forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSEC VPN между Cisco и Linux - Помогите пожалуйста"
Отправлено Stupidity, 16-Фев-07 11:51

Подскажите пожалуйста куда смотреть, в чем может быть проблема....
На одной стороне Linux, ну или FreeBSD, не важно с адресами
int: 192.168.3.3
ext: A.A.A.A
На другой стороне Cisco PIX 501 firewall с адресами
int: 192.168.44.2
ext: B.B.B.B
Хочу объеденить сети через IPSEC c pre-shared key... До этого объединял FreeBSD и Linux машины и с rsa-сертификатами и с pre-shared ключами...
А здесь у меня получается такая ситуация... тунель устанавливается (Цыска показывает IKE tunnels: 1; IPSEC tunnels: 1; На другой стороне Racoon в логе пишет, что тунель установлен), а пинги через тунель не идут...
В чем может быть причина?
Вот части конфига Cisco:
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
names
name 212.122.1.2 dns
name 81.2.1.0 prosecutor_all
name 192.168.0.0 lenin
name 192.168.44.0 lenin44
name 192.168.3.0 prosecutor3
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 [почтовый сервер] 255.255.255.240
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 host [DNS]
access-list inside_outbound_nat0_acl permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0
access-list outside_cryptomap_20 permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0
mtu outside 1500
mtu inside 1500
ip address outside B.B.B.B 255.255.255.240
ip address inside 192.168.44.2 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 [gate] 1
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer A.A.A.A
crypto map outside_map 20 set transform-set myset1
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address A.A.A.A netmask 255.255.255.255
isakmp identity address
isakmp keepalive 120
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
На стороне Unix`а
в ipsec:
spdadd 192.168.3.0/24 192.168.44.0/24 any -P out ipsec
esp/tunnel/A.A.A.A - B.B.B.B/require;
spdadd 192.168.44.0/24 192.168.3.0/24 any -P in ipsec
esp/tunnel/B.B.B.B - A.A.A.A/require;
добавлена запись в таблицу маршрутизации
route add -net 192.168.44.0/24 gw 192.168.3.3
Набираю "ping 192.168.44.1" и после этого в логе racoon появляются что устанавливается тунель и последние записи вот такие:
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B->A.A.A.A spi=113682007(0x6c6a657)
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A->B.B.B.B spi=1367497908(0x51825cb4)
и всё, пинги не идут... :-(

Исходное сообщение
"IPSEC VPN между Cisco и Linux - Помогите пожалуйста" Отправлено Stupidity, 16-Фев-07 11:51
Подскажите пожалуйста куда смотреть, в чем может быть проблема.... На одной стороне Linux, ну или FreeBSD, не важно с адресами int: 192.168.3.3 ext: A.A.A.A На другой стороне Cisco PIX 501 firewall с адресами int: 192.168.44.2 ext: B.B.B.B Хочу объеденить сети через IPSEC c pre-shared key... До этого объединял FreeBSD и Linux машины и с rsa-сертификатами и с pre-shared ключами... А здесь у меня получается такая ситуация... тунель устанавливается (Цыска показывает IKE tunnels: 1; IPSEC tunnels: 1; На другой стороне Racoon в логе пишет, что тунель установлен), а пинги через тунель не идут... В чем может быть причина? Вот части конфига Cisco: interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 names name 212.122.1.2 dns name 81.2.1.0 prosecutor_all name 192.168.0.0 lenin name 192.168.44.0 lenin44 name 192.168.3.0 prosecutor3 access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 [почтовый сервер] 255.255.255.240 access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 host [DNS] access-list inside_outbound_nat0_acl permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0 access-list outside_cryptomap_20 permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0 mtu outside 1500 mtu inside 1500 ip address outside B.B.B.B 255.255.255.240 ip address inside 192.168.44.2 255.255.255.0 global (outside) 1 interface nat (inside) 0 access-list inside_outbound_nat0_acl nat (inside) 1 0.0.0.0 0.0.0.0 0 0 access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 [gate] 1 sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set myset1 esp-3des esp-sha-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set pfs group2 crypto map outside_map 20 set peer A.A.A.A crypto map outside_map 20 set transform-set myset1 crypto map outside_map interface outside isakmp enable outside isakmp key ******** address A.A.A.A netmask 255.255.255.255 isakmp identity address isakmp keepalive 120 isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash sha isakmp policy 20 group 2 isakmp policy 20 lifetime 86400 На стороне Unix`а в ipsec: spdadd 192.168.3.0/24 192.168.44.0/24 any -P out ipsec esp/tunnel/A.A.A.A - B.B.B.B/require; spdadd 192.168.44.0/24 192.168.3.0/24 any -P in ipsec esp/tunnel/B.B.B.B - A.A.A.A/require; добавлена запись в таблицу маршрутизации route add -net 192.168.44.0/24 gw 192.168.3.3 Набираю "ping 192.168.44.1" и после этого в логе racoon появляются что устанавливается тунель и последние записи вот такие: 2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B->A.A.A.A spi=113682007(0x6c6a657) 2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A->B.B.B.B spi=1367497908(0x51825cb4) и всё, пинги не идут... :-(

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Подскажите пожалуйста куда смотреть, в чем может быть проблема....
> На одной стороне Linux, ну или FreeBSD, не важно с адресами 
> int: 192.168.3.3 
> ext: A.A.A.A

> На другой стороне Cisco PIX 501 firewall с адресами 
> int: 192.168.44.2 
> ext: B.B.B.B

> Хочу объеденить сети через IPSEC c pre-shared key... До этого объединял FreeBSD 
> и Linux машины и с rsa-сертификатами и с pre-shared ключами...

> А здесь у меня получается такая ситуация... тунель устанавливается (Цыска показывает IKE 
> tunnels: 1; IPSEC tunnels: 1; На другой стороне Racoon в логе 
> пишет, что тунель установлен), а пинги через тунель не идут...

> В чем может быть причина?

> Вот части конфига Cisco:

> interface ethernet0 auto 
> interface ethernet1 100full 
> nameif ethernet0 outside security0 
> nameif ethernet1 inside security100

> names 
> name 212.122.1.2 dns 
> name 81.2.1.0 prosecutor_all 
> name 192.168.0.0 lenin 
> name 192.168.44.0 lenin44 
> name 192.168.3.0 prosecutor3 
> access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 [почтовый сервер] 255.255.255.240 
 
> access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 host [DNS] 
> access-list inside_outbound_nat0_acl permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0 
 
> access-list outside_cryptomap_20 permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0

> mtu outside 1500 
> mtu inside 1500

> ip address outside B.B.B.B 255.255.255.240 
> ip address inside 192.168.44.2 255.255.255.0

> global (outside) 1 interface 
> nat (inside) 0 access-list inside_outbound_nat0_acl 
> nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
> access-group inside_access_in in interface inside

> route outside 0.0.0.0 0.0.0.0 [gate] 1

> sysopt connection permit-ipsec 
> crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
> crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
> crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
> crypto ipsec transform-set myset1 esp-3des esp-sha-hmac 
> crypto map outside_map 20 ipsec-isakmp 
> crypto map outside_map 20 match address outside_cryptomap_20 
> crypto map outside_map 20 set pfs group2 
> crypto map outside_map 20 set peer A.A.A.A 
> crypto map outside_map 20 set transform-set myset1 
> crypto map outside_map interface outside

> isakmp enable outside 
> isakmp key ******** address A.A.A.A netmask 255.255.255.255 
> isakmp identity address 
> isakmp keepalive 120 
> isakmp policy 20 authentication pre-share 
> isakmp policy 20 encryption 3des 
> isakmp policy 20 hash sha 
> isakmp policy 20 group 2 
> isakmp policy 20 lifetime 86400

> На стороне Unix`а 
> в ipsec: 
>  spdadd 192.168.3.0/24 192.168.44.0/24 any -P out ipsec 
>     esp/tunnel/A.A.A.A - B.B.B.B/require; 
>  spdadd 192.168.44.0/24 192.168.3.0/24 any -P in ipsec 
>     esp/tunnel/B.B.B.B - A.A.A.A/require;

> добавлена запись в таблицу маршрутизации 
> route add -net 192.168.44.0/24 gw 192.168.3.3

> Набираю "ping 192.168.44.1" и после этого в логе racoon появляются что устанавливается 
> тунель и последние записи вот такие: 
> 2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B->A.A.A.A spi=113682007(0x6c6a657) 
 
> 2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A->B.B.B.B spi=1367497908(0x51825cb4)

> и всё, пинги не идут... :-(

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру