- Маршрутизация VPN, Stupidity, 06:35 , 03-Сен-08 (1)
С других компьютеров в сети 192.168.3.0/24 через 192.168.3.10 сеть 101.0/24 видится... Подскажите как это вообще должно правильно быть? Что где глянуть?
- Маршрутизация VPN, Stupidity, 13:12 , 03-Сен-08 (2)
Еще хочу дополнить... Схема получается примерно такая:[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1] Так вот пинги с Comp1(192.168.3.10) идут на Comp3(192.168.101.1) С Comp2 тоже пинги идут на Comp3... Но если на Comp2 ввожу пинг так: ping -I 192.168.1.241 192.168.101.1 т.е. с интерфейса в сети 192.168.1.0... пинги не идут.... Помоги кто-нить... У мня уже руки опускаются... мучаюсь уже... Проблема как я понимаю в настройках цыски...
- Маршрутизация VPN, ural_sm, 13:28 , 03-Сен-08 (3)
С обеих сторон дописать на АСЛ который выбирает трафик и привязан к криптомапе эти сети 192.168.1.0/24, 192.168.2.0/24 ну естесно не забыть NONAT сделать на них, разрешить хождение трафика соответствующими АСЛ на интерфейсах
- Маршрутизация VPN, Stupidity, 14:08 , 03-Сен-08 (4)
>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >криптомапе >эти сети 192.168.1.0/24, 192.168.2.0/24 Прошу прощения... :) ... А можно подробней? >ну естесно не забыть NONAT сделать на них, Ага, из ната исключал... >разрешить хождение трафика соответствующими >АСЛ на интерфейсах На фаерволе всё разрешено...
- Маршрутизация VPN, Stupidity, 14:14 , 03-Сен-08 (5)
А маршруты нужно какие-нить на цыске добавить? Был прописан только маршрут по-умолчанию на интернетовский шлюз провайдера...
- Маршрутизация VPN, Stupidity, 14:42 , 03-Сен-08 (6)
>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >криптомапе >эти сети 192.168.1.0/24, 192.168.2.0/24 Добавил в конфиге теперь access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 Измений нет... я до этого уже проделывал такое...
- Маршрутизация VPN, ural_sm, 14:55 , 03-Сен-08 (7)
>>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к >>криптомапе >>эти сети 192.168.1.0/24, 192.168.2.0/24 > >Добавил в конфиге теперь >access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 >Измений нет... я до этого уже проделывал такое... На linux надеюсь тоже добавил? Шлюзы? покажи sh crypto ipsec sa
- Маршрутизация VPN, Stupidity, 15:29 , 03-Сен-08 (8)
Result of the command: "sh crypto ipsec sa"interface: outside Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: A.A.A.A #pkts encaps: 210, #pkts encrypt: 210, #pkts digest: 210 #pkts decaps: 273, #pkts decrypt: 273, #pkts verify: 273 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 210, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 06D2F9C3 inbound esp sas: spi: 0xA3BEE1A2 (2747195810) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 32, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274864/28351) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x06D2F9C3 (114489795) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 32, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274949/28351) IV size: 8 bytes replay detection support: Y
- Маршрутизация VPN, Stupidity, 15:38 , 03-Сен-08 (9)
По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...
- Маршрутизация VPN, ural_sm, 15:40 , 03-Сен-08 (10)
>По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой >сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?... Туннель будет один но в него будет загнан трафик отвечающий требованиям АСЛ то есть три сети. И на обратной стороне так же. access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0 а потом смотри по sh crypto ipsec sa
- Маршрутизация VPN, Stupidity, 04:16 , 04-Сен-08 (11)
Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит...[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1] Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0" Запускаю racoon... С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"... Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10). Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3... А циске пишет "IKE: 1 IPSec: 2" Это как понимать? Туннель один же должен быть? Вывод команды "sh crypto ipsec sa" : interface: outside Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B
access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer: A.A.A.A #pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125 #pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 321 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 0FFBA690 inbound esp sas: spi: 0x753A1D59 (1966742873) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (sec): 28400 IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x0FFBA690 (268150416) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (sec): 28400 IV size: 8 bytes replay detection support: Y Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0) current_peer: 81.2.1.10 #pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073 #pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 2 local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: 06E47DB9 inbound esp sas: spi: 0x6C811878 (1820399736) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274893/28574) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x06E47DB9 (115637689) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 49, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274693/28574) IV size: 8 bytes replay detection support: Y Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"... Правила ipsec на циске вот так прописаны... access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0 На Линухе: в /etc/racoon/racoon.conf remote B.B.B.B { exchange_mode main; lifetime time 1440 min; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; } } sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any { lifetime time 1440 min; pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any { lifetime time 1440 min; pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; } в /etc/ipsec-tools.conf spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/81.2.1.10-82.162.157.77/require; spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec esp/tunnel/82.162.157.77-81.2.1.10/require; spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/81.2.1.10-82.162.157.77/require; spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec esp/tunnel/82.162.157.77-81.2.1.10/require; Вроде ж всё правильно??
- Маршрутизация VPN, ural_sm, 09:52 , 04-Сен-08 (12)
> >access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0 >access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0 access-list outside_20_cryptomap нет 3.0 сетки
- Маршрутизация VPN, Stupidity, 11:21 , 04-Сен-08 (13)
Не, там всё нормально... эт опечатка... там: access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
- Маршрутизация VPN, Stupidity, 07:01 , 05-Сен-08 (14)
Народ, ну помогите! Проблема в итоге уперлась в такую ситуацию:С одной стороны Linux c ip-адресами: интернетовским - A.A.A.A и локальным - 192.168.3.10 С другой стороны Cisco ASA 5505 с адресами: B.B.B.B и 192.168.101.2 Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально... В офисе где Linux есть еще пару сетей для примера возьмём 192.168.99.0/24... Как сделать чтобы обе сети 192.168.3.0/24 и сеть 192.168.99.0/24 видели сеть 192.168.101.0/24??? После махинаций получилось следующее - после запуска racoon на линуксе, из какой сети я пинги запускаю в 101-ую сеть с той туннель и устанавливается, и с другой сети пинги трафик не ходит. Конфиги racoon и ipsec в предыдущем посте... Прошу помощи, подсказок!!!
- Маршрутизация VPN, ural_sm, 09:42 , 05-Сен-08 (15)
>Народ, ну помогите! >Прошу помощи, подсказок!!! Во первых у тебя в выводе sh crypto ipsec sa нет сведений о 99.0 сети, что говорит о то что ты не включил эту сеть в АСЛ для криптомапы. Смотри должно быть так: Хост типа 99.10 пингует 101.10 шлюз у него линукс (типа 99.1). Он видит что этот трафик надо затолкнуть в ipsec туннель (наcтройки racoona). Там ASA смотрит криптомапу и и распаковыет и шлет по назначению. То есть в криптомапах на обеих сторонах должен быть интересующий трафик. Вот и все. У меня такая связка работает, правда с одной 3640 и ASA c другой.
|