- IPSec ASA+MTK,
 msanlimit, 17:04 , 17-Авг-11 (1)> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?Видимо не все фазы проходят :)
Как насчёт скинуть конф и дебаги?
- IPSec ASA+MTK, alpolle, 18:15 , 17-Авг-11 (2)
>> Доброго времени суток!
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Видимо не все фазы проходят :)
> Как насчёт скинуть конф и дебаги?Фазы проходят все - факт.
Туннель работает. Сниффер показывает, что пакеты адресованые локалке входят в туннель. 192.168.123.0 - сеть за асой
192.168.88.0 - сеть за микротиком
real - интерфейс смотрящий в мир (не спрашивайте почему он не outside ))) )
95.111.xxx.xxx - адрес пира interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.123.23 255.255.255.0 interface Ethernet0/3
nameif real
security-level 0
ip address 91.223.xxx.xxx 255.255.255.0 access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
access-list DMZ_access_in extended permit ip any any
access-list local standard permit 192.168.123.0 255.255.255.0
access-list real_access_in extended permit ip any any
access-list real standard permit 91.223.xxx.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0
access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list real_cryptomap extended permit ip any any icmp permit any inside
icmp permit any real nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 access-group inside_access_in in interface inside
access-group real_access_in in interface real crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map real_map 1 match address real_cryptomap
crypto map real_map 1 set peer 95.111.xxx.xxx
crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map real_map interface real crypto isakmp identity address
no crypto isakmp nat-traversal crypto ikev1 enable inside
crypto ikev1 enable real
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400 threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list group-policy GroupPolicy_95.111.xxx.xxx internal
group-policy GroupPolicy_95.111.xxx.xxx attributes
vpn-tunnel-protocol ikev1 tunnel-group 95.111.xxx.xxx type ipsec-l2l
tunnel-group 95.111.xxx.xxx general-attributes
default-group-policy GroupPolicy_95.111.xxx.xxx
tunnel-group 95.111.xxx.xxx ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
- IPSec ASA+MTK, Aleks305, 23:04 , 17-Авг-11 (3)
>[оверквотинг удален]
> access-list outside_access_in extended permit icmp any 192.168.123.0 255.255.255.0 echo-reply
> access-list outside_access_in extended permit ip any 91.223.xxx.0 255.255.255.0
> access-list outside_access_in extended permit ip any any
> access-list inside_access_in extended permit ip any any
> access-list DMZ_access_in extended permit ip any any
> access-list local standard permit 192.168.123.0 255.255.255.0
> access-list real_access_in extended permit ip any any
> access-list real standard permit 91.223.xxx.0 255.255.255.0
> access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0
> 255.255.255.0 вот эта строчка нужна
> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
> 255.255.255.0 а это зачем в acl?убирайте
> access-list real_cryptomap extended permit ip any any а это зачем в acl?убирайте
Вообще на мой взгляд какие-то странные все правила на интерфейсах - все разрешают. Зачем тогда вообще их вешать?
> icmp permit any inside
> icmp permit any real
> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 почему inside,inside?
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 это в инет натит типа или как?в предыдущих версиях ОС по-другому было
> access-group inside_access_in in interface inside
> access-group real_access_in in interface real
> crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
> crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA
> ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA
> ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 не пойму что такое ikev1 раньше такого не было, зачем?
>[оверквотинг удален]
> address real_cryptomap
> crypto map real_map 1 set peer 95.111.xxx.xxx
> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
> ESP-DES-MD5
> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
> crypto map real_map interface real
> crypto isakmp identity address
> no crypto isakmp nat-traversal
> crypto ikev1 enable inside зачем на inside?что ищете в своей сети?Микротик?
>[оверквотинг удален]
> group 5
> lifetime 86400
> threat-detection basic-threat
> threat-detection statistics host
> threat-detection statistics port
> threat-detection statistics protocol
> threat-detection statistics access-list
> group-policy GroupPolicy_95.111.xxx.xxx internal
> group-policy GroupPolicy_95.111.xxx.xxx attributes
> vpn-tunnel-protocol ikev1 раньше был ipsec или наприме webvpn. Не встречал ikev1 > tunnel-group 95.111.xxx.xxx type ipsec-l2l
> tunnel-group 95.111.xxx.xxx general-attributes
> default-group-policy GroupPolicy_95.111.xxx.xxx
> tunnel-group 95.111.xxx.xxx ipsec-attributes
> ikev1 pre-shared-key *****
> isakmp keepalive threshold 15 retry 5 Не увидел nat (inside) 0 ...., то есть траф, который исключается из nat и уходит в vpn
также надеюсь вводили команду sysopt connection permit-vpn
- IPSec ASA+MTK, alpolle, 09:54 , 18-Авг-11 (4)
> вот эта строчка нужна
>> access-list real_cryptomap extended permit ip 192.168.88.0 255.255.255.0 192.168.123.0
>> 255.255.255.0 дык она есть... > а это зачем в acl?убирайте
>> access-list real_cryptomap extended permit ip any any эт я на всякий случай поставил, чтобы исключить, что проблема в файерволе... > а это зачем в acl?убирайте
> Вообще на мой взгляд какие-то странные все правила на интерфейсах - все
> разрешают. Зачем тогда вообще их вешать?
>> icmp permit any inside
>> icmp permit any real
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 хм, по-моему ничего странного нету, если я разрешаю icmp на интерфейсах...
пока на момент начального конфигурирования не заморачивался с типами icmp... > почему inside,inside?
>> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 это правило ната прописал визард ipsec подключения...
насколько я понимаю, то оно значит не натить трафик с интерфейса инсайд на указанные объекты... >[оверквотинг удален]
>> address real_cryptomap
>> crypto map real_map 1 set peer 95.111.xxx.xxx
>> crypto map real_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
>> ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA
>> ESP-DES-MD5
>> crypto map real_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
>> crypto map real_map interface real
>> crypto isakmp identity address
>> no crypto isakmp nat-traversal
>> crypto ikev1 enable inside ну может раньше и не было...
но сейчас визард спрашивает какую версию ike использовать... ikev1 или ikev2... >[оверквотинг удален]
>> group 5
>> lifetime 86400
>> threat-detection basic-threat
>> threat-detection statistics host
>> threat-detection statistics port
>> threat-detection statistics protocol
>> threat-detection statistics access-list
>> group-policy GroupPolicy_95.111.xxx.xxx internal
>> group-policy GroupPolicy_95.111.xxx.xxx attributes
>> vpn-tunnel-protocol ikev1 а где вы увидели inside? > раньше был ipsec или наприме webvpn. Не встречал ikev1
>> tunnel-group 95.111.xxx.xxx type ipsec-l2l
>> tunnel-group 95.111.xxx.xxx general-attributes
>> default-group-policy GroupPolicy_95.111.xxx.xxx
>> tunnel-group 95.111.xxx.xxx ipsec-attributes
>> ikev1 pre-shared-key *****
>> isakmp keepalive threshold 15 retry 5
> Не увидел nat (inside) 0 ...., то есть траф, который исключается из
> nat и уходит в vpn
> также надеюсь вводили команду sysopt connection permit-vpn команду sysopt connection permit-vpn вводил...
- IPSec ASA+MTK, alpolle, 11:41 , 18-Авг-11 (5)
upd
с помощью tcpdump-а на шлюзе обнаружил следующее:
UDP пакеты по 500 порту шифруются и летают туда и обратно...
Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP).Вот пример udp-пакетов: 10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id]
10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96)
95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id]
10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336)
95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash]
10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112) А вот пример пинга со стороны сети микротика: 10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92 Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((
- IPSec ASA+MTK, alpolle, 12:21 , 19-Авг-11 (6)
>[оверквотинг удален]
> proto ESP (50), length 112)
> 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
> 10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none],
> proto ESP (50), length 112)
> 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
> 10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none],
> proto ESP (50), length 112)
> 95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
> Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает
> ((( разве никто не может помочь? (((
- IPSec ASA+MTK, Velos, 00:01 , 22-Авг-11 (7)
Доборого времени суток.
можно вывод команд
1)sho route
2)sho version?
- IPSec ASA+MTK, alpolle, 10:52 , 22-Авг-11 (8)
> Доборого времени суток.
> можно вывод команд
> 1)sho route
> 2)sho version
> ?# sh route
Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0 C 192.168.123.0 255.255.255.0 is directly connected, inside
C 10.10.10.0 255.255.255.252 is directly connected, outside
C 91.223.xxx.0 255.255.255.0 is directly connected, real
S* 0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real # sh version Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(3) Compiled on Mon 31-Jan-11 02:11 by builders
System image file is "disk0:/asa841-k8.bin"
Config file at boot was "startup-config" ASA up 1 day 16 hours Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB Я подозреваю, что проблема с НАТом...
Но где именно происходит затык - вот в чем вопрос...
- IPSec ASA+MTK, Aleks305, 14:09 , 22-Авг-11 (9)
>[оверквотинг удален]
> Compiled on Mon 31-Jan-11 02:11 by builders
> System image file is "disk0:/asa841-k8.bin"
> Config file at boot was "startup-config"
> ASA up 1 day 16 hours
> Hardware: ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600
> MHz
> Internal ATA Compact Flash, 256MB
> BIOS Flash M50FW016 @ 0xfff00000, 2048KB
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя.
Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию. - IPSec ASA+MTK, Velos, 15:12 , 22-Авг-11 (10)
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше...
Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям). 1) sho cry isa sa
2) sho cry ipsec sa real_cryptomap - должна быть только строка:
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 всё остальное - убить. Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть. crypto ikev1 enable inside - тоже ни к чему. Убивайте. ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре. ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4.
Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально. ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).
- IPSec ASA+MTK, Velos, 16:31 , 22-Авг-11 (12)
В текущей конфигурации нат кривой.Насколько я понял - нужно так: object network OBJ-192.168.123.0
network 192.168.123.0 255.255.255.0
object network OBJ-192.168.88.0
network 192.168.88.0 255.255.255.0
nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0
- IPSec ASA+MTK, Aleks305, 17:22 , 22-Авг-11 (13)
тоже с 8.4 не особо разбираюсь> nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static
> OBJ-192.168.88.0 OBJ-192.168.88.0 это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn
- IPSec ASA+MTK, Velos, 18:39 , 22-Авг-11 (14)
> это то что раньше называлось nat 0 для того чтобы заворачивать траф
> в туннель vpn Ну нат 0 как такового, насколько я понял, вообще нет.
Теперь это статическая запись о с директивой заменять source адрес сам на себя...
Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...
- IPSec ASA+MTK, alpolle, 12:23 , 23-Авг-11 (15)
> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?Всем спасибо за помощь, тему можно закрывать.
Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не только серые айпи локалки, но и хосты из ДМЗ с реальными адресами.
- IPSec ASA+MTK, Velos, 13:11 , 23-Авг-11 (16)
>[оверквотинг удален]
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Всем спасибо за помощь, тему можно закрывать.
> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
> только серые айпи локалки, но и хосты из ДМЗ с реальными
> адресами.Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам. Т.е. у Вас сейчас всё работает вот с этой строчкой?
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
- IPSec ASA+MTK, alpolle, 13:42 , 23-Авг-11 (17)
>[оверквотинг удален]
>> Всем спасибо за помощь, тему можно закрывать.
>> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
>> только серые айпи локалки, но и хосты из ДМЗ с реальными
>> адресами.
> Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и
> dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то
> нат по-пути стоять будет - он будет применяться именно к этим
> адресам.
> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???Получилось так, что АСА не видела, что находится за НАТом, т.к. у неё был реальный айпи.
И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
Правило НАТа сейчас выглядит так:
(inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24
- IPSec ASA+MTK, Aleks305, 16:32 , 23-Авг-11 (18)
>[оверквотинг удален]
>> нат по-пути стоять будет - он будет применяться именно к этим
>> адресам.
>> Т.е. у Вас сейчас всё работает вот с этой строчкой?
>>>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
> Получилось так, что АСА не видела, что находится за НАТом, т.к. у
> неё был реальный айпи.
> И соответственно NAT-Traversal не отрабатывал, и ESP не упаковывался в UDP.
> Правило НАТа сейчас выглядит так:
> (inside) to (real) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24
> destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 а на мой ответ по поводу закупки asa ответить можете?
- IPSec ASA+MTK, alpolle, 17:24 , 23-Авг-11 (19)
> а на мой ответ по поводу закупки asa ответить можете?покупали асу у официального дистрибутора с лицензией...
не скажу у кого, т.к. это будет рекламой...
тем более учитывая то, что Вы из Питера, то эта инфа вам не поможет, т.к. я из Украины ))
- IPSec ASA+MTK, Aleks305, 18:03 , 23-Авг-11 (20)
>> а на мой ответ по поводу закупки asa ответить можете?
> покупали асу у официального дистрибутора с лицензией...
> не скажу у кого, т.к. это будет рекламой...
> тем более учитывая то, что Вы из Питера, то эта инфа вам
> не поможет, т.к. я из Украины )) ок, спасибо. Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9 только. Так и должно быть?
- IPSec ASA+MTK, SyJet, 14:56 , 16-Ноя-12 (21)
> Доброго времени суток!
> Построил айписек туннель между ASA 5510 и микротиком.
> Сам по себе туннель поднимается, все фазы проходят.
> НО! Внутри туннеля пакеты не ходят.
> Т.е. из одной локалки не могу даже пропинговать другую.
> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
> В чём грабли?Прошу прощение за оффтоп. Как с вами связаться можно?
По вопросу cisco+webcashe
|
Версия для распечатки
IPSec ASA+MTK, 
