 route 804-805 ti pix 520,  nvinokurtsev, 24-Май-04, 09:43 [смотреть все]Всё делаю как написано на cisco.com!
но не работает выдают вот такое сообщение пикс
crypto_isakmp_process_block:src:212.19.128.158, dest:XXX.XXX.XXX.XXX spt:500 dpt:500
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 2766297323ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 3600
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= XXX.XXX.XXX.XXX, src= 212.19.128.158,
dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.1.50.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= XXX.XXX.XXX.XXX, src= 212.19.128.158,
dest_proxy= 10.1.50.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3 pixfirewall# sh crypto isa sa
Total : 3
Embryonic : 0
dst src state pending created
194.186.240.173 XXX.XXX.XXX.XXX QM_IDLE 0 1
XXX.XXX.XXX.XXX 212.19.128.158 QM_IDLE 0 0
XXX.XXX.XXX.XXX 212.19.128.158 QM_IDLE 0 0
pixfirewall# Т.е. фаза один как бы работает, а вот на фазе два ломаеться! Помогите не знаю уже чего делать!!!
PS. На этом же пиксе реализован PIX-to-PIX и клиенты VPN ходят нормально!
Чего делать ума не приложу!
|
- route 804-805 ti pix 520, ВОЛКА, 09:50 , 24-Май-04 (1)
> Чего делать ума не приложу!
конфиги показывать...
- route 804-805 ti pix 520, nvinokurtsev, 11:22 , 24-Май-04 (2)
Не вопрос! Вот конфиг пикса:
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-128-MD5
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-AES-256-MD5
crypto dynamic-map outside_dyn_map 40 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 194.186.240.173
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set peer 212.19.128.158
crypto map outside_map 40 set transform-set ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication TACACS+
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address ННН.ННН.ННН.ННН netmask 255.255.255.255 no-xauth no-config-mode
isakmp key ******** address 212.19.128.158 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption aes
isakmp policy 40 hash md5
isakmp policy 40 group 5
isakmp policy 40 lifetime 86400
isakmp policy 60 authentication pre-share
isakmp policy 60 encryption aes-256
isakmp policy 60 hash md5
isakmp policy 60 group 5
isakmp policy 60 lifetime 86400
isakmp policy 80 authentication pre-share
isakmp policy 80 encryption des
isakmp policy 80 hash md5
isakmp policy 80 group 1
isakmp policy 80 lifetime 86400
vpngroup sped address-pool sped_filial
vpngroup sped split-tunnel sped_splitTunnelAcl
vpngroup sped idle-time 1800
vpngroup sped password ********
vpngroup vpn3000 address-pool local_vpn
vpngroup vpn3000 dns-server 192.168.253.2 XXX.XXX.XXX.8
vpngroup vpn3000 default-domain tural.kz
vpngroup vpn3000 split-tunnel vpn3000_splitTunnelAcl
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
вот конфиг маршрутизатора:
crypto isakmp policy 11
hash md5
authentication pre-share
crypto isakmp key cisco address XXX.XXX.XXX.2 no-xauth
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer XXX.XXX.XXX.2
set transform-set sharks
match address 120
interface Dialer2
crypto map nolan
!
ip nat inside source route-map nolan interface Dialer2 overload
access-list 120 permit ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 120 permit ip 10.1.50.0 0.0.0.255 XXX.XXX.XXX.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 XXX.XXX.XXX.0 0.0.0.255
access-list 130 permit ip 10.1.50.0 0.0.0.255 any
route-map nonat permit 10
match ip address 130
- route 804-805 ti pix 520, nvinokurtsev, 11:38 , 24-Май-04 (3)
В настройки маршрутизатора вкралась ошибочка! вот так правильно тратовать нужно
ip nat inside source route-map nonat interface Dialer2 overload
!
access-list 120 permit ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 120 permit ip 10.1.50.0 0.0.0.255 212.154.132.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 192.168.253.0 0.0.0.255
access-list 130 deny ip 10.1.50.0 0.0.0.255 212.154.132.0 0.0.0.255
access-list 130 permit ip 10.1.50.0 0.0.0.255 any
!
route-map nonat permit 10
match ip address 130 - route 804-805 ti pix 520, ВОЛКА, 11:42 , 24-Май-04 (4)
- route 804-805 ti pix 520, nvinokurtsev, 11:47 , 24-Май-04 (5)
Вот они!
access-list outside_cryptomap_40 line 1 permit ip host 192.168.253.20 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 2 permit ip host 192.168.253.30 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 3 permit ip host 192.168.253.101 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 4 permit ip host 192.168.253.20 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 5 permit ip host 192.168.253.30 10.1.50.0 255.255.255.0 (hitcnt=0)
access-list dmz2_outbound_nat0_acl line 6 permit ip host 192.168.253.101 10.1.50.0 255.255.255.0 (hitcnt=0)
- route 804-805 ti pix 520, nvinokurtsev, 12:49 , 24-Май-04 (6)
Прикол в другом! если я с сетки 192.168.253.0 пытаюсь делать пинги на сетку 10.1.50.0 то всё нормально стартует и работает до того момента как упадёт тунель, а потом снова не работает!
Прикольно!!!
- route 804-805 ti pix 520, nvinokurtsev, 13:20 , 24-Май-04 (9)
И еще ... работает только один ИП на выход, а два не работают! Странно! А нужно чтобы работало как минимум два ИП одновременно!!!
- route 804-805 ti pix 520, ВОЛКА, 13:01 , 24-Май-04 (7)
- route 804-805 ti pix 520, nvinokurtsev, 13:08 , 24-Май-04 (8)
а как это победить? мне бы надо наоборот чтобы работало! Так как железка уйдёт в филиала, он будет где-то за 3-4 тыс.км. А надо чтобы из филиала устанавливали соединение, т.е. с маршрутизатора а не с пикса как сейчас!!!!
- route 804-805 ti pix 520, Volume, 13:35 , 24-Май-04 (10)
>а как это победить? мне бы надо наоборот чтобы работало! Так как
>железка уйдёт в филиала, он будет где-то за 3-4 тыс.км. А
>надо чтобы из филиала устанавливали соединение, т.е. с маршрутизатора а не
>с пикса как сейчас!!!! документацию надо почитать еще раз и повнимательней
- route 804-805 ti pix 520, nvinokurtsev, 13:41 , 24-Май-04 (11)
А если ткнуть носом где читать? Мне в принципе нужно чтобы маршрутизатор устанавливал соединение, а пикса тупо ждал когда к нему придут - route 804-805 ti pix 520, nvinokurtsev, 13:58 , 24-Май-04 (12)
- route 804-805 ti pix 520, nvinokurtsev, 15:27 , 24-Май-04 (13)
Ну народ! Чего идей нету чтоль??? А то горю! Ехать надоть в филиал через два дня, а она уже неделю как не работает!!!!
- route 804-805 ti pix 520, ВОЛКА, 16:22 , 24-Май-04 (14)
написать симметричные списки доступа...
- route 804-805 ti pix 520, nvinokurtsev, 05:49 , 25-Май-04 (15)
Да как бы списки доступа уже сделаны давно, просто в первом примере я с двух разных версий конфигов взял и не много ошибся, так сказать!
Посему версию о несиметричности листов отпадают сразу же!
А вот почему пикс ругаеться на
ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3 Вот это не понятно!!!
- route 804-805 ti pix 520, nvinokurtsev, 06:47 , 25-Май-04 (17)
Вот тут видно что правила как бы срабатывают! Идёт коннект
с адресов 10.2.0.0 255.255.255.0 на адреса 192.168.253.0 255.255.255.0ISAKMP (0): processing SA payload. message ID = 1116307544 ISAKMP : Checking IPSec proposal 1 ISAKMP: transform 1, ESP_DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 3600
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
dest_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3
Кстати а что за фраза
IPSEC(validate_transform_proposal): proxy identities not supported
За что она отвечает???
- route 804-805 ti pix 520, AlexDv, 13:12 , 25-Май-04 (19)
>Вот тут видно что правила как бы срабатывают! Идёт коннект
>с адресов 10.2.0.0 255.255.255.0 на адреса 192.168.253.0 255.255.255.0
>
>ISAKMP (0): processing SA payload. message ID = 1116307544
>
>ISAKMP : Checking IPSec proposal 1
>
>ISAKMP: transform 1, ESP_DES
>ISAKMP: attributes in transform:
>ISAKMP: encaps is 1
>ISAKMP: SA life type in seconds
>ISAKMP: SA life duration (basic) of 3600
>
>ISAKMP: SA life type in kilobytes
>ISAKMP: SA life duration (VPI) of
>0x0 0x46 0x50 0x0
>ISAKMP: authenticator is HMAC-MD5
>ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part #1,
> (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
> dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
> src_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
> protocol= ESP, transform= esp-des esp-md5-hmac ,
> lifedur= 0s and 0kb,
> spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
>
>IPSEC(validate_transform_proposal): proxy identities not supported
>IPSEC(validate_proposal_request): proposal part #1,
> (key eng. msg.) dest= XXX.XXX.XXX.X, src= 212.19.128.138,
> dest_proxy= 10.2.0.0/255.255.255.0/0/0 (type=4),
> src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
> protocol= ESP, transform= esp-des esp-md5-hmac ,
> lifedur= 0s and 0kb,
> spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
>
>IPSEC(validate_transform_proposal): proxy identities not supported
>
>ISAKMP: IPSec policy invalidated proposal
>ISAKMP (0): SA not acceptable!
>ISAKMP (0): sending NOTIFY message 14 protocol 3
>
>
>Кстати а что за фраза
>IPSEC(validate_transform_proposal): proxy identities not supported
>За что она отвечает???
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
- route 804-805 ti pix 520, nvinokurtsev, 13:39 , 25-Май-04 (20)
И вы хотите сказать, что я написал не правильно лист?
Вот листы с роутера:
Các806#sh ip acce 120
Extended IP access list 120
20 permit ip 10.1.51.0 0.0.0.255 192.168.253.0 0.0.0.255 (6589 matches)А вот на пиксе
access-list outside_cryptomap_40 line 1 permit ip host 192.168.253.20 10.1.51.0 255.255.255.0 (hitcnt=2948)
access-list outside_cryptomap_40 line 2 permit ip host 192.168.253.30 10.1.51.0 255.255.255.0 (hitcnt=0)
access-list outside_cryptomap_40 line 3 permit ip host 192.168.253.101 10.1.51.0 255.255.255.0 (hitcnt=0) Самое интересное что со стороны пикса на роут всё работает, а вот с роутера на пикс ломаеться
Пикс пишет вот такое
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
dest_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
dest_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 212.154.132.2, src= 212.19.128.144,
dest_proxy= 10.1.51.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.253.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
IPSEC(validate_transform_proposal): proxy identities not supported
- route 804-805 ti pix 520, nvinokurtsev, 05:50 , 25-Май-04 (16)
Кстати может быть у кого-нибудь есть готовый конфиг для работы роутера как обычного клиента VPN?
Поделитесь если не жалко
- route 804-805 ti pix 520, nvinokurtsev, 12:45 , 25-Май-04 (18)
Горю ну помогите чем-нибудь
- route 804-805 ti pix 520, nvinokurtsev, 15:35 , 25-Май-04 (21)
Заработало! Но только после того как на пиксе прописал всё сетку в листах 192.168.253.0, а без всей сетки почему-то не подымаеться!!!
|
Версия для распечатки
