forum.opennet.ru - "Juniper SRX100 ike и ipsec фазы" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Juniper SRX100 ike и ipsec фазы"

Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Juniper SRX100 ike и ipsec фазы"	+/–
Сообщение от kopic (ok) on 17-Фев-12, 17:20
Добрый день уважаемые форумчане. Столкнулся вот с такой бедой на них. Когда заканчивается время жизни первой фазы(ike), при отсутвие запросов она отключается, но при этом если время жизни у фазы ipsec не закончилось - фаза ipsec остается висеть (не убивается автоматически). Из этого вытекает такая штука, что висящая фаза ipsec не иницирует новое содинение фазы ike, и новый туннель не строится пока ipsec не умрет по истечению времени. Тоже самое проиходит при принудительной очистке фазы ike - она чистится, а фазы ipsec остаются висеть(. Как сделать на джунипере так же как на цысках - чтобы при удалении фазы ISAKMP, фазы ipsec которые за ней построены тоже удалялись. Прошивка на Джунике вот такая. Information for junos: Comment: JUNOS Software Release [10.4R8.5] Может какую-то команду я не пишу, чтобы они чистились?
Ответить \| Правка \| Cообщить модератору

Оглавление

Juniper SRX100 ike и ipsec фазы, midori, 02:08 , 19-Фев-12, (1)

Juniper SRX100 ike и ipsec фазы, kopic, 09:23 , 20-Фев-12, (2)

Juniper SRX100 ike и ipsec фазы, kopic, 09:25 , 20-Фев-12, (3)

Juniper SRX100 ike и ipsec фазы, kopic, 09:33 , 20-Фев-12, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Juniper SRX100 ike и ipsec фазы" +/–

Сообщение от midori (ok) on 19-Фев-12, 02:08

Вид vpn соединения?
Конфиги!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Juniper SRX100 ike и ipsec фазы" +/–

Сообщение от kopic (ok) on 20-Фев-12, 09:23

> Вид vpn соединения?
> Конфиги!
policy based
security {
    ike {
        proposal PROP1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 28800;
        }
        policy ike-policy1 {
            mode main;
            proposals PROP1;
            pre-shared-key ascii-text "*****"; ## SECRET-DATA
        }
        gateway ike-gate {
            ike-policy ike-policy1;
            address 10.1.15.2;
            external-interface fe-0/0/0;
        }
    }
    ipsec {
        proposal NEWPROP {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 28800;
            lifetime-kilobytes 536870912;
        }
        policy NEWpolicy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals NEWPROP;
        }
        vpn ike-vpn {
            ike {
                gateway ike-gate;
                ipsec-policy NEWpolicy;
            }
        }
    }
И меня вот заботит то, что нет привязки второй фазы в первой как в цыске.
Если вот будет два пира, то как джунипер выберет, какая вторая фаза к какому пиру. Видимо вся проблема в этом.
Вот конфиг с цыски второй фазы:
crypto map atms 32 match address VPNins32
crypto map atms 32 set pfs
crypto map atms 32 set peer 10.1.15.190
crypto map atms 32 set transform-set 3des2
crypto map atms 32 set security-association lifetime seconds 28800
crypto map atms 32 set security-association lifetime kilobytes 536870912

Вот этой строчки нету на Juniper у меня
crypto map atms 32 set peer 10.1.15.190
Догадки пока только такие.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Juniper SRX100 ike и ipsec фазы" +/–

Сообщение от kopic (ok) on 20-Фев-12, 09:25

        vpn ike-vpn {
            ike {
                gateway ike-gate;
                ipsec-policy NEWpolicy;
Хотя вроде как и есть.(

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Juniper SRX100 ike и ipsec фазы" +/–

Сообщение от kopic (ok) on 20-Фев-12, 09:33

pix@VBRR-00TEST# set security ipsec vpn ike-vpn ike ?

  idle-time            Idle time to delete SA (60..999999 seconds)
  install-interval     Delay installation of rekeyed outbound SAs on initiator (0..10 seconds)

Может вот эти штуки как-то спасут?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Juniper SRX100 ike и ipsec фазы"	+/–
Сообщение от midori (ok) on 19-Фев-12, 02:08
Вид vpn соединения? Конфиги!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Juniper SRX100 ike и ipsec фазы"	+/–
	Сообщение от kopic (ok) on 20-Фев-12, 09:23
	> Вид vpn соединения? > Конфиги! policy based security { ike { proposal PROP1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 28800; } policy ike-policy1 { mode main; proposals PROP1; pre-shared-key ascii-text "*****"; ## SECRET-DATA } gateway ike-gate { ike-policy ike-policy1; address 10.1.15.2; external-interface fe-0/0/0; } } ipsec { proposal NEWPROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 28800; lifetime-kilobytes 536870912; } policy NEWpolicy { perfect-forward-secrecy { keys group2; } proposals NEWPROP; } vpn ike-vpn { ike { gateway ike-gate; ipsec-policy NEWpolicy; } } } И меня вот заботит то, что нет привязки второй фазы в первой как в цыске. Если вот будет два пира, то как джунипер выберет, какая вторая фаза к какому пиру. Видимо вся проблема в этом. Вот конфиг с цыски второй фазы: crypto map atms 32 match address VPNins32 crypto map atms 32 set pfs crypto map atms 32 set peer 10.1.15.190 crypto map atms 32 set transform-set 3des2 crypto map atms 32 set security-association lifetime seconds 28800 crypto map atms 32 set security-association lifetime kilobytes 536870912 Вот этой строчки нету на Juniper у меня crypto map atms 32 set peer 10.1.15.190 Догадки пока только такие.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Juniper SRX100 ike и ipsec фазы"	+/–
	Сообщение от kopic (ok) on 20-Фев-12, 09:25
	vpn ike-vpn { ike { gateway ike-gate; ipsec-policy NEWpolicy; Хотя вроде как и есть.(
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Juniper SRX100 ike и ipsec фазы"	+/–
	Сообщение от kopic (ok) on 20-Фев-12, 09:33
	pix@VBRR-00TEST# set security ipsec vpn ike-vpn ike ? idle-time Idle time to delete SA (60..999999 seconds) install-interval Delay installation of rekeyed outbound SAs on initiator (0..10 seconds) Может вот эти штуки как-то спасут?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору