forum.opennet.ru - "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" (45)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
Сообщение от Willy_Permit_Access (ok) on 20-Авг-11, 16:36
Добрый день. Существует проблема, не могу подружить между собой Циску и Джуник, не поднимая GRE. Задача, поднять IPSEC. (насколько я знаю ASA не поддерживает GRE) IPsec поднят, согласование прошло со стороны асашки все работает моя сеть доступна через ipsec-vpn, а вот со стороны джунипера трафик тупо не заворачивается в туннель. Кто сталкивался с подобным или кто может помочь отпишитесь, выложу конфигу и обсудим. Заранее спасибо))))
Ответить \| Правка \| Cообщить модератору

Оглавление

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 18:00 , 20-Авг-11, (1)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Seva, 19:38 , 20-Авг-11, (2)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 21:55 , 20-Авг-11, (3)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 21:58 , 20-Авг-11, (4)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, с роутером дружил цисковским, 14:03 , 21-Авг-11, (5)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, с роутером дружил цисковским, 14:06 , 21-Авг-11, (6)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 14:16 , 21-Авг-11, (7)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 10:50 , 22-Авг-11, (8)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 15:19 , 23-Авг-11, (9)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 15:25 , 23-Авг-11, (10)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 16:29 , 23-Авг-11, (11)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 07:01 , 24-Авг-11, (12)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 09:42 , 24-Авг-11, (13)

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 10:29 , 24-Авг-11, (14)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 10:29 , 24-Авг-11, (15)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 11:33 , 24-Авг-11, (16)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 12:28 , 24-Авг-11, (17)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 07:09 , 25-Авг-11, (18)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 12:02 , 27-Окт-11, (19)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 12:06 , 27-Окт-11, (20)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 22:19 , 27-Окт-11, (21)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 12:40 , 28-Окт-11, (22)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 19:48 , 28-Окт-11, (23)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 15:03 , 31-Окт-11, (24)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 10:08 , 02-Ноя-11, (25)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 10:28 , 02-Ноя-11, (26)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 15:45 , 02-Ноя-11, (27)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 17:04 , 02-Ноя-11, (28)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 17:57 , 02-Ноя-11, (29)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 17:57 , 02-Ноя-11, (30)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 22:48 , 02-Ноя-11, (31)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 09:25 , 03-Ноя-11, (32)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 09:34 , 03-Ноя-11, (33)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 11:36 , 03-Ноя-11, (34)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 11:50 , 03-Ноя-11, (35)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 13:29 , 03-Ноя-11, (36)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 14:10 , 03-Ноя-11, (37)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 15:28 , 03-Ноя-11, (40)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 14:10 , 03-Ноя-11, (38)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 15:24 , 03-Ноя-11, (39)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 15:41 , 03-Ноя-11, (41)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 00:33 , 06-Ноя-11, (42)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 11:23 , 22-Дек-11, (43)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Aleks305, 14:05 , 22-Дек-11, (44)
VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, kopic, 14:40 , 12-Янв-12, (45)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 20-Авг-11, 18:00

одна из конфигурций которую пытался поднять
|
|
|
|
V

--------------------------Interface-----------------------------------

ge-0/0/1 {
    vlan-tagging;
    unit 3 {
        description untrust-link;
        vlan-id 3;
        family inet {
            address yyy.yyy.yyy.1/30;
   }
    }
    unit 4 {
        description trust;
        vlan-id 4;
        family inet {
            address aaa.aaa.aaa.1/30;
----------------------------------Zone's---------------------------------------
security-zone trust {
    address-book {
        address local-net aaa.aaa.aaa.aaa/24;
    }
    host-inbound-traffic {
        system-services {
            ping;
            traceroute;
            http;
        }
        protocols {
            all;
        }
    }
    interfaces {
        ge-0/0/1.4;

security-zone untrust {
    address-book {
        address remote-net bbb.bbb.bbb.bbb/27;
    }
    host-inbound-traffic {
        system-services {
            ike;
            ping;
            traceroute;

        }
        protocols {
            all;
        }
    }
    interfaces {
        ge-0/0/1.3;

    }
---------------------------------------Routing---------------------------------
static {
    route aaa.aaa.aaa.aaa/24 next-hop aaa.aaa.aaa.2;
    route xxx.xxx.xxx.xxx/32 next-hop yyy.yyy.yyy.2;
}

---------------------------------------------------------------------------
security ike
proposal Phase1_for_##### {
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 3600;
Policy Policy_for_##### {
    mode main;
    proposals Phase1_for_#####;
    pre-shared-key ascii-text "encrypted keys"; ## SECRET-DATA
gateway ##### {
    ike-policy Policy_for_#####;
    address xxx.xxx.xxx.xxx;
    external-interface ge-0/0/1.3;
------------------------------------------------------
security ipsec
proposal Phase-2_for_##### {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm 3des-cbc;
    lifetime-seconds 3600;
    lifetime-kilobytes 1048576;
policy Police_Phase2_for_##### {
    perfect-forward-secrecy {
        keys group2;
    }
    proposals Phase-2_for_#####;
vpn VPN_##### {
    ike {
        gateway #####;
        ipsec-policy Police_Phase2_for_#####;
    }
    establish-tunnels immediately;
}
------------------------------------------------------------
Policy
from-zone trust to-zone untrust {
    policy vpnpolicy-tr-unt {
        match {
            source-address local-net;
            destination-address remote-net;
            application any;
        }
        then {
            permit {
                tunnel {
                    ipsec-vpn #####;
                    pair-policy vpnpolicy-unt-tr;
                }
            }
        }
    }
    policy any-permit {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone untrust to-zone trust {
    policy vpnpolicy-unt-tr {
        match {
            source-address remote-net;
            destination-address local-net;
            application any;
        }
        then {
            permit {
                tunnel {
                    ipsec-vpn #####;
                    pair-policy vpnpolicy-tr-unt;
                }
            }
        }
    }
}
------------------------------------------------------------

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Seva (??) on 20-Авг-11, 19:38

попробуй убрать из ipsec:
perfect-forward-secrecy {
                keys group2

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 20-Авг-11, 21:55

> попробуй убрать из ipsec:
> perfect-forward-secrecy {
>
>     keys group2
на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA тоже возможно,надо разбираться. Подружил именно по l2l vpn.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 20-Авг-11, 21:58

>> попробуй убрать из ipsec:
>> perfect-forward-secrecy {
>>
>>     keys group2
на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте route-based vpn, a не policy-based, как у Вас сделано.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от с роутером дружил цисковским on 21-Авг-11, 14:03

>>> попробуй убрать из ipsec:
>>> perfect-forward-secrecy {
>>>
>>>     keys group2
> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
> route-based vpn, a не policy-based, как у Вас сделано.
С роутером тоже дружил, только GRE over IPsec. проблема в том что полиси не заворачивает трафик в VPN. если указывать роут за его енд поинт то трафик соответственно уходит через внешку. в понедельник попробую. отпишусь, спасибо.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от с роутером дружил цисковским on 21-Авг-11, 14:06

В понедельник скину другой вариант конфиги которую поднимал, существует небольшая проблема, у меня нет асашки))) асашки стоит у другой компании, поэтому нормально конфигу с ее стороны не могу посмотреть.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 21-Авг-11, 14:16

>>> попробуй убрать из ipsec:
>>> perfect-forward-secrecy {
>>>
>>>     keys group2
> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
> route-based vpn, a не policy-based, как у Вас сделано.
Что можете сказать по поводу роутинга.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 22-Авг-11, 10:50

>>>> попробуй убрать из ipsec:
>>>> perfect-forward-secrecy {
>>>>
>>>>     keys group2
>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>> route-based vpn, a не policy-based, как у Вас сделано.
> Что можете сказать по поводу роутинга.
ну как там у Вас получилось что-нить?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 23-Авг-11, 15:19

>>>>> попробуй убрать из ipsec:
>>>>> perfect-forward-secrecy {
>>>>>
>>>>>     keys group2
>>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>> route-based vpn, a не policy-based, как у Вас сделано.
>> Что можете сказать по поводу роутинга.
> ну как там у Вас получилось что-нить?
Да честно говоря пока нет. Работает в одну сторону , и то пинги прерываются((((

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 23-Авг-11, 15:25

>[оверквотинг удален]
>>>>>> perfect-forward-secrecy {
>>>>>>
>>>>>>     keys group2
>>>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>>> route-based vpn, a не policy-based, как у Вас сделано.
>>> Что можете сказать по поводу роутинга.
>> ну как там у Вас получилось что-нить?
> Да честно говоря пока нет. Работает в одну сторону , и то
> пинги прерываются((((
честно говоря курю маны уже второй день, и прихожу к выводу что (нереальному выводу) может блин не дружаться между собой асашка с джуником по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE over IPsec ASA не поддерживает

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 23-Авг-11, 16:29

>[оверквотинг удален]
>>>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>>>> route-based vpn, a не policy-based, как у Вас сделано.
>>>> Что можете сказать по поводу роутинга.
>>> ну как там у Вас получилось что-нить?
>> Да честно говоря пока нет. Работает в одну сторону , и то
>> пинги прерываются((((
> честно говоря курю маны уже второй день, и прихожу к выводу что
> (нереальному выводу) может блин не дружаться между собой асашка с джуником
> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
> over IPsec ASA не поддерживает
а конфиг asa актуальный есть? доступ можете временный дать - я бы тоже посмотрел. Вообщем пишите аську, я стукну

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 07:01

>[оверквотинг удален]
>>>>> Что можете сказать по поводу роутинга.
>>>> ну как там у Вас получилось что-нить?
>>> Да честно говоря пока нет. Работает в одну сторону , и то
>>> пинги прерываются((((
>> честно говоря курю маны уже второй день, и прихожу к выводу что
>> (нереальному выводу) может блин не дружаться между собой асашка с джуником
>> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
>> over IPsec ASA не поддерживает
> а конфиг asa актуальный есть? доступ можете временный дать - я бы
> тоже посмотрел. Вообщем пишите аську, я стукну
Да я с удовольствием бы сам покопался, но асашка стоит не у меня и даже не у нас в компании, так что ужасно, а еще если учесть что по ней пегает реальный трафик, то доступ удаленный на нее врядли дадут. По словам технаря который администрирует эту циску, все ништяк с его стороны

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 24-Авг-11, 09:42

>[оверквотинг удален]
>>> (нереальному выводу) может блин не дружаться между собой асашка с джуником
>>> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
>>> over IPsec ASA не поддерживает
>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>> тоже посмотрел. Вообщем пишите аську, я стукну
> Да я с удовольствием бы сам покопался, но асашка стоит не у
> меня и даже не у нас в компании, так что ужасно,
> а еще если учесть что по ней пегает реальный трафик, то
> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
> эту циску, все ништяк с его стороны
да я не про cisco, а про juniper. Плюс конфиг ASA нужен и все

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 10:29

>[оверквотинг удален]
>>>> over IPsec ASA не поддерживает
>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>> тоже посмотрел. Вообщем пишите аську, я стукну
>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>> меня и даже не у нас в компании, так что ужасно,
>> а еще если учесть что по ней пегает реальный трафик, то
>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>> эту циску, все ништяк с его стороны
> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
> и все
нашли траблу только она на стороне АСЫ. нарыл ASA после дебага

Deny TCP (no connection) "from remote net"/445 to "local"/62181 flags RST ACK  on interface inside
Denied ICMP type=0, from laddr куьщгеу host on interface inside to localinterfacetrust: no matching session
IPSEC: Received an ESP packet (SPI= 0xD1446D07, sequence number= 0x2) from "мой ендпоинт" (user= энд поинт) to мой эндпоинт.  The decapsulated inner packet doesn't match the negotiated policy in the SA.  The packet specifies its destination as мой эндпоинт, its source as мой эндпоинт, and its protocol as 1.  The SA specifies its local proxy as remotenet/255.255.255.0/0/0 and its remote_proxy as localnet/255.255.255.0/0/0.

Тоесть мой запрос уходит через тунель доходит до удаленного хоста, но ответ у себя рубит ASA. вот такая трабла.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 10:29

>[оверквотинг удален]
>>>> over IPsec ASA не поддерживает
>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>> тоже посмотрел. Вообщем пишите аську, я стукну
>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>> меня и даже не у нас в компании, так что ужасно,
>> а еще если учесть что по ней пегает реальный трафик, то
>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>> эту циску, все ништяк с его стороны
> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
> и все
если есть скайп напиши постучусь

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 24-Авг-11, 11:33

>[оверквотинг удален]
>>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>>> тоже посмотрел. Вообщем пишите аську, я стукну
>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>> меня и даже не у нас в компании, так что ужасно,
>>> а еще если учесть что по ней пегает реальный трафик, то
>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>> эту циску, все ништяк с его стороны
>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>> и все
> если есть скайп напиши постучусь
скайпа на работе не держу, а дома некогда будет пообщаться. только аська возможный вариант

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 12:28

>[оверквотинг удален]
>>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>>> меня и даже не у нас в компании, так что ужасно,
>>>> а еще если учесть что по ней пегает реальный трафик, то
>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>> эту циску, все ништяк с его стороны
>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>> и все
>> если есть скайп напиши постучусь
> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
> возможный вариант
Sergey Lesin ----> в аське постучись

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Willy_Permit_Access (ok) on 25-Авг-11, 07:09

>[оверквотинг удален]
>>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>>> меня и даже не у нас в компании, так что ужасно,
>>>> а еще если учесть что по ней пегает реальный трафик, то
>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>> эту циску, все ништяк с его стороны
>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>> и все
>> если есть скайп напиши постучусь
> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
> возможный вариант
Проблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему где подробно опишу и выложу подробный пример конфиги с двух сторон. Думаю поможет кому-нибудь.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 27-Окт-11, 12:02

Добрый день всем.
У меня аналогичная проблема с asa5505 и juniper srx100
Только ситуация выглядит вот как.
При загрузке джунипера туннель работает нормально.
Как только пропадает активность из сети джунипера, фазы ipsec падают по таймауту, фаза isakmp работает нормально. При проходе трафика из сети джунипера каналы ipsec не поднимаются. При проходе трафика со стороны ASA каналы поднимаются и начинают работать.
Помогите побороть ?
>[оверквотинг удален]
>>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>>> эту циску, все ништяк с его стороны
>>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>>> и все
>>> если есть скайп напиши постучусь
>> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
>> возможный вариант
> Проблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему
> где подробно опишу и выложу подробный пример конфиги с двух сторон.
> Думаю поможет кому-нибудь.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 27-Окт-11, 12:06

Конфиги с обоих сторон могу приложить.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 27-Окт-11, 22:19

> Конфиги с обоих сторон могу приложить.
У вас туннель ipsec появляется только когда трафик интересный(описанный acl) проходит.
Я так думаю.
проблема должна решаться строчкой на джуне
establish-tunnels immediately - это будет держать туннели в поднятом состоянии не в зависимости от наличия интересного трафика
на asa по-моему по-дефолту такой режим стоит

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 28-Окт-11, 12:40

Такая строчка прописана.
Результата положительного не добавляет. :(

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 28-Окт-11, 19:48

> Такая строчка прописана.
> Результата положительного не добавляет. :(
покажите конфиги!!!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 31-Окт-11, 15:03

Не охото сюда писать.
Постучитесь в icq 162877374 ?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 02-Ноя-11, 10:08

скинул линку в icq, общаться давайте тут, на работе icq нету %)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 02-Ноя-11, 10:28

> скинул линку в icq, общаться давайте тут, на работе icq нету %)
Для того чтобы туннели оставались поднятыми постоянно я делал route-based vpn на juniper. У тебя policy-based  - может в этом проблема.
isakamp подняты постоянно?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 02-Ноя-11, 15:45

На ASA подняты.
а можно пример route-based? это gre тунели чтоле?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 02-Ноя-11, 17:04

> На ASA подняты.
> а можно пример route-based? это gre тунели чтоле?
нет на джунипере надо - Asa не надо трогать.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 02-Ноя-11, 17:57

Можешь тогда дать пример конфига?
У меня есть тестовый джунипер, я на нем потренируюсь.
Можно так сделать?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 02-Ноя-11, 17:57

Могешь даже тот поправить, который я прислал.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 02-Ноя-11, 22:48

> Могешь даже тот поправить, который я прислал.
http://forums.juniper.net/t5/SRX-Services-Gateway/SRX240-to-... - вот здесь разбирайся.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 09:25

Конечно погляжу сегодня.
Но вот эта строчка меня сразу пугает :)
Anyone know if it's possible to add multiple proxy-identity networks
Ибо у меня несколько сетей надо пропускать(

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 09:34

2- Route based VPN. Here you can create multiple phase 2 VPN entries where you explicitly specify the proxy-IDs, then bind them to the same ST0.X interface.
Я думаю вот это спасет, поглядим днем.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 03-Ноя-11, 11:36

> 2- Route based VPN. Here you can create multiple phase 2 VPN
> entries where you explicitly specify the proxy-IDs, then bind them to
> the same ST0.X interface.
> Я думаю вот это спасет, поглядим днем.
я делал с одним st0.0 больше не практиковал Просто у меня сетку целую надо было связать. Несколько сложнее будет сконфигурировать - не пробовал, будет ли работать.отпишись тогда

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 11:50

А могешь конфиг таки прислать? а то интерфейсы я не создавал никогда, а в статье нету примера. Буду разбираться конечно, но хочется побыстрее)))

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 03-Ноя-11, 13:29

> А могешь конфиг таки прислать? а то интерфейсы я не создавал никогда,
> а в статье нету примера. Буду разбираться конечно, но хочется побыстрее)))
set interface st0.0 ???

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 14:10

Ну вот смотри чего я налабал. Нифига не работает.
Помогай, где чего не так?
interfaces {
    fe-0/0/0 {
        unit 0 {
            family inet {
                address 10.1.15.190/24;
            }
        }
    }
    fe-0/0/7 {
        unit 0 {
            family inet {
                address 192.168.21.254/24;
            }
        }
    }
    st0 {
        unit 0 {
            family inet;
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.1.15.2;
        route 10.1.15.0/24 next-hop st0.0;
    }
}
security {
    ike {
        proposal CustomerIKEP1-3des {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm md5;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 3600;
        }
        policy CustomerCity {
            mode main;
            proposals CustomerIKEP1-3des;
            pre-shared-key ascii-text "$9$F1uwnApO1RSlKB1db"; ## SECRET-DATA
        }
        gateway S2S-IKE-Gateway-CustomerCity {
            ike-policy CustomerCity;
            address 10.1.15.2;
            local-identity inet 10.1.15.190;
            external-interface fe-0/0/0;
        }
    }
    ipsec {
        proposal CustomerIPsecPhase2Proposal-3des {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 28800;
            lifetime-kilobytes 1048576;
        }
        policy CustomerIPsecPolicy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals CustomerIPsecPhase2Proposal-3des;
        }
        vpn CustomerAppCityVPN {
            bind-interface st0.0;
            ike {
                gateway S2S-IKE-Gateway-CustomerCity;
                proxy-identity {
                    local 192.168.21.0/24;
                    remote 10.1.15.0/24;
                    service any;
                }
                ipsec-policy CustomerIPsecPolicy;
            }
            establish-tunnels immediately;
    zones {
        security-zone trust {
            interfaces {
                st0.0;
                fe-0/0/7.0;
            }
        }
        security-zone untrust {
            interfaces {
                fe-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            ssh;
                            telnet;
                            ping;
                            ike;

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 03-Ноя-11, 15:28

как-то так
from-zone trust to-zone vpn {
policy loc-to-remote {
match {
source-address local1;
destination-address remote1;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy remote-to-loc {
match {
source-address remote1;
destination-address local1;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy any-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

38. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 14:10

даже первая фаза не строится(

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 03-Ноя-11, 15:24

> даже первая фаза не строится(
zone и zone-pair поменял?
То есть у тебя будет теперь 3 зоны trust,untrust и vpn. st0.0 в зоне vpn

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 03-Ноя-11, 15:41

неа) забыл.
Щас поменяю.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 06-Ноя-11, 00:33

> неа) забыл.
> Щас поменяю.
ну как дела?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 22-Дек-11, 11:23

>> неа) забыл.
>> Щас поменяю.
> ну как дела?
работает все ок.
Спасибо за помощь.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от Aleks305 (ok) on 22-Дек-11, 14:05

>>> неа) забыл.
>>> Щас поменяю.
>> ну как дела?
> работает все ок.
> Спасибо за помощь.
хорошо, что через 2 месяца ответил

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?" +/–

Сообщение от kopic (ok) on 12-Янв-12, 14:40

to Aleks305
А вот ещё у меня вопрос такой есть, как на нем поглядеть соединения?
на ASA есть команда sh conn - она кажет.
А вот у него есть команда show connections all и она ничего не выдает, все время пишет No matching connections found.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
Сообщение от Willy_Permit_Access (ok) on 20-Авг-11, 18:00
одна из конфигурций которую пытался поднять \| \| \| \| V --------------------------Interface----------------------------------- ge-0/0/1 { vlan-tagging; unit 3 { description untrust-link; vlan-id 3; family inet { address yyy.yyy.yyy.1/30; } } unit 4 { description trust; vlan-id 4; family inet { address aaa.aaa.aaa.1/30; ----------------------------------Zone's--------------------------------------- security-zone trust { address-book { address local-net aaa.aaa.aaa.aaa/24; } host-inbound-traffic { system-services { ping; traceroute; http; } protocols { all; } } interfaces { ge-0/0/1.4; security-zone untrust { address-book { address remote-net bbb.bbb.bbb.bbb/27; } host-inbound-traffic { system-services { ike; ping; traceroute; } protocols { all; } } interfaces { ge-0/0/1.3; } ---------------------------------------Routing--------------------------------- static { route aaa.aaa.aaa.aaa/24 next-hop aaa.aaa.aaa.2; route xxx.xxx.xxx.xxx/32 next-hop yyy.yyy.yyy.2; } --------------------------------------------------------------------------- security ike proposal Phase1_for_##### { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 3600; Policy Policy_for_##### { mode main; proposals Phase1_for_#####; pre-shared-key ascii-text "encrypted keys"; ## SECRET-DATA gateway ##### { ike-policy Policy_for_#####; address xxx.xxx.xxx.xxx; external-interface ge-0/0/1.3; ------------------------------------------------------ security ipsec proposal Phase-2_for_##### { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; lifetime-kilobytes 1048576; policy Police_Phase2_for_##### { perfect-forward-secrecy { keys group2; } proposals Phase-2_for_#####; vpn VPN_##### { ike { gateway #####; ipsec-policy Police_Phase2_for_#####; } establish-tunnels immediately; } ------------------------------------------------------------ Policy from-zone trust to-zone untrust { policy vpnpolicy-tr-unt { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { ipsec-vpn #####; pair-policy vpnpolicy-unt-tr; } } } } policy any-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy vpnpolicy-unt-tr { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { ipsec-vpn #####; pair-policy vpnpolicy-tr-unt; } } } } } ------------------------------------------------------------
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Seva (??) on 20-Авг-11, 19:38
	попробуй убрать из ipsec: perfect-forward-secrecy { keys group2
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 20-Авг-11, 21:55
	> попробуй убрать из ipsec: > perfect-forward-secrecy { > > keys group2 на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA тоже возможно,надо разбираться. Подружил именно по l2l vpn.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 20-Авг-11, 21:58
	>> попробуй убрать из ipsec: >> perfect-forward-secrecy { >> >> keys group2 на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте route-based vpn, a не policy-based, как у Вас сделано.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от с роутером дружил цисковским on 21-Авг-11, 14:03
	>>> попробуй убрать из ipsec: >>> perfect-forward-secrecy { >>> >>> keys group2 > на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA > тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте > route-based vpn, a не policy-based, как у Вас сделано. С роутером тоже дружил, только GRE over IPsec. проблема в том что полиси не заворачивает трафик в VPN. если указывать роут за его енд поинт то трафик соответственно уходит через внешку. в понедельник попробую. отпишусь, спасибо.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от с роутером дружил цисковским on 21-Авг-11, 14:06
	В понедельник скину другой вариант конфиги которую поднимал, существует небольшая проблема, у меня нет асашки))) асашки стоит у другой компании, поэтому нормально конфигу с ее стороны не могу посмотреть.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 21-Авг-11, 14:16
	>>> попробуй убрать из ipsec: >>> perfect-forward-secrecy { >>> >>> keys group2 > на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA > тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте > route-based vpn, a не policy-based, как у Вас сделано. Что можете сказать по поводу роутинга.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 22-Авг-11, 10:50
	>>>> попробуй убрать из ipsec: >>>> perfect-forward-secrecy { >>>> >>>> keys group2 >> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA >> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте >> route-based vpn, a не policy-based, как у Вас сделано. > Что можете сказать по поводу роутинга. ну как там у Вас получилось что-нить?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 23-Авг-11, 15:19
	>>>>> попробуй убрать из ipsec: >>>>> perfect-forward-secrecy { >>>>> >>>>> keys group2 >>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA >>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте >>> route-based vpn, a не policy-based, как у Вас сделано. >> Что можете сказать по поводу роутинга. > ну как там у Вас получилось что-нить? Да честно говоря пока нет. Работает в одну сторону , и то пинги прерываются((((
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 23-Авг-11, 15:25
	>[оверквотинг удален] >>>>>> perfect-forward-secrecy { >>>>>> >>>>>> keys group2 >>>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA >>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте >>>> route-based vpn, a не policy-based, как у Вас сделано. >>> Что можете сказать по поводу роутинга. >> ну как там у Вас получилось что-нить? > Да честно говоря пока нет. Работает в одну сторону , и то > пинги прерываются(((( честно говоря курю маны уже второй день, и прихожу к выводу что (нереальному выводу) может блин не дружаться между собой асашка с джуником по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE over IPsec ASA не поддерживает
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 23-Авг-11, 16:29
	>[оверквотинг удален] >>>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте >>>>> route-based vpn, a не policy-based, как у Вас сделано. >>>> Что можете сказать по поводу роутинга. >>> ну как там у Вас получилось что-нить? >> Да честно говоря пока нет. Работает в одну сторону , и то >> пинги прерываются(((( > честно говоря курю маны уже второй день, и прихожу к выводу что > (нереальному выводу) может блин не дружаться между собой асашка с джуником > по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE > over IPsec ASA не поддерживает а конфиг asa актуальный есть? доступ можете временный дать - я бы тоже посмотрел. Вообщем пишите аську, я стукну
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 07:01
	>[оверквотинг удален] >>>>> Что можете сказать по поводу роутинга. >>>> ну как там у Вас получилось что-нить? >>> Да честно говоря пока нет. Работает в одну сторону , и то >>> пинги прерываются(((( >> честно говоря курю маны уже второй день, и прихожу к выводу что >> (нереальному выводу) может блин не дружаться между собой асашка с джуником >> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE >> over IPsec ASA не поддерживает > а конфиг asa актуальный есть? доступ можете временный дать - я бы > тоже посмотрел. Вообщем пишите аську, я стукну Да я с удовольствием бы сам покопался, но асашка стоит не у меня и даже не у нас в компании, так что ужасно, а еще если учесть что по ней пегает реальный трафик, то доступ удаленный на нее врядли дадут. По словам технаря который администрирует эту циску, все ништяк с его стороны
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 24-Авг-11, 09:42
	>[оверквотинг удален] >>> (нереальному выводу) может блин не дружаться между собой асашка с джуником >>> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE >>> over IPsec ASA не поддерживает >> а конфиг asa актуальный есть? доступ можете временный дать - я бы >> тоже посмотрел. Вообщем пишите аську, я стукну > Да я с удовольствием бы сам покопался, но асашка стоит не у > меня и даже не у нас в компании, так что ужасно, > а еще если учесть что по ней пегает реальный трафик, то > доступ удаленный на нее врядли дадут. По словам технаря который администрирует > эту циску, все ништяк с его стороны да я не про cisco, а про juniper. Плюс конфиг ASA нужен и все
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 10:29
	>[оверквотинг удален] >>>> over IPsec ASA не поддерживает >>> а конфиг asa актуальный есть? доступ можете временный дать - я бы >>> тоже посмотрел. Вообщем пишите аську, я стукну >> Да я с удовольствием бы сам покопался, но асашка стоит не у >> меня и даже не у нас в компании, так что ужасно, >> а еще если учесть что по ней пегает реальный трафик, то >> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >> эту циску, все ништяк с его стороны > да я не про cisco, а про juniper. Плюс конфиг ASA нужен > и все нашли траблу только она на стороне АСЫ. нарыл ASA после дебага Deny TCP (no connection) "from remote net"/445 to "local"/62181 flags RST ACK on interface inside Denied ICMP type=0, from laddr куьщгеу host on interface inside to localinterfacetrust: no matching session IPSEC: Received an ESP packet (SPI= 0xD1446D07, sequence number= 0x2) from "мой ендпоинт" (user= энд поинт) to мой эндпоинт. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as мой эндпоинт, its source as мой эндпоинт, and its protocol as 1. The SA specifies its local proxy as remotenet/255.255.255.0/0/0 and its remote_proxy as localnet/255.255.255.0/0/0. Тоесть мой запрос уходит через тунель доходит до удаленного хоста, но ответ у себя рубит ASA. вот такая трабла.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 10:29
	>[оверквотинг удален] >>>> over IPsec ASA не поддерживает >>> а конфиг asa актуальный есть? доступ можете временный дать - я бы >>> тоже посмотрел. Вообщем пишите аську, я стукну >> Да я с удовольствием бы сам покопался, но асашка стоит не у >> меня и даже не у нас в компании, так что ужасно, >> а еще если учесть что по ней пегает реальный трафик, то >> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >> эту циску, все ништяк с его стороны > да я не про cisco, а про juniper. Плюс конфиг ASA нужен > и все если есть скайп напиши постучусь
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 24-Авг-11, 11:33
	>[оверквотинг удален] >>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы >>>> тоже посмотрел. Вообщем пишите аську, я стукну >>> Да я с удовольствием бы сам покопался, но асашка стоит не у >>> меня и даже не у нас в компании, так что ужасно, >>> а еще если учесть что по ней пегает реальный трафик, то >>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >>> эту циску, все ништяк с его стороны >> да я не про cisco, а про juniper. Плюс конфиг ASA нужен >> и все > если есть скайп напиши постучусь скайпа на работе не держу, а дома некогда будет пообщаться. только аська возможный вариант
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 24-Авг-11, 12:28
	>[оверквотинг удален] >>>> Да я с удовольствием бы сам покопался, но асашка стоит не у >>>> меня и даже не у нас в компании, так что ужасно, >>>> а еще если учесть что по ней пегает реальный трафик, то >>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >>>> эту циску, все ништяк с его стороны >>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен >>> и все >> если есть скайп напиши постучусь > скайпа на работе не держу, а дома некогда будет пообщаться. только аська > возможный вариант Sergey Lesin ----> в аське постучись
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Willy_Permit_Access (ok) on 25-Авг-11, 07:09
	>[оверквотинг удален] >>>> Да я с удовольствием бы сам покопался, но асашка стоит не у >>>> меня и даже не у нас в компании, так что ужасно, >>>> а еще если учесть что по ней пегает реальный трафик, то >>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >>>> эту циску, все ништяк с его стороны >>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен >>> и все >> если есть скайп напиши постучусь > скайпа на работе не держу, а дома некогда будет пообщаться. только аська > возможный вариант Проблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему где подробно опишу и выложу подробный пример конфиги с двух сторон. Думаю поможет кому-нибудь.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	19. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 27-Окт-11, 12:02
	Добрый день всем. У меня аналогичная проблема с asa5505 и juniper srx100 Только ситуация выглядит вот как. При загрузке джунипера туннель работает нормально. Как только пропадает активность из сети джунипера, фазы ipsec падают по таймауту, фаза isakmp работает нормально. При проходе трафика из сети джунипера каналы ipsec не поднимаются. При проходе трафика со стороны ASA каналы поднимаются и начинают работать. Помогите побороть ? >[оверквотинг удален] >>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует >>>>> эту циску, все ништяк с его стороны >>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен >>>> и все >>> если есть скайп напиши постучусь >> скайпа на работе не держу, а дома некогда будет пообщаться. только аська >> возможный вариант > Проблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему > где подробно опишу и выложу подробный пример конфиги с двух сторон. > Думаю поможет кому-нибудь.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 27-Окт-11, 12:06
	Конфиги с обоих сторон могу приложить.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 27-Окт-11, 22:19
	> Конфиги с обоих сторон могу приложить. У вас туннель ipsec появляется только когда трафик интересный(описанный acl) проходит. Я так думаю. проблема должна решаться строчкой на джуне establish-tunnels immediately - это будет держать туннели в поднятом состоянии не в зависимости от наличия интересного трафика на asa по-моему по-дефолту такой режим стоит
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 28-Окт-11, 12:40
	Такая строчка прописана. Результата положительного не добавляет. :(
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 28-Окт-11, 19:48
	> Такая строчка прописана. > Результата положительного не добавляет. :( покажите конфиги!!!
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 31-Окт-11, 15:03
	Не охото сюда писать. Постучитесь в icq 162877374 ?
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 02-Ноя-11, 10:08
	скинул линку в icq, общаться давайте тут, на работе icq нету %)
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	26. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 02-Ноя-11, 10:28
	> скинул линку в icq, общаться давайте тут, на работе icq нету %) Для того чтобы туннели оставались поднятыми постоянно я делал route-based vpn на juniper. У тебя policy-based - может в этом проблема. isakamp подняты постоянно?
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 02-Ноя-11, 15:45
	На ASA подняты. а можно пример route-based? это gre тунели чтоле?
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от Aleks305 (ok) on 02-Ноя-11, 17:04
	> На ASA подняты. > а можно пример route-based? это gre тунели чтоле? нет на джунипере надо - Asa не надо трогать.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 02-Ноя-11, 17:57
	Можешь тогда дать пример конфига? У меня есть тестовый джунипер, я на нем потренируюсь. Можно так сделать?
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
	Сообщение от kopic (ok) on 02-Ноя-11, 17:57
	Могешь даже тот поправить, который я прислал.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору