The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Cisco asa 5515 + Mikrotik 951"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger email(ok) on 31-Июл-15, 18:02 
Доброго времени суток. Стала задача установить в главный офис Cisco ASA 5515 как центральный маршрутизатор. На филиалах имеются маршрутизаторы Mikrotik 951Ui-2HnD. В главном офисе на данный момент установлен и работает Mikrotik 2011UiAS. Имеется необходимость заменить Mikrotik 2011UiAS асой, даже не заменить, а установить Cisco ASA 5515 как главный роутер, а Mikrotik 2011UiAS как бэкап роутер.
Каждый офис находится в своей подсети, маршрутизацию обеспечивает OSPF.
Mikrotik 2011UiAS выступает на данный момент в роли VPN сервера для удаленных клиентов и связи с удаленными офисами посредствам туннелей типа IPIP и GRE, настроен OSPF, PBR и большое количество правил в фаерволе, мангле и нате преследующих разного рода задачи по фильтрации и обработке трафика.
Вопрос такого плана: какой тип подключения наилучшим образом подойдет для связи между Cisco ASA 5515 и удаленными микротиками ? Site to site IPsec создаст большую нагрузку на микротики да и OSPF работать не будет ибо мультикаст трафик по такому туннелю не бегает. Проблема в том что ASA не поддерживает обычные протоколы туннелирования.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 31-Июл-15, 18:42 
Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить на Mikrotik 2011UiAS.

Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50% + IPSEC + OSPF и он в дауне. На сколько я понимаю Cisco покупали для разгрузки?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco asa 5515 + Mikrotik 951"  –1 +/
Сообщение от Merridius (ok) on 31-Июл-15, 23:40 
> Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
> Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить
> на Mikrotik 2011UiAS.
> Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50%
> + IPSEC + OSPF и он в дауне. На сколько я
> понимаю Cisco покупали для разгрузки?

Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.
ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.

Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики, policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего, нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.

А вот микротик это точно не роутер для Ынтерпрайза.

Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
ospf network point-to-point non-broadcast

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 01-Авг-15, 10:47 

> Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.

Про Catalyst 6500 никто и не говорит. Вот если бы был Catalyst 6500, то ...

> ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с
> DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.

Почти правильно, но у ASA есть более лучшее применение это использовать его в качестве фаервола + шифрование. Наверно поэтому Cisco его и относит к данным типам устройств.


> Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики,
> policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего,
> нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.

В данных инсталяциях ASA5520 в разных точках Интернета, или в одной сети?    

> А вот микротик это точно не роутер для Ынтерпрайза.

Смотря что понимать под словом Ынтерпрайз? Здесь, помоему, small business.

> Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
> ospf network point-to-point non-broadcast

И как предлагаете это сделать с условиями выше?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 03-Авг-15, 13:47 
Спасибо за ответы парни. Поделюсь с вами порцией информации, 2011 микротик держит порядко 100 юзверей в данный момент, средняя нагрузка цп 30-50% и половина памяти, при настроеных PPTP сервере туннелях на удаленные офисы, DHCP сервером для одного из филиалов, в фильтрах фаервола 30 правил и чуть больше в нате + до 10 правил в мангле, + OSPF, PBR. Вообщем сичтаю не плохой результат за такие деньги. ASA приобреталась для замены микротика. Про OSPF для работы в режиме юникаста - да можно так сделать. И вообще я в курсе что ASA в первую очередь сетевой экран, а во вторую роутер, просто порезанный. Вообще планировалось что ASA будет основным роутером, а микротик как бэкап (при 5 каналах в интернет). Жалко что ASA не поддерживает VRRP,  а вот PBR вроде как уже появилась поддержка. Вот у меня сейчас и стоит задача максимально задачи на ASA перебросить.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 03-Авг-15, 16:11 
Вообще конечно неплохо было бы настроить балансировку и резервирование, но ASA про балансировку вообще не слышала, а вот резервирование что-нибудь придумаю, может на IP SLA сделать. На микротике отлично настраивается и работает и то и другое. Настроил IPsec site to site - пока не взлетело, туннель устанавливается но трафик внутрь не заворачивается и не шифруется ничего. Вообщем пока конфиги выкидывать не буду рано еще, сам подебажу.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 06-Авг-15, 17:10 
На ASA IPsec настроен правильно и работает на 100%, проверял пробуя подключить Win7. Не могу победить настройки IPsec в Mikrotik. Для теста и понимания взял два микротика и настроил между ними IPsec. Настройки следующие:
Router A
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=Y.Y.Y.Y/32 dpd-maximum-failures=2 nat-traversal=no policy-template-group=group1 secret=test
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.8.0.1/24 comment="test network" interface=bridge network=10.8.0.0
/ip firewall nat
add chain=srcnat dst-address=10.7.0.0/24 src-address=10.8.0.0/24

Router B
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=X.X.X.X/32 dpd-maximum-failures=2 nat-traversal=no passive=yes policy-template-group=group1 \
    secret=test send-initial-contact=no
/ip ipsec policy
add dst-address=10.8.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=X.X.X.X sa-src-address=Y.Y.Y.Y src-address=10.7.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.7.0.1/24 interface=bridge network=10.7.0.0
/ip firewall nat
add chain=srcnat dst-address=10.8.0.0/24 src-address=10.7.0.0/24

Где 10.7.0.0/24 и 10.8.0.0/24 - тестовые подсетки созданные на роутерах. Правила фаервола приведенное выше для ната находится выше всех по приоритету для того чтобы трафик не натился. При выполнении команды  
ping 10.8.0.1 src-address=10.7.0.1
с Router B чтобы появился интересующий трафик для поднятия туннеля - реакции никакой. Все счетчики пустые, ничего не шифруется ну и пинг естественно не идет. Куда копать ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 07-Авг-15, 11:47 
При пинге какой исходящий src-address?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 07-Авг-15, 15:17 
> При пинге какой исходящий src-address?

10.7.0.1
Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 07-Авг-15, 18:43 
>> При пинге какой исходящий src-address?
> 10.7.0.1
> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.

tools traceroute ?
ip ipsec remoute-peers print ?
ip ipsec installed-sa print ?


system logging добавить логирование ipset кроме packet
логи что говорят ?

проблем с ipsec между mikrotik - mikrotik - нет
проблем с ipsec между mikrotik - cisco asa - нет
проблем с ipsec между mikrotik - cisco router - нет

возможные проблемы фаервол + маршрутизация.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 09-Авг-15, 20:30 
>[оверквотинг удален]
>> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
> tools traceroute ?
> ip ipsec remoute-peers print ?
> ip ipsec installed-sa print ?
> system logging добавить логирование ipset кроме packet
> логи что говорят ?
> проблем с ipsec между mikrotik - mikrotik - нет
> проблем с ipsec между mikrotik - cisco asa - нет
> проблем с ipsec между mikrotik - cisco router - нет
> возможные проблемы фаервол + маршрутизация.

tool traceroute 10.8.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1                                  100%    1 timeout
2 93.85.81.1                         0%    1   4.4ms     4.4     4.4     4.4       0
3 93.85.252.129                      0%    1    14ms      14      14      14       0 <MPLS:L=17931,E=0,T=255>
4 93.85.253.70                       0%    1  12.1ms    12.1    12.1    12.1       0 <MPLS:L=19180,E=0,T=255>
5 93.85.253.106                      0%    1  10.4ms    10.4    10.4    10.4       0
6 93.85.240.118                      0%    1    19ms      19      19      19       0
7                                  100%    1 timeout
8                                  100%    1 timeout
9                                  100%    1 timeout
10                                  100%    1 timeout
11                                    0%    1     0ms

ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
в установленных SA - пусто
ip ipsec installed-sa print
Flags: A - AH, E - ESP

Добавлю что в фаерволе добавлял правила
3    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

4    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""

5    ;;; Allow IPSec-ah
      chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Выше данных правил нет запрещающих правил.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 10-Авг-15, 21:16 
>[оверквотинг удален]
>> tools traceroute ?
>> ip ipsec remoute-peers print ?
>> ip ipsec installed-sa print ?
>> system logging добавить логирование ipset кроме packet
>> логи что говорят ?
>> проблем с ipsec между mikrotik - mikrotik - нет
>> проблем с ipsec между mikrotik - cisco asa - нет
>> проблем с ipsec между mikrotik - cisco router - нет
>> возможные проблемы фаервол + маршрутизация.
>  tool traceroute 10.8.0.1

забыл добавить
tool traceroute 10.8.0.1 src-address=10.7.0.1

> ip ipsec remote-peers print
>  0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
> в установленных SA - пусто
> ip ipsec installed-sa print
> Flags: A - AH, E - ESP

пустить пакеты с помощью ping или trace не забывая src-address= и  ip ipsec installed-sa print в студию. :)


> Добавлю что в фаерволе добавлял правила
>  3    ;;; Allow IKE
>       chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
>  4    ;;; Allow IPSec-esp
>       chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
>  5    ;;; Allow IPSec-ah
>       chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
> Выше данных правил нет запрещающих правил.

А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?

А что с логами?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 11-Авг-15, 14:42 
>[оверквотинг удален]
>> Добавлю что в фаерволе добавлял правила
>>  3    ;;; Allow IKE
>>       chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
>>  4    ;;; Allow IPSec-esp
>>       chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
>>  5    ;;; Allow IPSec-ah
>>       chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
>> Выше данных правил нет запрещающих правил.
> А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?
> А что с логами?

Точно, упустил сам, вот вывод трассировки:
tool traceroute 10.8.0.1 src-address=10.7.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1                                  100%    3 timeout
2                                  100%    3 timeout
3                                  100%    2 timeout
4                                  100%    2 timeout
5                                  100%    2 timeout
По установленным SA я уже писал, там пусто (
ip ipsec installed-sa print
Flags: A - AH, E - ESP
Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике появится 3-6 пакетов.
Разрешающие правила - не думаю что они здесь должны быть для сетей. Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет смысла писать отдельное правило указывающее еще и подсеть. В логах все пусто. Добавил логирование IPsec и вот что видно:
  (68 messages discarded)
echo: ipsec,debug,packet (lifetime = 86400:86400)
echo: ipsec,debug,packet (lifebyte = 0:0)
echo: ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC
echo: ipsec,debug,packet (encklen = 0:0)
echo: ipsec,debug,packet hashtype = SHA:SHA
echo: ipsec,debug,packet authmethod = pre-shared key:pre-shared key
echo: ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
echo: ipsec,debug,packet an acceptable proposal found.
echo: ipsec,debug,packet dh(modp1024)
echo: ipsec,debug,packet agreed on pre-shared key auth.
echo: ipsec,debug,packet ===
echo: ipsec,debug,packet compute DH's private.
[admin@Tolbuhina-R] >
  (159 messages discarded)
echo: ipsec,debug,packet 03000024 01010000 800b0001 000c0004 00015180 80010005 8                                                                                                                                                             0030001 80020002
echo: ipsec,debug,packet 80040002 00000028 02010000 800b0001 000c0004 00015180 8                                                                                                                                                             0010007 800e0080
echo: ipsec,debug,packet 80030001 80020002 80040002 011101f4 5639a89d
echo: ipsec,debug,packet hmac(hmac_sha1)
echo: ipsec,debug,packet HASH computed:
echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
echo: ipsec,debug,packet HASH for PSK validated.
echo: ipsec,debug,packet peer's ID:
echo: ipsec,debug,packet 011101f4 5639a89d
echo: ipsec,debug,packet ===
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi                                                                                                                                                             :1570fcca9cbd32ec:ce8e0447c42bfe59
echo: ipsec,debug,packet ===

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 11-Авг-15, 21:51 
>[оверквотинг удален]
>  100%    2 timeout
>  5          
>  100%    2 timeout
>  По установленным SA я уже писал, там пусто (
> ip ipsec installed-sa print
> Flags: A - AH, E - ESP
> Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики
> пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике
> появится 3-6 пакетов.
> Разрешающие правила - не думаю что они здесь должны быть для сетей.

разрешающие правила обязательны, если у вас не политика по умолчанию всё ACCEPT

> Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет
> смысла писать отдельное правило указывающее еще и подсеть. В логах все

IPSec пакеты тоже должны быть разрешены.

>[оверквотинг удален]
> echo: ipsec,debug,packet hmac(hmac_sha1)
> echo: ipsec,debug,packet HASH computed:
> echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
> echo: ipsec,debug,packet HASH for PSK validated.
> echo: ipsec,debug,packet peer's ID:
> echo: ipsec,debug,packet 011101f4 5639a89d
> echo: ipsec,debug,packet ===
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi      
>        :1570fcca9cbd32ec:ce8e0447c42bfe59
> echo: ipsec,debug,packet ===

ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.

Уберите, пожалуйста, в логах ipsec packet
инструкция вида /system logging add action=memory topics=ipsec,!packet

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 12-Авг-15, 17:46 
>[оверквотинг удален]
>> echo: ipsec,debug,packet HASH for PSK validated.
>> echo: ipsec,debug,packet peer's ID:
>> echo: ipsec,debug,packet 011101f4 5639a89d
>> echo: ipsec,debug,packet ===
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi
>>        :1570fcca9cbd32ec:ce8e0447c42bfe59
>> echo: ipsec,debug,packet ===
> ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.
> Уберите, пожалуйста, в логах ipsec packet
> инструкция вида /system logging add action=memory topics=ipsec,!packet

Добавил правила зеркальные на роутерах разрешающие прохождение пакетов из тестовых подсетей
[admin@Tolbuhina-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=input action=accept src-address=10.7.0.0/24 in-interface=PPTP-ADSL log=no log-prefix=""

1    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

2    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""

3    ;;; Allow IPSec-ah
      chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Настроил logging как Вы просили.
[admin@Tolbuhina-R] >  system logging add action=echo topics=ipsec,!packet
[admin@Tolbuhina-R] >
echo: ipsec,debug initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
echo: ipsec,debug begin Identity Protection mode.
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:0000000000000000
echo: ipsec,debug received Vendor ID: CISCO-UNITY
echo: ipsec,debug received Vendor ID: DPD
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 13-Авг-15, 09:49 
[оверквотинг удален]
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece

Первая фаза ipsec закончена.
Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)

проблема в
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes

dst-address=10.7.0.0/32 должен быть 10.7.0.0/24

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 13-Авг-15, 10:29 
> [оверквотинг удален]
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
> Первая фаза ipsec закончена.
> Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)
> проблема в
> /ip ipsec policy
> add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X
> src-address=10.8.0.0/24 tunnel=yes
> dst-address=10.7.0.0/32 должен быть 10.7.0.0/24

Спасибо огромное, не заметил, теперь заработало. Результат.
[admin@Tolbuhina-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP
0 E spi=0xC7F0AA3 src-address=Y.Y.Y.Y dst-address=X.X.X.X state=mature auth-algorithm=sha512
     enc-algorithm=aes-cbc auth-key="e32f900d62bc966180ba5b798a9b606753878bb639ce5f7a408edf9ca24942611edd19dcc50ee
         303b8245e95f8f04c16bb0f024dc1effa745bb411c3ebbe8dd1"
     enc-key="f8b6864e6232382ce68a281581ce84aaa65de9cba2b0ec494144393f21f8d8dc" addtime=aug/13/2015 10:10:07
     expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128

1 E spi=0xA4B37CC src-address=X.X.X.X dst-address=Y.Y.Y.Y state=mature auth-algorithm=sha512
     enc-algorithm=aes-cbc auth-key="562e31aee8030ca91707eac4fa0525d42fa39f02ce1fdf2738091ca63cab2f5b27bd33fc71f2b
         d0a9ac0d56a3281f3796974dc6579e285f5bd54a8b7ba293e9a"
     enc-key="65848362fdaeb533f88742c6f8009d1dca2f928ff38319776e520f969747b2e5" addtime=aug/13/2015 10:10:07
     expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128
[admin@Tolbuhina-R] > tool traceroute 10.7.0.1 src-address=10.8.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1 10.7.0.1                           0%    6   9.9ms    34.5     9.8   156.8    54.7

Теперь можно с чистой совестью пытаться с ASA один из mikrotik-ов подружить.
О результатах также напишу.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 13-Авг-15, 11:37 
Решил проверить статистику, а там всё по нулям : (. Получается что трафик не шифруется
[admin@R] > ip ipsec statistics print
                  in-errors: 0
           in-buffer-errors: 0
           in-header-errors: 0
               in-no-states: 0
   in-state-protocol-errors: 0
       in-state-mode-errors: 0
   in-state-sequence-errors: 0
           in-state-expired: 0
        in-state-mismatches: 0
           in-state-invalid: 0
     in-template-mismatches: 0
             in-no-policies: 0
          in-policy-blocked: 0
           in-policy-errors: 0
                 out-errors: 0
          out-bundle-errors: 0
    out-bundle-check-errors: 0
              out-no-states: 94
  out-state-protocol-errors: 0
      out-state-mode-errors: 0
  out-state-sequence-errors: 0
          out-state-expired: 0
         out-policy-blocked: 0
            out-policy-dead: 0
          out-policy-errors: 0
[admin@Tolbuhina-R] > ip ipsec statistics print
                  in-errors: 0
           in-buffer-errors: 0
           in-header-errors: 0
               in-no-states: 0
   in-state-protocol-errors: 0
       in-state-mode-errors: 0
   in-state-sequence-errors: 0
           in-state-expired: 0
        in-state-mismatches: 0
           in-state-invalid: 0
     in-template-mismatches: 0
             in-no-policies: 0
          in-policy-blocked: 0
           in-policy-errors: 0
                 out-errors: 0
          out-bundle-errors: 0
    out-bundle-check-errors: 0
              out-no-states: 2
  out-state-protocol-errors: 0
      out-state-mode-errors: 0
  out-state-sequence-errors: 0
          out-state-expired: 0
         out-policy-blocked: 0
            out-policy-dead: 0
          out-policy-errors: 0

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 13-Авг-15, 13:20 
> Решил проверить статистику, а там всё по нулям : (. Получается что
> трафик не шифруется

можете проверить командой
ip ipsec installed-sa print
там есть строка current-bytes=...
вот она и показывает сколько трафика зашифровано в текущей сесии


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 13-Авг-15, 13:39 
>> Решил проверить статистику, а там всё по нулям : (. Получается что
>> трафик не шифруется
> можете проверить командой
> ip ipsec installed-sa print
> там есть строка current-bytes=...
> вот она и показывает сколько трафика зашифровано в текущей сесии

Да видно что объем трафика есть, более того он растет. А я даже не вчитывался в название счетчиков, а теперь решил прочитать их, получается там большая часть показывает ошибки. Вообщем вроде все ок.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 04-Ноя-15, 10:05 
Удалось выкроить немного времени для дальнейшей настройки. На данный момент за микротиком 10.7.0.0/24 подсеть, за асой 10.6.0.0/24. Ситуация следующая. Конфиг Mikrotik:
[admin@Brest-R] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0    address=1.1.1.1/32 local-address=2.2.2.2 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=2
[admin@Brest-R] >ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=test priority=0
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0    name="test" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=none
На микротике видно что сессия установилась, но в установленных SA пусто.
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=initiator established=18h11m6s
При пинге с микротика на циску  видно что не может найти зеркальный ACL:
[admin@Brest-R] > ping 10.6.0.254 src-address=10.7.0.1
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 10.6.0.254                                              timeout
  sent=5 received=0 packet-loss=100%
echo: ipsec,debug new acquire 2.2.2.2 [0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Ниже конфиги циски:
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ikev1 enable WAN
Вот сам ACL
access-list WAN_cryptomap line 1 extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0 (hitcnt=3) 0xf48c7385
Transform-set- ов создано большое количество чтобы наверняка поднялся туннель как и crypto ikev1 policy. В любом случае ikev1 поднимается, но SA не устанавливается из-за якобы отсутствия ACL. Это говорит и сама ASA.
ASA# show crypto ikev1 sa
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
ASA# show crypto isakmp sa detail
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
    Encrypt : 3des            Hash    : SHA
    Auth    : preshared       Lifetime: 86400
    Lifetime Remaining: 19844
Если посмотреть в детали сессии через ASDM (через консоль не нашел) VPN Statistics/Session/Session detail/ACL то видно
ACL is not applied to this session
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 11-Ноя-15, 17:43 
Вообщем как ни крути не поднимается вторая стадия, не устанавливается IPsec-SA.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 15-Ноя-15, 15:46 
что говорит mikrotik на ip ipsec installed-sa print

с cisco пинг проборали?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger email(ok) on 15-Ноя-15, 17:22 
> что говорит mikrotik на ip ipsec installed-sa print
> с cisco пинг проборали?

Там пусто, только в первые секунды появляется запись с статусом larval т.е. пытается установится SA, но ничего не получается и конечно же запись пропадает полностью. И да, пинг запускал конечно, дабы туннели поднялись, с обоих сторон. Я уже на cisco форуме тему поднял https://supportforums.cisco.com/discussion/12702696/cisco-as... .

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 16-Ноя-15, 00:44 
какой dh-group на cisco?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 16-Ноя-15, 09:45 
> какой dh-group на cisco?

Все профили созданы с group 2. Просто у меня создано 15 политик с разными типами аутентификации, алгоритмами шифрования и хэширования чтобы хоть какой-то заработал. Но везде вторая группа.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 16-Ноя-15, 20:26 
на cisco:
sh crypto ipsec sa
sh crypto isakmp sa
+
на Mikrotike
ip ipsec remote-peers print
ip ipsec installed-sa print


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 17-Ноя-15, 10:29 
> на cisco:
> sh crypto ipsec sa
> sh crypto isakmp sa
> +
> на Mikrotike
> ip ipsec remote-peers print
> ip ipsec installed-sa print

На АСЕ:
ASA# show crypto ipsec sa
There are no ipsec sas

ASA# show crypto isakmp sa
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 1 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_REKEY_DONE_H2
2   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : yes             State   : MM_ACTIVE_REKEY
There are no IKEv2 SAs

На микротике:
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator established=4h15m9s

[admin@Brest-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 17-Ноя-15, 19:57 
на Mikrotike
ip ipsec policy print
на асе
sh ru | include crypto
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger email(ok) on 17-Ноя-15, 23:00 
> на Mikrotike
> ip ipsec policy print
> на асе
> sh ru | include crypto

На микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
       sa-dst-address=x.x.x.x proposal=mikrotik/mikrotik priority=0

1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all
       proposal=default template=yes

2     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
       sa-dst-address=1.1.1.1 proposal=newland priority=0

На ASA:
ASA# sh ru | include crypto
access-list WAN_cryptomap extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ca trustpoint ASDM_trustpoint
crypto ca trustpool policy
crypto ca certificate chain ASDM_trustpoint
crypto ikev1 enable WAN
crypto ikev1 policy 10
crypto ikev1 policy 20
crypto ikev1 policy 30
crypto ikev1 policy 40
crypto ikev1 policy 50
crypto ikev1 policy 60
crypto ikev1 policy 70
crypto ikev1 policy 80
crypto ikev1 policy 90
crypto ikev1 policy 100
crypto ikev1 policy 110
crypto ikev1 policy 120
crypto ikev1 policy 130
crypto ikev1 policy 140
crypto ikev1 policy 150

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 18-Ноя-15, 00:04 
на микротике
ip ipsec remote-peers print
интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
в качестве протоколов рекомендую des + sha, а дальше можно повышать до aes.
про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
причём доступ полный.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 18-Ноя-15, 09:49 
> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.

[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator
   established=3h27m34s
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024

1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none

2    name="mikrotik/mikrotik" auth-algorithms=sha512 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none
Привожу верхние правила:
[admin@Brest-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; Allow ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; Allow related and established connections
      chain=input action=accept connection-state=established,related log=no log-prefix=""

2    ;;; Forward established and related connections
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

3    chain=input action=accept src-address=10.8.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""

4    chain=input action=accept src-address=10.6.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""

5    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

6    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
И правила в нате:
[admin@Brest-R] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.8.0.0/24 log=no log-prefix=""

1    chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.6.0.0/24 log=no log-prefix=""
Попробую в proposal на микротике и в transform set-ах на АСЕ поиграться с параметрами.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 18-Ноя-15, 12:48 
> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.

Менял на Des+sha как и было поднимается только первая фаза, вторая при попытке инициализации сразу сваливается в фэйл:
echo: ipsec,debug new acquire 2.2.2.2[0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Сейчас так на микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=3.3.3.3 proposal=mikrotik/mikrotik priority=0
1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
2     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=newland priority=0
На асе ка было выше куча профилей чтобы хоть что-то подошло.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от Roman (??) on 18-Ноя-15, 20:31 
вот ошибка  не инициализации фазы 2:
1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none


pfs-group=none

предполагаю что должно быть

pfs-group=modp1024
как минимум.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 19-Ноя-15, 09:28 
> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.

IPsec должен и без pfs подниматься. В любом случае попробовал, включил зеркально, на Микротике:
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024

1    name="newland" auth-algorithms=sha1 enc-algorithms=des lifetime=1d pfs-group=modp1024
И на АСЕ:
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set pfs
crypto map WAN_map 1 set peer 86.57.168.157
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN

Эффект, тот-же (. Если что в АСЕ под crypto map WAN_map 1 set pfs подразумевается вторая группа 1024 которая.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 19-Ноя-15, 12:10 
> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.

Вообщем решил перенастроить почти все с нуля подбирая параметры первой и второй фаз. Наконец туннель поднялся. Менял потихоньку параметры. В итоге вот что получилось:
Mikrotik:
[admin@Brest-R] > ip ipsec peer export
# nov/19/2015 13:02:46 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec peer
add address=1.1.1.1/32 dpd-maximum-failures=2 enc-algorithm=aes-256 local-address=2.2.2.2 \
    nat-traversal=no secret=test
[admin@Brest-R] > ip ipsec proposal export
# nov/19/2015 13:02:57 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec proposal
add auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-256-cbc lifetime=1d name=newland
[admin@Brest-R] > ip ipsec policy export
# nov/19/2015 13:03:04 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec policy group
set
/ip ipsec policy
add dst-address=10.6.0.0/24 proposal=newland sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 \
    src-address=10.7.0.0/24 tunnel=yes
Cisco ASA:
!
interface GigabitEthernet0/1
description Internet from ISP Aichina
nameif WAN
security-level 0
ip address 1.1.1.1 255.255.255.224
!
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
!
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map interface WAN
crypto isakmp identity address
crypto ikev1 enable WAN
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
group-policy GroupPolicy_2.2.2.2 internal
group-policy GroupPolicy_2.2.2.2 attributes
vpn-tunnel-protocol ikev1
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 general-attributes
default-group-policy GroupPolicy_2.2.2.2
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *******************
ikev2 remote-authentication certificate
ikev2 local-authentication pre-shared-key *******************


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger (ok) on 19-Ноя-15, 13:21 
> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.

Да и из интереса проверил, работает как с pfs так и без него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность работы.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от jeekey email(ok) on 07-Сен-16, 15:01 

> Да и из интереса проверил, работает как с pfs так и без
> него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность
> работы.

Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger email(ok) on 07-Сен-16, 15:40 
> Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
> Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.

Я не сидел 4 месяца над этой задачей : ). В данный момент конкретно site to site соединение между микротиками и асой не задействовано по ряду причин (не технических). В момент тестирования проверил туннель держался стабильно в течение суток, но до активного использования и длительного поддержания тогда не проверял.
Но могу добавить то что на асе настроен Site to site с другой железкой, совершенно другого вендора - если туннель разваливается по техническим причинам, то они, не зависили от асы. Также на асе настроен L2tp сервер - работает как часы.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от jeekey email(ok) on 08-Сен-16, 11:56 

> Я не сидел 4 месяца над этой задачей : ). В данный
> момент конкретно site to site соединение между микротиками и асой не
> задействовано по ряду причин (не технических). В момент тестирования проверил туннель
> держался стабильно в течение суток, но до активного использования и длительного
> поддержания тогда не проверял.
> Но могу добавить то что на асе настроен Site to site с
> другой железкой, совершенно другого вендора - если туннель разваливается по техническим
> причинам, то они, не зависили от асы. Также на асе настроен
> L2tp сервер - работает как часы.

Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa. Посмотрим что из этого выйдет :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Cisco asa 5515 + Mikrotik 951"  +/
Сообщение от falanger email(ok) on 08-Сен-16, 12:04 
> Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa.
> Посмотрим что из этого выйдет :)

Нет не с zyxel. А вообще что site to site, что L2TP over IPSEC соединение микротика с асой работают.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру