходят. >> Т.е. из одной локалки не могу даже пропинговать другую. >> Пакет уходит в туннель, а дальше - тишина на обоих его концах. >> В чём грабли? > Видимо не все фазы проходят :) > Как насчёт скинуть конф и дебаги? Фазы проходят все - факт. Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель. 192.168.123.0 - сеть за асой 192.168.88.0 - сеть за микротиком real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) ) 95.111.xxx.xxx - адрес пира interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.123.23 255.255.255.0 interface Ethernet0/3 nameif real security-level 0 ip address 91.223.xxx.xxx 255.255.255.0 access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0 access-list outside_access_in extended permit ip any any access-list inside_access_in extended permit ip any any access-list DMZ_access_in extended permit ip any any access-list local standard permit 192.168.123.0 255.255.255.0 access-list real_access_in extended permit ip any any access-list real standard permit 91.223.xxx.0 255.255.255.0 access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0 access-list real_cryptomap extended permit ip any any icmp permit any inside icmp permit any real nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 access-group inside_access_in in interface inside access-group real_access_in in interface real crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map real_map 1 match address real_cryptomap crypto map real_map 1 set peer 95.111.xxx.xxx crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map real_map interface real crypto isakmp identity address no crypto isakmp nat-traversal crypto ikev1 enable inside crypto ikev1 enable real crypto ikev1 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 threat-detection basic-threat threat-detection statistics host threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list group-policy GroupPolicy_95.111.xxx.xxx internal group-policy GroupPolicy_95.111.xxx.xxx attributes vpn-tunnel-protocol ikev1 tunnel-group 95.111.xxx.xxx type ipsec-l2l tunnel-group 95.111.xxx.xxx general-attributes default-group-policy GroupPolicy_95.111.xxx.xxx tunnel-group 95.111.xxx.xxx ipsec-attributes ikev1 pre-shared-key ***** isakmp keepalive threshold 15 retry 5

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> Доброго времени суток!
>>> Построил айписек туннель между ASA 5510 и микротиком.
>>> Сам по себе туннель поднимается, все фазы проходят.
>>> НО! Внутри туннеля пакеты не ходят.
>>> Т.е. из одной локалки не могу даже пропинговать другую.
>>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>>> В чём грабли?
>> Видимо не все фазы проходят :) 
>> Как насчёт скинуть конф и дебаги?

> Фазы проходят все - факт.
> Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель.

> 192.168.123.0 - сеть за асой 
> 192.168.88.0 - сеть за микротиком 
> real - интерфейс смотрящий в мир (не спрашивайте почему он не outside 
> ))) ) 
> 95.111.xxx.xxx - адрес пира

> interface Ethernet0/1 
>  nameif inside 
>  security-level 100 
>  ip address 192.168.123.23 255.255.255.0

> interface Ethernet0/3 
>  nameif real 
>  security-level 0 
>  ip address 91.223.xxx.xxx 255.255.255.0

> access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply 
 
> access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0 
> access-list outside_access_in extended permit ip any any 
> access-list inside_access_in extended permit ip any any 
> access-list DMZ_access_in extended permit ip any any 
> access-list local standard permit 192.168.123.0 255.255.255.0 
> access-list real_access_in extended permit ip any any 
> access-list real standard permit 91.223.xxx.0 255.255.255.0 
> access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 
> 255.255.255.0 
> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 
> 255.255.255.0 
> access-list real_cryptomap extended permit ip any any

> icmp permit any inside 
> icmp permit any real

> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

> access-group inside_access_in in interface inside 
> access-group real_access_in in interface real

> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA 
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA 
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

> crypto map real_map 1 match address real_cryptomap 
> crypto map real_map 1 set peer 95.111.xxx.xxx 
> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA 
> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA 
> ESP-DES-MD5 
> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP 
> crypto map real_map interface real

> crypto isakmp identity address 
> no crypto isakmp nat-traversal

> crypto ikev1 enable inside 
> crypto ikev1 enable real 
> crypto ikev1 policy 10 
>  authentication pre-share 
>  encryption 3des 
>  hash sha 
>  group 2 
>  lifetime 86400 
> crypto ikev1 policy 20 
>  authentication pre-share 
>  encryption 3des 
>  hash md5 
>  group 2 
>  lifetime 86400 
> crypto ikev1 policy 30 
>  authentication pre-share 
>  encryption aes-256 
>  hash sha 
>  group 5 
>  lifetime 86400

> threat-detection basic-threat 
> threat-detection statistics host 
> threat-detection statistics port 
> threat-detection statistics protocol 
> threat-detection statistics access-list

> group-policy GroupPolicy_95.111.xxx.xxx internal 
> group-policy GroupPolicy_95.111.xxx.xxx attributes 
>  vpn-tunnel-protocol ikev1

> tunnel-group 95.111.xxx.xxx type ipsec-l2l 
> tunnel-group 95.111.xxx.xxx general-attributes 
>  default-group-policy GroupPolicy_95.111.xxx.xxx 
> tunnel-group 95.111.xxx.xxx ipsec-attributes 
>  ikev1 pre-shared-key ***** 
>  isakmp keepalive threshold 15 retry 5

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру