The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec between cisco and unknown"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 05-Мрт-07, 16:54 
Добрый день

Дали мне данные для поднятия туннеля с головной компанией. Что стоит с их стороны незнаю, но не cisco точно.

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 3600
crypto isakmp key test address 212.xx.xx.xx
crypto isakmp keepalive 30 5
!
!
crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac
!
crypto map MOJA_MAPA local-address Ethernet0/1
crypto map MOJA_MAPA 10 ipsec-isakmp
description Tunnel toPRN0006
set peer 212.xx.xx.xx
set transform-set PRN0006
match address KRYPTO_LIST
!
interface Ethernet0/0
description Link v lokalku
ip address 192.168.132.1 255.255.255.0
!
interface Ethernet0/1
description Link vneshniy na ISP
ip address 193.xx.xx.xx 255.255.255.224
crypto map MOJA_MAPA
!
ip route 0.0.0.0 0.0.0.0 193.xx.xx.xx
!
!
!
ip access-list extended KRYPTO_LIST
permit ip 192.168.132.0 0.0.0.255 10.0.0.0 0.255.255.255


Пинги не ходят. Ключами обменивается нормально (по дебагу видно). Почему идут send errors и что еще можно посмотреть ?

sh crypto ipsec sa

interface: Ethernet0/1
    Crypto map tag: MOJA_MAPA, local addr. 193.xx.xx.xx

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.132.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0)
   current_peer: 212.xx.xx.xx:500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 427, #recv errors 0

     local crypto endpt.: 193.xx.xx.xx, remote crypto endpt.: 212.xx.xx.xx
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/1
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec between cisco and unknown"  +/
Сообщение от asto email(ok) on 06-Мрт-07, 10:34 
А что за железка? Cisco PIX?
Покажи
sh crypto isakmp sa
sh access-list KRYPTO_LIST
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 06-Мрт-07, 11:27 
>А что за железка? Cisco PIX?
>Покажи
>sh crypto isakmp sa
>sh access-list KRYPTO_LIST

Железка 2620 c IOS c2600-ik9o3s3-mz.123-20.bin (до этого пробовал на 3620, конфиг из нее постил, но на 2620 теперь вместо eth0/0 и eth0/1 стоят fast0/0 и fast1/0)

Да, узнал что с другой стороны - D-Link DFL-1600

sh crypto isakmp sa
dst             src             state          conn-id slot
212.xx.xx.xx   193.xx.xx.xx QM_IDLE              1    0

sh access-list KRYPTO_LIST
Extended IP access list KRYPTO_LIST
    10 permit ip 192.168.132.0 0.0.0.255 10.0.0.0 0.255.255.255 (5 matches)

5 matches из-за того что ребутал и сделал пинг 5 пакетов. Теперь #send errors 5 в sh crypto ipsec sa

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec between cisco and unknown"  +/
Сообщение от bfc email(??) on 06-Мрт-07, 12:29 
Посмотри тут
http://www.dlink.ru/technical/faq_vpn_1.php
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 06-Мрт-07, 12:37 
>Посмотри тут
>http://www.dlink.ru/technical/faq_vpn_1.php

Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет. Доступа к конфигам D-Link не имею. Поэтому и вопрос где может быть ошибка приводящая к таким последствиям.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec between cisco and unknown"  +/
Сообщение от bfc email(??) on 06-Мрт-07, 16:20 
>>Посмотри тут
>>http://www.dlink.ru/technical/faq_vpn_1.php
>
>Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет.
>Доступа к конфигам D-Link не имею. Поэтому и вопрос где может
>быть ошибка приводящая к таким последствиям.

Для начала маршрут в туннель
ip route xxxxxxxxx Eth0/1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPSec between cisco and unknown"  +/
Сообщение от bfc email(??) on 06-Мрт-07, 16:23 
crypto map MOJA_MAPA 10 ipsec-isakmp
попробовать добавить
set pfs group2
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 06-Мрт-07, 16:37 
>crypto map MOJA_MAPA 10 ipsec-isakmp
>попробовать добавить
>set pfs group2


Добавил. Без изменений.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 06-Мрт-07, 16:36 
>>>Посмотри тут
>>>http://www.dlink.ru/technical/faq_vpn_1.php
>>
>>Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет.
>>Доступа к конфигам D-Link не имею. Поэтому и вопрос где может
>>быть ошибка приводящая к таким последствиям.
>
>Для начала маршрут в туннель
>ip route xxxxxxxxx Eth0/1

Попробовал, но это не принципиально, т.к. дефаулт туда-же глядит и пакеты попадают в crypto map. Результат тот самый.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "IPSec between cisco and unknown"  +/
Сообщение от bfc email(??) on 06-Мрт-07, 16:43 
последнее что можно сделать это поиграться с
crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac
если не известно как на противоположной стороне настроено
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "IPSec between cisco and unknown"  +/
Сообщение от Dmitriy Sirant email on 07-Мрт-07, 11:41 
>последнее что можно сделать это поиграться с
>crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac
>если не известно как на противоположной стороне настроено


А можно немного теории ? Если неправильный трансформ сет как это может отражаться на исходящих пакетах ? Ведь у меня ошибки при передаче возникают. Или если пакет передается то переданым он считается после того как с той стороны пришло подтверждение ?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "IPSec between cisco and unknown"  +/
Сообщение от фыл123 on 09-Сен-11, 16:54 
>[оверквотинг удален]
> 212.xx.xx.xx
>      path mtu 1500, ip mtu 1500, ip
> mtu idb Ethernet0/1
>      current outbound spi: 0
>      inbound esp sas:
>      inbound ah sas:
>      inbound pcp sas:
>      outbound esp sas:
>      outbound ah sas:
>      outbound pcp sas:

А подскажите вы решили данную проблему? у меня просто похожая ситуация

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру