The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Access-list блокирует IPSEC"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"Access-list блокирует IPSEC"  +/
Сообщение от daemon80 (ok) on 30-Ноя-16, 13:05 
Есть две Cisco 2651XM между ними организован IPSEC туннель.
При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя адресация сетей.
*Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200 (0/0), 3 packets

Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
Вопрос: как запретить access-list'у смотреть внутрь канала?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Access-list блокирует IPSEC"  +/
Сообщение от Andrey (??) on 30-Ноя-16, 13:23 
> Есть две Cisco 2651XM между ними организован IPSEC туннель.
> При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя
> адресация сетей.
> *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200
> (0/0), 3 packets
> Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
> Вопрос: как запретить access-list'у смотреть внутрь канала?

Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec.
Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Access-list блокирует IPSEC"  +/
Сообщение от daemon80 (ok) on 30-Ноя-16, 14:03 
> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения
> для протоколов входящих в группу IPSec.
> Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.

ip access-list extended FIREWALL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
permit tcp any any eq 22
permit ip host "Встречная-Cicso" any
permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда.
deny ip any any log

interface FastEthernet0/0
ip address XX.XX.XX.XX 255.255.255.248
ip access-group FIREWALL in
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map aesmap

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Access-list блокирует IPSEC"  +/
Сообщение от Roman (??) on 30-Ноя-16, 17:58 
gre over ipsec?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Access-list блокирует IPSEC"  +/
Сообщение от Andrey (??) on 30-Ноя-16, 21:17 
>[оверквотинг удален]
> без нее выше указанная беда.
>  deny ip any any log
> interface FastEthernet0/0
>  ip address XX.XX.XX.XX 255.255.255.248
>  ip access-group FIREWALL in
>  no ip mroute-cache
>  duplex auto
>  speed auto
>  no cdp enable
>  crypto map aesmap

Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Access-list блокирует IPSEC"  +/
Сообщение от daemon80 (ok) on 01-Дек-16, 08:24 
>[оверквотинг удален]
>> interface FastEthernet0/0
>>  ip address XX.XX.XX.XX 255.255.255.248
>>  ip access-group FIREWALL in
>>  no ip mroute-cache
>>  duplex auto
>>  speed auto
>>  no cdp enable
>>  crypto map aesmap
> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
> из документа можно понять почему у вас так происходит.

Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует.
Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Access-list блокирует IPSEC"  +/
Сообщение от Andrey (??) on 01-Дек-16, 09:49 
>[оверквотинг удален]
>>>  no ip mroute-cache
>>>  duplex auto
>>>  speed auto
>>>  no cdp enable
>>>  crypto map aesmap
>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>> из документа можно понять почему у вас так происходит.
> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
> блокирует.
> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?

Табличку из cisco document id 6209 поняли полностью?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Access-list блокирует IPSEC"  +/
Сообщение от daemon80 (ok) on 01-Дек-16, 10:00 
>[оверквотинг удален]
>>>>  duplex auto
>>>>  speed auto
>>>>  no cdp enable
>>>>  crypto map aesmap
>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>> из документа можно понять почему у вас так происходит.
>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>> блокирует.
>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
> Табличку из cisco document id 6209 поняли полностью?

Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Access-list блокирует IPSEC"  +/
Сообщение от Andrey (??) on 01-Дек-16, 11:34 
>[оверквотинг удален]
>>>>>  no cdp enable
>>>>>  crypto map aesmap
>>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>>> из документа можно понять почему у вас так происходит.
>>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>>> блокирует.
>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>> Табличку из cisco document id 6209 поняли полностью?
> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
> ЧЕК который как раз и блокирует?

Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
interface Tunnel <num>
...
tunnel protection ipsec profile <IPSec_Profile>

Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Access-list блокирует IPSEC"  +/
Сообщение от daemon80 (ok) on 01-Дек-16, 13:56 
>[оверквотинг удален]
>>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>>> Табличку из cisco document id 6209 поняли полностью?
>> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
>> ЧЕК который как раз и блокирует?
> Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
> interface Tunnel <num>
>  ...
>  tunnel protection ipsec profile <IPSec_Profile>
> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать
> crypto-map на физическом интерфейсе.

А вот это интересная мысль! Спасибо. Буду пробовать.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру