Здравствуйте!
Пытаюсь организовать VPN туннель через два 515 пикса. Вроде с горем пополам
они у меня запустились, но вот какая возникла проблема:
при прохождении пакетов удаленный пикс кричит следующее:
Rec'd packet not an IPSEC packet. (ip) dest_addr= 10.150.15.1, src_addr=
192.168.0.10, prot= icmp
Я в итоге не пойму. Получается, что я на клиентской виндовой машине должен
что-то сказать про использование ipsec? Дело в том, что ни в доках ни в
книгах по этому поводу ничего не сказано. Говорят - настраивайте туннель и
все будет ок. Либо у меня вообще принцип построения туннеля неправильный.
Подскажите, пожалуйста!
Заранее спасибо!
Дмитрий
Приложения:
Структура сети:
10.150.10.0 (LAN1) --- 10.150.10.111 [PIX1] 192.168.0.2 ----
192.168.0.1 [CISCO 3750] 192.168.1.1 ---- 192.168.1.2 [PIX2]
10.150.15.111 --- 10.150.15.0 (LAN2)
Конфигурация первого пикса (с пиксами работаю третий день, так что сильно не
пинать)
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list 90 permit ip 10.150.10.0 255.255.255.0 192.168.1.0 255.255.255.0
ip address outside 192.168.0.2 255.255.255.0
ip address inside 10.150.10.111 255.255.255.0
global (outside) 1 192.168.0.10-192.168.0.20
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map mymap 20 ipsec-isakmp
crypto map mymap 20 match address 90
crypto map mymap 20 set peer 192.168.1.2
crypto map mymap 20 set transform-set strong
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 192.168.1.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 1
isakmp policy 9 lifetime 86400
Конфигурация второго пикса:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
access-list 90 permit ip 10.150.15.0 255.255.255.0 192.168.0.0 255.255.255.0
ip address outside 192.168.1.2 255.255.255.0
ip address inside 10.150.15.111 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.30
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
sysopt connection permit-ipsec
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map mymap2 10 ipsec-isakmp
crypto map mymap2 10 match address 90
crypto map mymap2 10 set peer 192.168.0.2
crypto map mymap2 10 set transform-set strong
crypto map mymap2 interface outside
isakmp enable outside
isakmp key ******** address 192.168.0.2 netmask 255.255.255.255
isakmp identity address
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption 3des
isakmp policy 9 hash sha
isakmp policy 9 group 1
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on
18-Май-04, 18:35 (MSK)
