Привет всем! Настроил я PIX и Windows. Связь по IPsec устанавливается, некоторое время держиться, потом подвисает IPsec на пиксе. Помогает только его перегрузка. Может кто сталкивался с это проблемой, может 7.1(2) еще сырая. С Cisco VPN Client и другими PIX такой проблемы нет.
на пиксе выставил: crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 1048576
Так вот на Win2003 те же значения,но он этих значений не достигает, обмен ключами происходит значительно раньше, после нескольки обменов по isakmp пикс подвисает (точнее только ipsec).
access-list zlobina extended permit ip 172.16.4.0 255.255.252.0 192.168.188.0 255.255.255.0
access-list anet_in extended permit icmp 192.168.188.0 255.255.255.0 172.16.4.0 255.255.252.0
no sysopt connection permit-vpn
isakmp identity address
isakmp enable anet
isakmp policy 100 authentication rsa-sig
isakmp policy 100 encryption 3des
isakmp policy 100 hash sha
isakmp policy 100 group 2
isakmp policy 100 lifetime 28800
isakmp disconnect-notify
isakmp reload-wait
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec security-association lifetime kilobytes 1048576
crypto map ufanet-map 100 match address zlobina
crypto map ufanet-map 100 set pfs
crypto map ufanet-map 100 set peer 10.200.0.89
crypto map ufanet-map 100 set transform-set 3DES-SHA
crypto map ufanet-map 100 set trustpoint ca-pix
crypto map ufanet-map 100 set reverse-route
crypto map ufanet-map interface anet
tunnel-group 10.200.0.89 type ipsec-l2l
tunnel-group 10.200.0.89 ipsec-attributes
trust-point ca-pix
isakmp keepalive disable
tunnel-group-map enable rules
tunnel-group-map 100 10.200.0.89
crypto ca trustpoint ca-pix
enrollment terminal
subject-name CN=pixgate, OU=DIT
serial-number
crl configure
crypto ca certificate map 100
subject-name attr cn eq asu-server
crypto ca certificate chain ca-pix
certificate 00cd0c9c9f4c2853a5
308203f7 308202df 020900cd 0c9c9f4c 2853a530 0d06092a 864886f7 0d010104
===============<
9b95eaf6 8cf7ab80 df90ecee 44dfb8dc 37f01a7c 5eacde9d 977982
quit
certificate ca 009573ddc94b4fee31
308204ee 308203d6 a0030201 02020900 9573ddc9 4b4fee31 300d0609 2a864886
===============<
55dbb56c eb07af34 186672eb c0945c32 948c
quit
route anet 192.168.188.0 255.255.255.0 10.200.1.1 1
Скрипт для поднятия ipsec на windows 2003:
===Начало==
set POLICY="Туннель IPSec"
set F_ACTION="Cisco VPN"
set FILTER_IN="Вх.трафик из туннеля"
set FILTER_OUT="Исх.трафик в туннель"
set MY_IP=10.200.0.89
set PIX_IP=10.200.1.21
set CACERT="<название сетификата>"
rem Политика безопасности
netsh ipsec static add policy name=%POLICY% mmpfs=yes mmsecmethods="3DES-SHA1-2"
rem Действие фильтра
netsh ipsec static add filteraction name=%F_ACTION% qmpfs=yes action=negotiate qmsecmethods="ESP[3DES,SHA1]:1048576k/3600s"
rem Списки фильтров IP
netsh ipsec static add filterlist name=%FILTER_IN%
netsh ipsec static add filterlist name=%FILTER_OUT%
rem Фильтр N1 172.16.4.0/22 <-> 192.168.188.0/24
set MyNET=192.168.188.0
set MyMASK=255.255.255.0
set RmNET=172.16.4.0
set RmMASK=255.255.252.0
netsh ipsec static add filter filterlist=%FILTER_IN% srcaddr=%RmNET% dstaddr=%MyNET% mirrored=no srcmask=%RmMASK% dstmask=%MyMASK%
netsh ipsec static add filter filterlist=%FILTER_OUT% srcaddr=%MyNET% dstaddr=%RmNET% mirrored=no srcmask=%MyMASK% dstmask=%RmMASK%
rem Правила безопасности IP
netsh ipsec static set defaultrule policy=%POLICY% activate=no
netsh ipsec static add rule name="1" policy=%POLICY% filterlist=%FILTER_IN% filteraction=%F_ACTION% tunnel=%MY_IP% conntype=lan rootca=йCERT%
netsh ipsec static add rule name="2" policy=%POLICY% filterlist=%FILTER_OUT% filteraction=%F_ACTION% tunnel=%PIX_IP% conntype=lan rootca=йCERT%
rem Назначение политики безопасности
netsh ipsec static set policy name=%POLICY% assign=yes
===конец===
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 12-Апр-06, 09:53 
