The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec ASA+MTK"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]
Курсы по Juniper Junos в Москве и Петербурге
"IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 17-Авг-11, 12:55 
Доброго времени суток!
Построил айписек туннель между ASA 5510 и микротиком.
Сам по себе туннель поднимается, все фазы проходят.
НО! Внутри туннеля пакеты не ходят.
Т.е. из одной локалки не могу даже пропинговать другую.
Пакет уходит в туннель, а дальше - тишина на обоих его концах.
В чём грабли?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec ASA+MTK"  +/
Сообщение от msanlimit (ok) on 17-Авг-11, 17:04 
> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?

Видимо не все фазы проходят :)
Как насчёт скинуть конф и дебаги?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 17-Авг-11, 18:15 
>> Доброго времени суток!
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Видимо не все фазы проходят :)
> Как насчёт скинуть конф и дебаги?

Фазы проходят все - факт.
Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель.

192.168.123.0 - сеть за асой
192.168.88.0 - сеть за микротиком
real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) )
95.111.xxx.xxx - адрес пира

interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.123.23 255.255.255.0

interface Ethernet0/3
nameif real
security-level 0
ip address 91.223.xxx.xxx 255.255.255.0

access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
access-list DMZ_access_in extended permit ip any any
access-list local standard permit 192.168.123.0 255.255.255.0
access-list real_access_in extended permit ip any any
access-list real standard permit 91.223.xxx.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list real_cryptomap extended permit ip any any

icmp permit any inside
icmp permit any real

nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

access-group inside_access_in in interface inside
access-group real_access_in in interface real

crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

crypto map real_map 1 match address real_cryptomap
crypto map real_map 1 set peer 95.111.xxx.xxx
crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map real_map interface real

crypto isakmp identity address
no crypto isakmp nat-traversal

crypto ikev1 enable inside
crypto ikev1 enable real
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400

threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list

group-policy GroupPolicy_95.111.xxx.xxx internal
group-policy GroupPolicy_95.111.xxx.xxx attributes
vpn-tunnel-protocol ikev1

tunnel-group 95.111.xxx.xxx type ipsec-l2l
tunnel-group 95.111.xxx.xxx general-attributes
default-group-policy GroupPolicy_95.111.xxx.xxx
tunnel-group 95.111.xxx.xxx ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec ASA+MTK"  +/
Сообщение от Aleks305 (ok) on 17-Авг-11, 23:04 
>[оверквотинг удален]
> access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
> access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
> access-list outside_access_in extended permit ip any any
> access-list inside_access_in extended permit ip any any
> access-list DMZ_access_in extended permit ip any any
> access-list local standard permit 192.168.123.0 255.255.255.0
> access-list real_access_in extended permit ip any any
> access-list real standard permit 91.223.xxx.0 255.255.255.0
> access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0
> 255.255.255.0

вот эта строчка нужна
> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
> 255.255.255.0

а это зачем в acl?убирайте
> access-list real_cryptomap extended permit ip any any

а это зачем в acl?убирайте
Вообще на мой взгляд какие-то странные все правила на интерфейсах - все разрешают. Зачем тогда вообще их вешать?
> icmp permit any inside
> icmp permit any real
> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24

почему inside,inside?
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

это в инет натит типа или как?в предыдущих версиях ОС по-другому было
> access-group inside_access_in in interface inside
> access-group real_access_in in interface real
> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

не пойму что такое ikev1 раньше такого не было, зачем?
>[оверквотинг удален]
> address real_cryptomap
> crypto map real_map 1 set peer 95.111.xxx.xxx
> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
> ESP-DES-MD5
> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
> crypto map real_map interface real
> crypto isakmp identity address
> no crypto isakmp nat-traversal
> crypto ikev1 enable inside

зачем  на inside?что ищете в своей сети?Микротик?
>[оверквотинг удален]
>  group 5
>  lifetime 86400
> threat-detection basic-threat
> threat-detection statistics host
> threat-detection statistics port
> threat-detection statistics protocol
> threat-detection statistics access-list
> group-policy GroupPolicy_95.111.xxx.xxx internal
> group-policy GroupPolicy_95.111.xxx.xxx attributes
>  vpn-tunnel-protocol ikev1

раньше был  ipsec или наприме webvpn. Не встречал ikev1

> tunnel-group 95.111.xxx.xxx type ipsec-l2l
> tunnel-group 95.111.xxx.xxx general-attributes
>  default-group-policy GroupPolicy_95.111.xxx.xxx
> tunnel-group 95.111.xxx.xxx ipsec-attributes
>  ikev1 pre-shared-key *****
>  isakmp keepalive threshold 15 retry 5

Не увидел nat (inside) 0 ...., то есть траф, который исключается из nat и уходит в vpn
также надеюсь вводили команду sysopt connection permit-vpn

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 18-Авг-11, 09:54 

> вот эта строчка нужна
>> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
>> 255.255.255.0

дык она есть...

> а это зачем в acl?убирайте
>> access-list real_cryptomap extended permit ip any any

эт я на всякий случай поставил, чтобы исключить, что проблема в файерволе...

> а это зачем в acl?убирайте
> Вообще на мой взгляд какие-то странные все правила на интерфейсах - все
> разрешают. Зачем тогда вообще их вешать?
>> icmp permit any inside
>> icmp permit any real
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24

хм, по-моему ничего странного нету, если я разрешаю icmp на интерфейсах...
пока на момент начального конфигурирования не заморачивался с типами icmp...

> почему inside,inside?
>> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

это правило ната прописал визард ipsec подключения...
насколько я понимаю, то оно значит не натить трафик с интерфейса инсайд на указанные объекты...

>[оверквотинг удален]
>> address real_cryptomap
>> crypto map real_map 1 set peer 95.111.xxx.xxx
>> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
>> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
>> ESP-DES-MD5
>> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
>> crypto map real_map interface real
>> crypto isakmp identity address
>> no crypto isakmp nat-traversal
>> crypto ikev1 enable inside

ну может раньше и не было...
но сейчас визард спрашивает какую версию ike использовать... ikev1 или ikev2...

>[оверквотинг удален]
>>  group 5
>>  lifetime 86400
>> threat-detection basic-threat
>> threat-detection statistics host
>> threat-detection statistics port
>> threat-detection statistics protocol
>> threat-detection statistics access-list
>> group-policy GroupPolicy_95.111.xxx.xxx internal
>> group-policy GroupPolicy_95.111.xxx.xxx attributes
>>  vpn-tunnel-protocol ikev1

а где вы увидели inside?

> раньше был  ipsec или наприме webvpn. Не встречал ikev1
>> tunnel-group 95.111.xxx.xxx type ipsec-l2l
>> tunnel-group 95.111.xxx.xxx general-attributes
>>  default-group-policy GroupPolicy_95.111.xxx.xxx
>> tunnel-group 95.111.xxx.xxx ipsec-attributes
>>  ikev1 pre-shared-key *****
>>  isakmp keepalive threshold 15 retry 5
> Не увидел nat (inside) 0 ...., то есть траф, который исключается из
> nat и уходит в vpn
> также надеюсь вводили команду sysopt connection permit-vpn

команду sysopt connection permit-vpn вводил...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 18-Авг-11, 11:41 
upd
с помощью tcpdump-а на шлюзе обнаружил следующее:
UDP пакеты по 500 порту шифруются и летают туда и обратно...
Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP).

Вот пример udp-пакетов:

10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id]
10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id]
10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336)
    95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash]
10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104)
    91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112)

А вот пример пинга со стороны сети микротика:

10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112)
    95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92

Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 19-Авг-11, 12:21 
>[оверквотинг удален]
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
> 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
> 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none],
> proto ESP (50), length 112)
>     95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
> Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает
> (((

разве никто не может помочь? (((

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSec ASA+MTK"  +/
Сообщение от Velos (ok) on 22-Авг-11, 00:01 
Доборого времени суток.
можно вывод команд
1)sho route
2)sho version

?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 22-Авг-11, 10:52 
> Доборого времени суток.
> можно вывод команд
> 1)sho route
> 2)sho version
> ?

# sh route
Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0

C    192.168.123.0 255.255.255.0 is directly connected, inside
C    10.10.10.0 255.255.255.252 is directly connected, outside
C    91.223.xxx.0 255.255.255.0 is directly connected, real
S*   0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real

# sh version

Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(3)

Compiled on Mon 31-Jan-11 02:11 by builders
System image file is "disk0:/asa841-k8.bin"
Config file at boot was "startup-config"

ASA up 1 day 16 hours

Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Я подозреваю, что проблема с НАТом...
Но где именно происходит затык - вот в чем вопрос...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec ASA+MTK"  +/
Сообщение от Aleks305 (ok) on 22-Авг-11, 14:09 
>[оверквотинг удален]
> Compiled on Mon 31-Jan-11 02:11 by builders
> System image file is "disk0:/asa841-k8.bin"
> Config file at boot was "startup-config"
> ASA up 1 day 16 hours
> Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600
> MHz
> Internal ATA Compact Flash, 256MB
> BIOS Flash M50FW016 @ 0xfff00000, 2048KB
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...

Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя.
Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPSec ASA+MTK"  +/
Сообщение от Velos (ok) on 22-Авг-11, 15:12 
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...

К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше...
Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям).

1) sho cry isa sa
2) sho cry ipsec sa

real_cryptomap - должна быть только строка:

access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0

всё остальное - убить.

Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть.

crypto ikev1 enable inside - тоже ни к чему. Убивайте.

ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре.

ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4.
Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально.

ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "IPSec ASA+MTK"  +/
Сообщение от Velos (ok) on 22-Авг-11, 16:31 
В текущей конфигурации нат кривой.

Насколько я понял - нужно так:

object network OBJ-192.168.123.0
   network 192.168.123.0 255.255.255.0
object network OBJ-192.168.88.0
   network 192.168.88.0 255.255.255.0


nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "IPSec ASA+MTK"  +/
Сообщение от Aleks305 (ok) on 22-Авг-11, 17:22 
тоже с 8.4 не особо разбираюсь

> nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static
> OBJ-192.168.88.0 OBJ-192.168.88.0

это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "IPSec ASA+MTK"  +/
Сообщение от Velos (ok) on 22-Авг-11, 18:39 

> это то что раньше называлось nat 0 для того чтобы заворачивать траф
> в туннель vpn

Ну нат 0 как такового, насколько я понял, вообще нет.
Теперь это статическая запись о с директивой заменять source адрес сам на себя...
Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 23-Авг-11, 12:23 
> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?

Всем спасибо за помощь, тему можно закрывать.
Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не только серые айпи локалки, но и хосты из ДМЗ с реальными адресами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "IPSec ASA+MTK"  +/
Сообщение от Velos (ok) on 23-Авг-11, 13:11 
>[оверквотинг удален]
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Всем спасибо за помощь, тему можно закрывать.
> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
> только серые айпи локалки, но и хосты из ДМЗ с реальными
> адресами.

Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам.

Т.е. у Вас сейчас всё работает вот с этой строчкой?
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 23-Авг-11, 13:42 
>[оверквотинг удален]
>> Всем спасибо за помощь, тему можно закрывать.
>> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
>> только серые айпи локалки, но и хосты из ДМЗ с реальными
>> адресами.
> Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и
> dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то
> нат по-пути стоять будет - он будет применяться именно к этим
> адресам.
> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???

Получилось так, что АСА не видела, что находится за НАТом, т.к. у неё был реальный айпи.
И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
Правило НАТа сейчас выглядит так:
(inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "IPSec ASA+MTK"  +/
Сообщение от Aleks305 (ok) on 23-Авг-11, 16:32 
>[оверквотинг удален]
>> нат по-пути стоять будет - он будет применяться именно к этим
>> адресам.
>> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
> Получилось так, что АСА не видела, что находится за НАТом, т.к. у
> неё был реальный айпи.
> И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
> Правило НАТа сейчас выглядит так:
> (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24

а на мой ответ по поводу закупки asa ответить можете?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "IPSec ASA+MTK"  +/
Сообщение от alpolle (ok) on 23-Авг-11, 17:24 
> а на мой ответ по поводу закупки asa ответить можете?

покупали асу у официального дистрибутора с лицензией...
не скажу у кого, т.к. это будет рекламой...
тем более учитывая то, что Вы из Питера, то эта инфа вам не поможет, т.к. я из Украины ))

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "IPSec ASA+MTK"  +/
Сообщение от Aleks305 (ok) on 23-Авг-11, 18:03 
>> а на мой ответ по поводу закупки asa ответить можете?
> покупали асу у официального дистрибутора с лицензией...
> не скажу у кого, т.к. это будет рекламой...
> тем более учитывая то, что Вы из Питера, то эта инфа вам
> не поможет, т.к. я из Украины ))

ок, спасибо. Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9 только. Так и должно быть?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "IPSec ASA+MTK"  +/
Сообщение от SyJet email(ok) on 16-Ноя-12, 14:56 
> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?

Прошу прощение за оффтоп. Как с вами связаться можно?
По вопросу cisco+webcashe

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру