Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит...[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]
Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0"
Запускаю racoon...
С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"...
Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10).
Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3...
А циске пишет "IKE: 1 IPSec: 2"
Это как понимать? Туннель один же должен быть?
Вывод команды "sh crypto ipsec sa"
:
interface: outside
Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer: A.A.A.A
#pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125
#pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 321
local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 0FFBA690
inbound esp sas:
spi: 0x753A1D59 (1966742873)
transform: esp-3des esp-sha-hmac none
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 49, crypto-map: outside_map
sa timing: remaining key lifetime (sec): 28400
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x0FFBA690 (268150416)
transform: esp-3des esp-sha-hmac none
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 49, crypto-map: outside_map
sa timing: remaining key lifetime (sec): 28400
IV size: 8 bytes
replay detection support: Y
Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer: 81.2.1.10
#pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073
#pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 2
local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 06E47DB9
inbound esp sas:
spi: 0x6C811878 (1820399736)
transform: esp-3des esp-sha-hmac none
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 49, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4274893/28574)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x06E47DB9 (115637689)
transform: esp-3des esp-sha-hmac none
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 49, crypto-map: outside_map
sa timing: remaining key lifetime (kB/sec): (4274693/28574)
IV size: 8 bytes
replay detection support: Y
Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"...
Правила ipsec на циске вот так прописаны...
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0
На Линухе:
в /etc/racoon/racoon.conf
remote B.B.B.B {
exchange_mode main;
lifetime time 1440 min;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any {
lifetime time 1440 min;
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any {
lifetime time 1440 min;
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
в /etc/ipsec-tools.conf
spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec
esp/tunnel/81.2.1.10-82.162.157.77/require;
spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec
esp/tunnel/82.162.157.77-81.2.1.10/require;
spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec
esp/tunnel/81.2.1.10-82.162.157.77/require;
spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec
esp/tunnel/82.162.157.77-81.2.1.10/require;
Вроде ж всё правильно??
