The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Cisco ASA 5510 + ipsec = имею странное, !*! plohish, 27-Май-08, 20:00  [смотреть все]
Здравствуйте. Если позволите, продолжу свои страдания по поводу IPSEC. Имею следующую конфигурацию (некоторым благородным людям уже знакомую):

crypto ipsec transform-set apk2405set esp-des esp-md5-hmac
crypto ipsec transform-set apk1305set esp-aes-256 esp-md5-hmac
crypto dynamic-map apk1305dynmap 10 set transform-set apk1305set
crypto map apk1305map 10 ipsec-isakmp dynamic apk1305dynmap
crypto map apk1305map 20 match address apk-kz
crypto map apk1305map 20 set peer 92.242.XX.XXX
crypto map apk1305map 20 set transform-set apk2405set
crypto map apk1305map 30 match address apk-m1
crypto map apk1305map 30 set peer 92.242.XX.YYY
crypto map apk1305map 30 set transform-set apk2405set
crypto map apk1305map interface pri_isp_subif
crypto isakmp identity address
crypto isakmp enable pri_isp_subif
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash md5
group 2
lifetime 1000
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

Здесь представлена мапа, которая имеет динамические атрибуты для обеспечения работы Cisco VPN Client и 2 (20, 30) статических атрибута для связи с удаленными площадками.
Если инициатор соединения сеть за АСой - все ок. Если удаленная сторона - туннель не устанавливается, ибо удаленная сторона попадает в apk1305dynmap. Если удалить динамический атрибут - пиры работают в обе стороны, но не  работает Cisco VPN Client, которому нужен динамический крипто-мап.. Как совместить ?

Ответить | Сообщить модератору
  • Cisco ASA 5510 + ipsec = имею странное, !*! ilya, 09:07 , 28-Май-08 (1)
    1. попробуйте поменять приоритет для crypto map apk1305map 10 ipsec-isakmp dynamic apk1305dynmap
    например crypto map apk1305map 65000 ipsec-isakmp dynamic apk1305dynmap
    2. покажите более полный конфиг - с адресами, списками доступа, с тунельными группами.
    Почему решили что он попадает в apk1305dynmap? Может быть удаленный хост не может найти нужной тунельной группы?
    3. покажите debug crypto isakmp 200 в случае когда у вас работает удаленный VPN и не удается установить соединение "снаружи".
    Ответить | Сообщить модератору
    • Cisco ASA 5510 + ipsec = имею странное, !*! plohish, 10:51 , 28-Май-08 (2)
      >1. попробуйте поменять приоритет для crypto map apk1305map 10 ipsec-isakmp dynamic apk1305dynmap
      >
      >например crypto map apk1305map 65000 ipsec-isakmp dynamic apk1305dynmap
      >2. покажите более полный конфиг - с адресами, списками доступа, с тунельными
      >группами.
      >Почему решили что он попадает в apk1305dynmap? Может быть удаленный хост не
      >может найти нужной тунельной группы?
      >3. покажите debug crypto isakmp 200 в случае когда у вас работает
      >удаленный VPN и не удается установить соединение "снаружи".

      1. Спасибо! Помогло!
      2. Решил, проглядывая до дыр debug crypto isakmp. Еще раз благодарю!

      Ответить | Сообщить модератору
      • Cisco ASA 5510 + ipsec = имею странное, !*! ilya, 11:20 , 28-Май-08 (3)
        >[оверквотинг удален]
        >>например crypto map apk1305map 65000 ipsec-isakmp dynamic apk1305dynmap
        >>2. покажите более полный конфиг - с адресами, списками доступа, с тунельными
        >>группами.
        >>Почему решили что он попадает в apk1305dynmap? Может быть удаленный хост не
        >>может найти нужной тунельной группы?
        >>3. покажите debug crypto isakmp 200 в случае когда у вас работает
        >>удаленный VPN и не удается установить соединение "снаружи".
        >
        >1. Спасибо! Помогло!
        >2. Решил, проглядывая до дыр debug crypto isakmp. Еще раз благодарю!

        так что именно помогло?
        что увидели в дебаге?

        Ответить | Сообщить модератору
        • Cisco ASA 5510 + ipsec = имею странное, !*! plohish, 14:40 , 28-Май-08 (4)
          >[оверквотинг удален]
          >>>Почему решили что он попадает в apk1305dynmap? Может быть удаленный хост не
          >>>может найти нужной тунельной группы?
          >>>3. покажите debug crypto isakmp 200 в случае когда у вас работает
          >>>удаленный VPN и не удается установить соединение "снаружи".
          >>
          >>1. Спасибо! Помогло!
          >>2. Решил, проглядывая до дыр debug crypto isakmp. Еще раз благодарю!
          >
          >так что именно помогло?
          >что увидели в дебаге?

          Помогло выставление динамической криптомапе приоритета ниже, нежели у статических атрибутов.
          crypto ipsec transform-set apk2405set esp-des esp-md5-hmac
          crypto ipsec transform-set apk1305set esp-aes-256 esp-md5-hmac
          crypto dynamic-map apk1305dynmap 10 set transform-set apk1305set
          crypto map apk1305map 20 match address apk-kz
          crypto map apk1305map 20 set peer 92.242.XX.XXX
          crypto map apk1305map 20 set transform-set apk2405set
          crypto map apk1305map 30 match address apk-m1
          crypto map apk1305map 30 set peer 92.242.XX.YYY
          crypto map apk1305map 30 set transform-set apk2405set
          crypto map apk1305map 1000 ipsec-isakmp dynamic apk1305dynmap

          В дебаге было
          May 27 12:28:39 [IKEv1]: Group = 92.242.XX.XXX, IP = 92.242.XX.YYY, IKE Remote Peer configured for crypto map: apk1305dynmap

          Т.е. удаленная сторона садилась на динамическую криптомапу, ей не предназначенную и не подходящую ни шифрованием, ни тунел-групом.

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру