форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Asa vpn transpor mode"	+/–
Сообщение от milliardik (ok) on 25-Июл-12, 07:49
Здравствуйте!!! Имеется оборудование cisco asa две штуки, одна на основной площадке, др на уделенной (филиал). Необходимо настроить Ipsec vpn tunnel в transport mode Текущие нерабочие конфигурации. ASA main interface Ethernet0/0 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 interface Ethernet0/1 nameif remote security-level 0 ip address 192.168.109.2 255.255.255.252 access-list remote_to_main extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0 crypto ipsec transform-set set esp-3des esp-md5-hmac crypto ipsec transform-set set mode transport crypto map remote_to_main 10 match address remote_to_main crypto map remote_to_main 10 set pfs crypto map remote_to_main 10 set peer 192.168.109.6 crypto map remote_to_main 10 set transform-set set crypto map remote_to_main interface remote crypto isakmp enable remote crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 tunnel-group 192.168.109.6 type ipsec-l2l tunnel-group 192.168.109.6 ipsec-attributes pre-shared-key * ASA2 interface Ethernet0/0 nameif inside security-level 100 ip address 192.168.18.1 255.255.255.0 interface Ethernet0/1 nameif main security-level 0 ip address 192.168.109.6 255.255.255.252 access-list main_to_remote extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0 crypto ipsec transform-set set esp-3des esp-md5-hmac crypto ipsec transform-set set mode transport crypto map main_to_remote 10 match address main_to_remote crypto map main_to_remote 10 set pfs crypto map main_to_remote 10 set peer 192.168.109.2 crypto map main_to_remote 10 set transform-set set crypto map main_to_remote interface main crypto isakmp enable main crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 tunnel-group 192.168.109.2 type ipsec-l2l tunnel-group 192.168.109.2 ipsec-attributes pre-shared-key * sh isa sa    Active SA: 1     Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1   IKE Peer: 192.168.109.2     Type    : L2L             Role    : responder     Rekey   : no              State   : MM_ACTIVE
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Asa vpn transpor mode"	+/–
Сообщение от Mirage_sk (ok) on 25-Июл-12, 11:05
>[оверквотинг удален] >     Rekey SA: 0 (A tunnel will report 1 > Active and 1 Rekey SA during rekey) > Total IKE SA: 1 > 1   IKE Peer: 192.168.109.2 >     Type    : L2L   >           Role >    : responder >     Rekey   : no     >           State >   : MM_ACTIVE А что у вас не происходит, пакеты не ходят? Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом: ASA 1 Source 192.168.0.0/24 Destination 192.168.18.0/24 NAT Exempt oubound traffic from interface (interface_name) to lower security interface ASA 2 Source 192.168.18.0/24 Destination 192.168.0.0/24 NAT Exempt oubound traffic from interface (interface_name) to lower security interface помимо В конфиге фаервола (ASDM) надо правила для внешнего интерфейса: ASA 1: разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24 ASA 2: разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24 если пакеты пройдут, потом режте по собственному усмотрению.... и пожалуйста, отпишите, что пройзойдет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Asa vpn transpor mode"	+/–
	Сообщение от milliardik (ok) on 25-Июл-12, 12:01
	> А что у вас не происходит, пакеты не ходят? Да у меня не ходят пакеты. Правильно ли Я Вас понял > Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом: > ASA 1 > Source 192.168.0.0/24 > Destination 192.168.18.0/24 > NAT Exempt oubound traffic from interface (interface_name) to lower security interface access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0 nat (inside) 0 access-list test_nonat > ASA 2 > Source 192.168.18.0/24 > Destination 192.168.0.0/24 > NAT Exempt oubound traffic from interface (interface_name) to lower security interface access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0 nat (inside) 0 access-list test_nonat
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Asa vpn transpor mode"	+/–
	Сообщение от milliardik (ok) on 25-Июл-12, 12:22
	> Вам нужно добавить Exempt NAT Rule(ASDM) для интерфейса 0/0 следующим образом: > ASA 1 > Source 192.168.0.0/24 > Destination 192.168.18.0/24 > NAT Exempt oubound traffic from interface (interface_name) to lower security interface access-list test_nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.18.0 255.255.255.0 nat (remote) 0 access-list test_nonat > ASA 2 > Source 192.168.18.0/24 > Destination 192.168.0.0/24 > NAT Exempt oubound traffic from interface (interface_name) to lower security interface access-list test_nonat extended permit ip 192.168.18.0 255.255.255.0 192.168.0.0 255.255.255.0 nat (remote) 0 access-list test_nonat > помимо > В конфиге фаервола (ASDM) надо правила для внешнего интерфейса: > ASA 1: > разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24 access-list test extended permit ip any any > ASA 2: > разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24 access-list test extended permit ip any any > и пожалуйста, отпишите, что пройзойдет Пакеты не пошли
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Asa vpn transpor mode"	+/–
	Сообщение от Mirage_sk (ok) on 25-Июл-12, 13:04
	>[оверквотинг удален] >> помимо >> В конфиге фаервола (ASDM) надо правила для внешнего интерфейса: >> ASA 1: >> разрешите IP и ICMP от 192.168.18.0/24 до 192.168.0.0/24 > access-list test extended permit ip any any >> ASA 2: >> разрешите IP и ICMP от 192.168.0.0/24 до 192.168.18.0/24 > access-list test extended permit ip any any >> и пожалуйста, отпишите, что пройзойдет > Пакеты не пошли постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что изменилось... https://supportforums.cisco.com/servlet/JiveServlet/download...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Asa vpn transpor mode"	+/–
	Сообщение от milliardik (ok) on 25-Июл-12, 13:51
	> постараетесь по схеме, указанному в документе ниже через ASDM, потом покопаете, что > изменилось... > https://supportforums.cisco.com/servlet/JiveServlet/download... Извините может Вы меня неправильно поняли, или Я не совсем точно пояснил проблему. Еще раз : Если настраиваю vpn tunnel стандартно т.е. так как указано в высланном Вами мануале (default ipsec transform-set mode tunnel) то все работает, пакеты ходят. Ели же  я переключаясь на  ipsec transform-set mode transport, то пакеты перестают ходить но канал сходиться нормально:    Active SA: 1     Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1   IKE Peer: 192.168.109.6     Type    : L2L             Role    : initiator     Rekey   : no              State   : MM_ACTIVE Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Asa vpn transpor mode"	+/–
	Сообщение от Mirage_sk (ok) on 25-Июл-12, 13:56
	>[оверквотинг удален] > Active and 1 Rekey SA during rekey) > Total IKE SA: 1 > 1   IKE Peer: 192.168.109.6 >     Type    : L2L   >           Role >    : initiator >     Rekey   : no     >           State >   : MM_ACTIVE > Вопрос как настроить работу ipsec vpn в ipsec transform-set mode transport позвольте вопрос - какая надобность данного режима?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Asa vpn transpor mode"	+/–
	Сообщение от milliardik (ok) on 25-Июл-12, 14:10
	> позвольте вопрос - какая надобность данного режима? Есть основная площадка, есть несколько филиалов. До каждого отдельного филиала выделено по два логических канала через n  провайдеров, трафик необходимо раскидывать на оба канал. Пробовал вот такую схему asa__3750===3750__asa. Раскидывать трафик планируется за  счет протокола динамической маршрутизации ospf и используя возможности cef per-distance. Канал между asa всегда, в обычном режиме  ipsec transform-set mode tunnel адрес источника и отправителя согласно которым и строиться балансировка всегда один и тот же, т.е. весь трафик бежит только по одному физическому каналу. Документация посоветовала что есть др вариант где шифруются только данные т.е. ipsec transform-set mode transport, что как раз и нужно, но нигде нет документации как это реализовать.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Asa vpn transpor mode"	+/–
	Сообщение от milliardik (ok) on 26-Июл-12, 10:12
	Подскажите пожалуйста как настроить cisco asa vpn ipsec в режиме transport mode, или направьте где это можно высмотреть.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема