forum.opennet.ru - "vpn между pix и cisco router" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"vpn между pix и cisco router"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"vpn между pix и cisco router"
Сообщение от bmonk (ok) on 16-Июн-08, 09:54
подскажите пожалуйста как поднять впн между пиксом и роутером хотелось бы увидеть пример конфига. заранее огромное спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

vpn между pix и cisco router, sh_, 10:53 , 16-Июн-08, (1)

vpn между pix и cisco router, bmonk, 13:22 , 16-Июн-08, (2)
vpn между pix и cisco router, bmonk, 12:03 , 17-Июн-08, (3)

vpn между pix и cisco router, sh_, 12:34 , 17-Июн-08, (4)

vpn между pix и cisco router, bmonk, 13:06 , 17-Июн-08, (5)

vpn между pix и cisco router, ilya, 13:18 , 17-Июн-08, (6)

vpn между pix и cisco router, bmonk, 13:21 , 17-Июн-08, (8)

vpn между pix и cisco router, ilya, 16:55 , 17-Июн-08, (11)

vpn между pix и cisco router, bmonk, 15:47 , 18-Июн-08, (12)

vpn между pix и cisco router, ilya, 11:13 , 19-Июн-08, (13)

vpn между pix и cisco router, bmonk, 12:08 , 19-Июн-08, (14)

vpn между pix и cisco router, ilya, 12:51 , 19-Июн-08, (15)

vpn между pix и cisco router, bmonk, 13:07 , 19-Июн-08, (16)

vpn между pix и cisco router, sh_, 13:20 , 17-Июн-08, (7)

vpn между pix и cisco router, bmonk, 13:31 , 17-Июн-08, (9)
vpn между pix и cisco router, bmonk, 13:37 , 17-Июн-08, (10)

vpn между pix и cisco router, bmonk, 13:35 , 19-Июн-08, (17)
vpn между pix и cisco router, bmonk, 15:59 , 24-Июн-08, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "vpn между pix и cisco router"

Сообщение от sh_ (??) on 16-Июн-08, 10:53

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 16-Июн-08, 13:22

>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
огромное спасибо, попробую

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 17-Июн-08, 12:03

>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
неработает
или я чтото не так делаю главное когда пишу

sh isakmp sa
и на пиксе и на роутере он говорит
dst             src             state          conn-id slot status
x.x.x.x         x.x.x.x         QM_IDLE           2206    0 ACTIVE
может в аксесслистах проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "vpn между pix и cisco router"

Сообщение от sh_ (??) on 17-Июн-08, 12:34

Это намана. Вы конфиге привели бы. А то не понятно, что вы делаете. И самое главное, чего хотите сделать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 17-Июн-08, 13:06

>Это намана. Вы конфиге привели бы. А то не понятно, что вы
>делаете. И самое главное, чего хотите сделать...
хочу просто поднять впн чтобы был полный доступ из одной подсетки в другую и наоборот
вот конфиги
pix:
access-list 101 permit ip 192.168.10.0 255.255.255.248 192.168.130.0 255.255.255.0
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
sysopt connection permit-ipsec
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
crypto map to_corporate 11 ipsec-isakmp
crypto map to_corporate 11 match address ipsec
crypto map to_corporate 11 set peer 82.116.44.202
crypto map to_corporate 11 set transform-set vpn1
crypto map to_corporate interface outside
isakmp enable outside
isakmp key ******** address x.x.x.x netmask 255.255.255.255
isakmp identity address
isakmp policy 11 authentication pre-share
isakmp policy 11 encryption 3des
isakmp policy 11 hash sha
isakmp policy 11 group 1
isakmp policy 11 lifetime 86400
!!!вот вроде все что касается пикса
router:
crypto isakmp policy 11
encr 3des
hash md5
authentication pre-share
lifetime 480
crypto isakmp key cisco address y.y.y.y no-xauth
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
crypto map to_corporate 11 ipsec-isakmp
set peer 81.200.209.69
set transform-set vpn1
match address 192
ip nat pool myPool x.x.x.x x.x.x.x netmask 255.255.255.252
ip nat inside source route-map nonat pool myPool overload
access-list 192 permit ip 192.168.130.0 0.0.0.255 192.168.10.0 0.0.0.7
access-list 193 deny   ip 192.168.130.0 0.0.0.255 192.168.10.0 0.0.0.7
access-list 193 permit ip 192.168.130.0 0.0.0.255 any
route-map nonat permit 10
match ip address 193

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "vpn между pix и cisco router"

Сообщение от ilya (ok) on 17-Июн-08, 13:18

а что не работает? как проверяете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 17-Июн-08, 13:21

>а что не работает? как проверяете?
не пингуется ни один комп ни противоположная циска
вот дебаг с роутера
*Jun 17 04:12:32.457: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its maximum threshold 16
*Jun 17 07:02:38.156: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
*Jun 17 07:03:38.156: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
*Jun 17 07:10:38.168: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
*Jun 17 07:11:38.172: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
*Jun 17 07:31:43.076: %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed
        connection id=215, sequence number=17521
*Jun 17 07:31:44.880: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its maximum threshold 16
*Jun 17 07:37:38.204: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
*Jun 17 07:38:38.208: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "vpn между pix и cisco router"

Сообщение от ilya (ok) on 17-Июн-08, 16:55

покажите acl ipsec c пикса

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 18-Июн-08, 15:47

>покажите acl ipsec c пикса
он был точо такойже как и 101
потом я его удалил и сделал вот так
crypto map to_corporate 11 match address 101

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "vpn между pix и cisco router"

Сообщение от ilya (ok) on 19-Июн-08, 11:13

>>покажите acl ipsec c пикса
>
>он был точо такойже как и 101
>потом я его удалил и сделал вот так
>
>crypto map to_corporate 11 match address 101
странно это все.
IKE проходит. Судя по sh crypto ipsec sa сам SA строится.
пинга с рабочих станций из одной сети в другую нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 19-Июн-08, 12:08

>>>покажите acl ipsec c пикса
>>
>>он был точо такойже как и 101
>>потом я его удалил и сделал вот так
>>
>>crypto map to_corporate 11 match address 101
>
>странно это все.
>IKE проходит. Судя по sh crypto ipsec sa сам SA строится.
>пинга с рабочих станций из одной сети в другую нет?
нету
т.е. тоннель построился всетаки
это уже хорошо, у меня есть еще несколько acl  на роутере может в них загвоздка, пороюсь
спасибо за участие

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "vpn между pix и cisco router"

Сообщение от ilya (ok) on 19-Июн-08, 12:51

>[оверквотинг удален]
>>
>>странно это все.
>>IKE проходит. Судя по sh crypto ipsec sa сам SA строится.
>>пинга с рабочих станций из одной сети в другую нет?
>
>нету
>т.е. тоннель построился всетаки
>это уже хорошо, у меня есть еще несколько acl  на роутере
>может в них загвоздка, пороюсь
>спасибо за участие
посмотрите что бы UDP 500 пропускался и ESP AH протоколы.
для постройки SA достаточно UDP 500 а вот для передачи данных нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 19-Июн-08, 13:07

>[оверквотинг удален]
>>
>>нету
>>т.е. тоннель построился всетаки
>>это уже хорошо, у меня есть еще несколько acl  на роутере
>>может в них загвоздка, пороюсь
>>спасибо за участие
>
>посмотрите что бы UDP 500 пропускался и ESP AH протоколы.
>для постройки SA достаточно UDP 500 а вот для передачи данных нет.
>
спасибо проверю, еще раз все с нуля сделать попробую

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "vpn между pix и cisco router"

Сообщение от sh_ (??) on 17-Июн-08, 13:20

А криптомапу на интерфейс повесили?
Покажите sh crypto ipsec sa

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 17-Июн-08, 13:31

>А криптомапу на интерфейс повесили?
>Покажите sh crypto ipsec sa
да конечно
вот дебаг пикса
ISAKMP: rekeying phase 1 SA, src 81.200.209.69, dst 82.116.44.202ln
crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
ISAKMP:      encryption 3DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 1
ISAKMP:      auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERRORet
crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): processing vendor id payload
ISAKMP (0): processing vendor id payload
ISAKMP (0): remote peer supports dead peer detection
ISAKMP (0): processing vendor id payload
ISAKMP (0): speaking to another IOS box!
ISAKMP (0): processing vendor id payload
ISAKMP (0): received xauth v6 vendor id
ISAKMP (0): ID payload
        next-payload : 8
        type         : 1
        protocol     : 17
        port         : 500
        length       : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
return status is IKMP_NO_ERROR
VPN Peer: ISAKMP: Added new peer: ip:82.116.44.202/500 Total VPN Peers:2
VPN Peer: ISAKMP: Peer ip:82.116.44.202/500 Ref cnt incremented to:1 Total VPN Peers:2
crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500
ISAKMP (0): processing NOTIFY payload 24576 protocol 1
        spi 0, message ID = 2995215478
ISAKMP (0): processing responder lifetime
ISAKMP (0): phase 1 responder lifetime of 480s

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 17-Июн-08, 13:37

>А криптомапу на интерфейс повесили?
>Покажите sh crypto ipsec sa
конечно повесил
у меня уже 9 тоннелей роутер-роутер + изивпнсервер на роутере этом висит
interface: FastEthernet1
    Crypto map tag: to_corporate, local addr х.х.х.х
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.130.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.248/0/0)
   current_peer у.у.у.у port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7
    #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 391, #recv errors 0
     local crypto endpt.: х.х.х.х, remote crypto endpt.: у.у.у.у
     path mtu 1500, ip mtu 1500
     current outbound spi: 0x16209571(371234161)
     inbound esp sas:
      spi: 0xDFF176F9(3757143801)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 243, flow_id: Motorola SEC 2.0:243, crypto map: to_corporate
        sa timing: remaining key lifetime (k/sec): (4382367/1222)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x16209571(371234161)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 232, flow_id: Motorola SEC 2.0:232, crypto map: to_corporate
        sa timing: remaining key lifetime (k/sec): (4382367/1222)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 19-Июн-08, 13:35

меня начал мучать вопрос
а пикс вообще поддерживает несколько впн соединений???
роутер -впн1- пикс -впн2- пикс

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "vpn между pix и cisco router"

Сообщение от bmonk (??) on 24-Июн-08, 15:59

Снова поднимаю тему
вопрос так и остался нерешенным
никак не получается связать пикс и роутер
вот конфиг пикса
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password Bsdfhdfhh encrypted
passwd 1WadfvadfgvadfV encrypted
hostname PIX
domain-name cisco.ru
clock timezone SAMST 4
clock summer-time SAMDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 101 permit ip 192.168.13.0 255.255.255.248 192.168.1.0 255.255.255.0
access-list 101 permit ip 192.168.13.0 255.255.255.248 192.168.130.0 255.255.255.0
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit tcp any host A.A.A.A eq smtp
pager lines 24
logging on
logging buffered errors
mtu outside 1500
mtu inside 1500
ip address outside A.A.A.A 255.255.255.240
ip address inside 192.168.13.1 255.255.255.248
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp A.A.A.A smtp 192.168.13.2 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp A.A.A.A 3389 192.168.13.2 3389 netmask 255.255.255.255 0 0
access-group 102 in interface outside
route outside 0.0.0.0 0.0.0.0 A.A.A.B 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
crypto map to_corporate 10 ipsec-isakmp
crypto map to_corporate 10 match address 101
crypto map to_corporate 10 set peer B.B.B.B
crypto map to_corporate 10 set transform-set vpn1
crypto map to_corporate 11 ipsec-isakmp
crypto map to_corporate 11 match address 101
crypto map to_corporate 11 set peer C.C.C.C
crypto map to_corporate 11 set transform-set vpn1
crypto map to_corporate interface outside
isakmp enable outside
isakmp key ******** address B.B.B.B netmask 255.255.255.255
isakmp key ******** address C.C.C.C netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
telnet timeout 20
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
console timeout 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "vpn между pix и cisco router"
Сообщение от sh_ (??) on 16-Июн-08, 10:53
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 16-Июн-08, 13:22
	>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... огромное спасибо, попробую
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 17-Июн-08, 12:03
	>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... неработает или я чтото не так делаю главное когда пишу sh isakmp sa и на пиксе и на роутере он говорит dst src state conn-id slot status x.x.x.x x.x.x.x QM_IDLE 2206 0 ACTIVE может в аксесслистах проблема?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "vpn между pix и cisco router"
	Сообщение от sh_ (??) on 17-Июн-08, 12:34
	Это намана. Вы конфиге привели бы. А то не понятно, что вы делаете. И самое главное, чего хотите сделать...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 17-Июн-08, 13:06
	>Это намана. Вы конфиге привели бы. А то не понятно, что вы >делаете. И самое главное, чего хотите сделать... хочу просто поднять впн чтобы был полный доступ из одной подсетки в другую и наоборот вот конфиги pix: access-list 101 permit ip 192.168.10.0 255.255.255.248 192.168.130.0 255.255.255.0 nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 sysopt connection permit-ipsec crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac crypto map to_corporate 11 ipsec-isakmp crypto map to_corporate 11 match address ipsec crypto map to_corporate 11 set peer 82.116.44.202 crypto map to_corporate 11 set transform-set vpn1 crypto map to_corporate interface outside isakmp enable outside isakmp key ******** address x.x.x.x netmask 255.255.255.255 isakmp identity address isakmp policy 11 authentication pre-share isakmp policy 11 encryption 3des isakmp policy 11 hash sha isakmp policy 11 group 1 isakmp policy 11 lifetime 86400 !!!вот вроде все что касается пикса router: crypto isakmp policy 11 encr 3des hash md5 authentication pre-share lifetime 480 crypto isakmp key cisco address y.y.y.y no-xauth crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac crypto map to_corporate 11 ipsec-isakmp set peer 81.200.209.69 set transform-set vpn1 match address 192 ip nat pool myPool x.x.x.x x.x.x.x netmask 255.255.255.252 ip nat inside source route-map nonat pool myPool overload access-list 192 permit ip 192.168.130.0 0.0.0.255 192.168.10.0 0.0.0.7 access-list 193 deny ip 192.168.130.0 0.0.0.255 192.168.10.0 0.0.0.7 access-list 193 permit ip 192.168.130.0 0.0.0.255 any route-map nonat permit 10 match ip address 193
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "vpn между pix и cisco router"
	Сообщение от ilya (ok) on 17-Июн-08, 13:18
	а что не работает? как проверяете?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 17-Июн-08, 13:21
	>а что не работает? как проверяете? не пингуется ни один комп ни противоположная циска вот дебаг с роутера Jun 17 04:12:32.457: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its maximum threshold 16 Jun 17 07:02:38.156: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer Jun 17 07:03:38.156: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer Jun 17 07:10:38.168: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer Jun 17 07:11:38.172: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer Jun 17 07:31:43.076: %CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed connection id=215, sequence number=17521 Jun 17 07:31:44.880: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its maximum threshold 16 Jun 17 07:37:38.204: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer *Jun 17 07:38:38.208: %CRYPTO-4-IKMP_NO_SA: IKE message from у.у.у.у has no SA and is not an initialization offer
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "vpn между pix и cisco router"
	Сообщение от ilya (ok) on 17-Июн-08, 16:55
	покажите acl ipsec c пикса
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 18-Июн-08, 15:47
	>покажите acl ipsec c пикса он был точо такойже как и 101 потом я его удалил и сделал вот так crypto map to_corporate 11 match address 101
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "vpn между pix и cisco router"
	Сообщение от ilya (ok) on 19-Июн-08, 11:13
	>>покажите acl ipsec c пикса > >он был точо такойже как и 101 >потом я его удалил и сделал вот так > >crypto map to_corporate 11 match address 101 странно это все. IKE проходит. Судя по sh crypto ipsec sa сам SA строится. пинга с рабочих станций из одной сети в другую нет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 19-Июн-08, 12:08
	>>>покажите acl ipsec c пикса >> >>он был точо такойже как и 101 >>потом я его удалил и сделал вот так >> >>crypto map to_corporate 11 match address 101 > >странно это все. >IKE проходит. Судя по sh crypto ipsec sa сам SA строится. >пинга с рабочих станций из одной сети в другую нет? нету т.е. тоннель построился всетаки это уже хорошо, у меня есть еще несколько acl на роутере может в них загвоздка, пороюсь спасибо за участие
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "vpn между pix и cisco router"
	Сообщение от ilya (ok) on 19-Июн-08, 12:51
	>[оверквотинг удален] >> >>странно это все. >>IKE проходит. Судя по sh crypto ipsec sa сам SA строится. >>пинга с рабочих станций из одной сети в другую нет? > >нету >т.е. тоннель построился всетаки >это уже хорошо, у меня есть еще несколько acl на роутере >может в них загвоздка, пороюсь >спасибо за участие посмотрите что бы UDP 500 пропускался и ESP AH протоколы. для постройки SA достаточно UDP 500 а вот для передачи данных нет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 19-Июн-08, 13:07
	>[оверквотинг удален] >> >>нету >>т.е. тоннель построился всетаки >>это уже хорошо, у меня есть еще несколько acl на роутере >>может в них загвоздка, пороюсь >>спасибо за участие > >посмотрите что бы UDP 500 пропускался и ESP AH протоколы. >для постройки SA достаточно UDP 500 а вот для передачи данных нет. > спасибо проверю, еще раз все с нуля сделать попробую
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "vpn между pix и cisco router"
	Сообщение от sh_ (??) on 17-Июн-08, 13:20
	А криптомапу на интерфейс повесили? Покажите sh crypto ipsec sa
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 17-Июн-08, 13:31
	>А криптомапу на интерфейс повесили? >Покажите sh crypto ipsec sa да конечно вот дебаг пикса ISAKMP: rekeying phase 1 SA, src 81.200.209.69, dst 82.116.44.202ln crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing SA payload. message ID = 0 ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy ISAKMP: encryption 3DES-CBC ISAKMP: hash MD5 ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP: life type in seconds ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 ISAKMP (0): atts are acceptable. Next payload is 0 ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR return status is IKMP_NO_ERRORet crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing KE payload. message ID = 0 ISAKMP (0): processing NONCE payload. message ID = 0 ISAKMP (0): processing vendor id payload ISAKMP (0): processing vendor id payload ISAKMP (0): remote peer supports dead peer detection ISAKMP (0): processing vendor id payload ISAKMP (0): speaking to another IOS box! ISAKMP (0): processing vendor id payload ISAKMP (0): received xauth v6 vendor id ISAKMP (0): ID payload next-payload : 8 type : 1 protocol : 17 port : 500 length : 8 ISAKMP (0): Total payload length: 12 return status is IKMP_NO_ERROR crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500 OAK_MM exchange ISAKMP (0): processing ID payload. message ID = 0 ISAKMP (0): processing HASH payload. message ID = 0 ISAKMP (0): SA has been authenticated return status is IKMP_NO_ERROR VPN Peer: ISAKMP: Added new peer: ip:82.116.44.202/500 Total VPN Peers:2 VPN Peer: ISAKMP: Peer ip:82.116.44.202/500 Ref cnt incremented to:1 Total VPN Peers:2 crypto_isakmp_process_block:src:82.116.44.202, dest:81.200.209.69 spt:500 dpt:500 ISAKMP (0): processing NOTIFY payload 24576 protocol 1 spi 0, message ID = 2995215478 ISAKMP (0): processing responder lifetime ISAKMP (0): phase 1 responder lifetime of 480s
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "vpn между pix и cisco router"
	Сообщение от bmonk (??) on 17-Июн-08, 13:37
	>А криптомапу на интерфейс повесили? >Покажите sh crypto ipsec sa конечно повесил у меня уже 9 тоннелей роутер-роутер + изивпнсервер на роутере этом висит interface: FastEthernet1 Crypto map tag: to_corporate, local addr х.х.х.х protected vrf: (none) local ident (addr/mask/prot/port): (192.168.130.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.10.0/255.255.255.248/0/0) current_peer у.у.у.у port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7 #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 391, #recv errors 0 local crypto endpt.: х.х.х.х, remote crypto endpt.: у.у.у.у path mtu 1500, ip mtu 1500 current outbound spi: 0x16209571(371234161) inbound esp sas: spi: 0xDFF176F9(3757143801) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 243, flow_id: Motorola SEC 2.0:243, crypto map: to_corporate sa timing: remaining key lifetime (k/sec): (4382367/1222) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x16209571(371234161) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 232, flow_id: Motorola SEC 2.0:232, crypto map: to_corporate sa timing: remaining key lifetime (k/sec): (4382367/1222) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

17. "vpn между pix и cisco router"
Сообщение от bmonk (??) on 19-Июн-08, 13:35
меня начал мучать вопрос а пикс вообще поддерживает несколько впн соединений??? роутер -впн1- пикс -впн2- пикс
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

18. "vpn между pix и cisco router"
Сообщение от bmonk (??) on 24-Июн-08, 15:59
Снова поднимаю тему вопрос так и остался нерешенным никак не получается связать пикс и роутер вот конфиг пикса PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password Bsdfhdfhh encrypted passwd 1WadfvadfgvadfV encrypted hostname PIX domain-name cisco.ru clock timezone SAMST 4 clock summer-time SAMDT recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list 101 permit ip 192.168.13.0 255.255.255.248 192.168.1.0 255.255.255.0 access-list 101 permit ip 192.168.13.0 255.255.255.248 192.168.130.0 255.255.255.0 access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any time-exceeded access-list 102 permit icmp any any unreachable access-list 102 permit tcp any host A.A.A.A eq smtp pager lines 24 logging on logging buffered errors mtu outside 1500 mtu inside 1500 ip address outside A.A.A.A 255.255.255.240 ip address inside 192.168.13.1 255.255.255.248 ip audit info action alarm ip audit attack action alarm arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp A.A.A.A smtp 192.168.13.2 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp A.A.A.A 3389 192.168.13.2 3389 netmask 255.255.255.255 0 0 access-group 102 in interface outside route outside 0.0.0.0 0.0.0.0 A.A.A.B 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa authentication ssh console LOCAL aaa authorization command LOCAL no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac crypto map to_corporate 10 ipsec-isakmp crypto map to_corporate 10 match address 101 crypto map to_corporate 10 set peer B.B.B.B crypto map to_corporate 10 set transform-set vpn1 crypto map to_corporate 11 ipsec-isakmp crypto map to_corporate 11 match address 101 crypto map to_corporate 11 set peer C.C.C.C crypto map to_corporate 11 set transform-set vpn1 crypto map to_corporate interface outside isakmp enable outside isakmp key ****** address B.B.B.B netmask 255.255.255.255 isakmp key ****** address C.C.C.C netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 20 ssh 0.0.0.0 0.0.0.0 outside ssh timeout 60 console timeout 0
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]