 asa ipsec nat,  Dmt, 09-Окт-14, 13:05 [смотреть все]Добрый деньIPSEC тунель между 2921 и аса 9.1(1) построился, но траффик не ходит, помогите.
Думаю из-за ната, но вроде всё правильно object network obj_any
subnet 0.0.0.0 0.0.0.0
object network 123
subnet 0.0.0.0 0.0.0.0
object network Ipsec
subnet 10.161.128.0 255.255.255.0
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
!
object network 123
nat (any,outside) dynamic interface
При дебаге исмп
Отвечает аса на исмп через внешний интерфейс т.е вроде натятса пакеты, а не должны ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=724 len=32
ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=725 len=32
ICMP echo request from outside:10.161.128.16 to inside:192.168.100.103 ID=1 seq=726 len=32 Спасибо
|
- asa ipsec nat, crash, 13:54 , 09-Окт-14 (1)
Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0 и что у вас настроено с другой стороны?
Что покажет вывод команды, например такой
packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
- asa ipsec nat, Dmt, 14:17 , 09-Окт-14 (2)
> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 Спасибо, я пробовал и так object network Ipsec
subnet 10.161.128.0 255.255.255.0
object network NETWORK_OBJ_10.161.128.0_24
subnet 10.161.128.0 255.255.255.0 object network NETWORK_OBJ_192.168.100.0_24
subnet 192.168.100.0 255.255.255.0 access-list outside_cryptomap extended permit ip 192.168.100.0 255.255.255.0 10.161.128.0 255.255.255.0 access-list icmp extended permit icmp host 192.168.100.114 any
access-list outside_cryptomap_1 extended permit ip 192.168.100.0 255.255.255.0
nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static Ipsec Ipsec - asa ipsec nat, Dmt, 14:20 , 09-Окт-14 (3)
> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 В пакет трасере видно что хост отправляет ответ в приватную сеть 10
но овтеты натятся и уходят с аутсайда на валидый адрес
- asa ipsec nat, crash, 14:25 , 09-Окт-14 (4)
>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>> и что у вас настроено с другой стороны?
>> Что покажет вывод команды, например такой
>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
> но овтеты натятся и уходят с аутсайда на валидый адрес ну вы покажите вывод или нет?
- asa ipsec nat, Dmt, 14:33 , 09-Окт-14 (5)
>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?5505# packet-tracer input inside tcp 192.168.100.14 10000 10.161.128.1 80 Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
NAT divert to egress interface outside
Untranslate 10.161.128.1/80 to 10.161.128.1/80 Phase: 2
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside,outside) source static obj_any obj_any destination static Ipsec Ipsec
Additional Information:
Static translate 192.168.100.14/10000 to 192.168.100.14/10000 Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information: Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information: Phase: 5
Type: VPN
Subtype: encrypt
Result: DROP
Config:
Additional Information: Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule Почему дроп???
- asa ipsec nat, Dmt, 14:42 , 09-Окт-14 (6)
>>> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
>>> и что у вас настроено с другой стороны?
>>> Что покажет вывод команды, например такой
>>> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80
>> В пакет трасере видно что хост отправляет ответ в приватную сеть 10
>> но овтеты натятся и уходят с аутсайда на валидый адрес
> ну вы покажите вывод или нет?5505# show asp drop Frame drop:
Flow is denied by configured rule (acl-drop) 414
Invalid SPI (np-sp-invalid-spi) 34
First TCP packet not SYN (tcp-not-syn) 30
TCP failed 3 way handshake (tcp-3whs-failed) 1
TCP RST/FIN out of order (tcp-rstfin-ooo) 5
Slowpath security checks failed (sp-security-failed) 46
Interface is down (interface-down) 2
Non-IP packet received in routed mode (non-ip-pkt-in-routed-mode) 1
Dropped pending packets in a closed socket (np-socket-closed) 1 Last clearing: Never Flow drop:
Need to start IKE negotiation (need-ike) 236
SSL bad record detected (ssl-bad-record-detect) 2
- asa ipsec nat, Dmt, 15:07 , 09-Окт-14 (7)
> Может вы укажите все таки свою сеть, а не subnet 0.0.0.0 0.0.0.0
> и что у вас настроено с другой стороны?
> Что покажет вывод команды, например такой
> packet-tracer input inside tcp любой_из_вашей_сети 10000 10.161.128.1 80 С другой стороны 2921 Interface: GigabitEthernet0/1
Session status: UP-ACTIVE
Peer: 8.7.22.6 port 500
IKEv1 SA: local 7.27.21.66/500 remote 8.7.52.6/500 Active
IPSEC FLOW: permit ip 10.161.128.0/255.255.255.0 192.168.100.0/255.255.255.0
Active SAs: 2, origin: crypto map
|
Версия для распечатки
