- VPN между Pix и 3800,
 Avanty, 10:43 , 26-Дек-08 (1)неужели никто не сталкивался с проблемой, когда sysopt connection permit-ipsec не запоминается в конфиге???
Pix 515E, IOS 7.2(2)
очень надо. помогите плиз
- VPN между Pix и 3800, sh_, 11:47 , 26-Дек-08 (2)
Если хотите, чтобы вам помогли, приведите хотя бы конфиги устройств. Информации, что просто не поднимается туннель - недостаточно.
- VPN между Pix и 3800, Avanty, 17:41 , 29-Дек-08 (3)
Вот конфиги девайсов:Пикс:
PIX Version 7.2(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive access-list PING extended permit ip any any pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set SET esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600 crypto map MAP 10 set peer 192.168.2.1
crypto map MAP 10 set transform-set SET
crypto map MAP interface outside crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 100
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Роутер:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
!
!
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
!
!
vtp domain FILIAL
vtp mode transparent
!
!
!
crypto isakmp policy 100
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 123 address 192.168.1.1
!
!
crypto ipsec transform-set SET esp-des esp-md5-hmac
!
crypto map MAP 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set SET
match address 100
!
!
!
!
!
interface FastEthernet0/0
ip address 10.2.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
crypto map MAP
!
interface GigabitEthernet0/0/0
no ip address
shutdown
negotiation auto
!
!
!
access-list 100 permit ip any any
- VPN между Pix и 3800, sh_, 10:28 , 30-Дек-08 (4)
crypto map MAP 10 match address XXXXXXПричем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к этому, поставьте не any any, а полностью сети. Плюс, сделайте на пиксе, чтобы эти сети не натились. И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что НЕОБХОДИМО для поднятия туннельчега.
- VPN между Pix и 3800, Avanty, 11:21 , 30-Дек-08 (5)
>crypto map MAP 10 match address XXXXXX
>
>Причем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к
>этому, поставьте не any any, а полностью сети. Плюс, сделайте на
>пиксе, чтобы эти сети не натились.
>
>И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что
>НЕОБХОДИМО для поднятия туннельчега. crypto map MAP 10 match address XXXXXX - это есть, просто сюда не скопировал вопрос: а при permit any any и без указания ненатирования сетей не должно подниматься (да и нету у меня nat)?
- VPN между Pix и 3800, Avanty, 12:10 , 30-Дек-08 (6)
>вопрос: а при permit any any и без указания ненатирования сетей
>не должно подниматься (да и нету у меня nat)? вопрос снимается. Есть другой:
-сделал nat 0, но при попытке пинга пишет No route to host 192.168.2.1. Странно, в одной подсети и роутер и пикс находятся.....
- VPN между Pix и 3800, sh_, 14:16 , 30-Дек-08 (7)
>вопрос снимается. Есть другой:
>-сделал nat 0, но при попытке пинга пишет No route to host
>192.168.2.1. Странно, в одной подсети и роутер и пикс находятся.....
>Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0
- VPN между Pix и 3800, Avanty, 14:25 , 30-Дек-08 (8)
>
>Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0 Вот я идиот )))
Пинг пошел, но туннеля нет. pixfirewall# ping 10.2.2.1
ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72
?
Success rate is 0 percent (0/5)
pixfirewall# sh isa
pixfirewall# sh isakmp There are no isakmp sas Global IKE Statistics
Active Tunnels: 0
Previous Tunnels: 0
In Octets: 1312
In Packets: 6
In Drop Packets: 2
In Notifys: 0
In P2 Exchanges: 0
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 352
Out Packets: 4
Out Drop Packets: 0
Out Notifys: 2
Out P2 Exchanges: 0
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 0
Initiator Tunnels: 0
Initiator Fails: 0
Responder Fails: 2
System Capacity Fails: 0
Auth Fails: 2
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 2 Global IPSec over TCP Statistics
--------------------------------
Embryonic connections: 0
Active connections: 0
Previous connections: 0
Inbound packets: 0
Inbound dropped packets: 0
Outbound packets: 0
Outbound dropped packets: 0
RST packets: 0
Recevied ACK heart-beat packets: 0
Bad headers: 0
Bad trailers: 0
Timer failures: 0
Checksum errors: 0
Internal errors: 0
|
Версия для распечатки
VPN между Pix и 3800, 
