форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение		[ Отслеживать ]

"ipsec туннель между cisco и linux"	+/–
Сообщение от Doc (ok) on 12-Ноя-14, 14:41
Господа , пытаюсь поднять тоннель межу cisco и linux не проходит первая фаза со стороны cisco: crypto isakmp policy 20 encr 3des authentication pre-share group 2 со стороны linux suse: remote 10.136.104.126 { exchange_mode main,aggressive; initial_contact off; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; } } в логах линукса: Jul 23 16:02:41 router racoon: ERROR: no suitable proposal found. Jul 23 16:02:41 router racoon: ERROR: failed to get valid proposal. Jul 23 16:02:41 router racoon: ERROR: failed to pre-process packet. Jul 23 16:02:41 router racoon: ERROR: phase1 negotiation failed. в логах кошки: Nov 12 12:00:12.451: ISAKMP (0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 Nov 12 12:00:12.451: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE Nov 12 12:00:12.451: ISAKMP:(0): sending packet to 10.136.181.145 my_port 500 peer_port 500 (I) MM_NO_STATE Nov 12 12:00:12.451: ISAKMP:(0):Sending an IKE IPv4 Packet. Nov 12 12:00:22.451: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... Nov 12 12:00:22.451: ISAKMP (0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 Nov 12 12:00:22.451: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE Nov 12 12:00:22.451: ISAKMP:(0): sending packet to 10.136.181.145 my_port 500 peer_port 500 (I) MM_NO_STATE Nov 12 12:00:22.451: ISAKMP:(0):Sending an IKE IPv4 Packet. Nov 12 12:00:22.455: ISAKMP:(0):purging node -1100773691 Nov 12 12:00:22.455: ISAKMP:(0):purging node -967412064 Nov 12 12:00:22.455: ISAKMP:(0):purging node -456892372 Nov 12 12:00:32.451: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... Nov 12 12:00:32.451: ISAKMP (0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1 Nov 12 12:00:32.451: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE Nov 12 12:00:32.451: ISAKMP:(0): sending packet to 10.136.181.145 my_port 500 peer_port 500 (I) MM_NO_STATE Nov 12 12:00:32.451: ISAKMP:(0):Sending an IKE IPv4 Packet. Nov 12 12:00:32.451: ISAKMP: set new node 0 to QM_IDLE Nov 12 12:00:32.451: ISAKMP:(0):SA is still budding. Attached new ipsec request to it. (local 10.136.104.126, remote 10.136.181.145) Nov 12 12:00:32.451: ISAKMP: Error while processing SA request: Failed to initialize SA Nov 12 12:00:32.451: ISAKMP: Error while processing KMI message 0, error 2. Nov 12 12:00:32.455: ISAKMP:(0):purging SA., sa=2A2D7094, delme=2A2D7094 оперировал вот этой статьей http://inhibitz.ucoz.ru/publ/2-1-0-18 в чем может быть беда?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ipsec туннель между cisco и linux"	+/–
Сообщение от Serge (??) on 13-Ноя-14, 06:50
запусти tcpdump и посмотри что шлет сиска в качестве proposal - скорее всего 3des-md5
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "ipsec туннель между cisco и linux"	+/–
	Сообщение от Doc (ok) on 16-Ноя-14, 09:10
	> запусти tcpdump и посмотри что шлет сиска в качестве proposal - скорее > всего 3des-md5 tcpdum с хоста циски дал только такое 08:19:09.779530 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident 08:19:19.777631 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident 08:19:29.777401 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident 08:19:39.778123 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident esp-sha-hmac
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "ipsec туннель между cisco и linux"	+/–
	Сообщение от Doc (ok) on 17-Ноя-14, 07:56
	>> запусти tcpdump и посмотри что шлет сиска в качестве proposal - скорее >> всего 3des-md5 > tcpdum с хоста циски дал только такое > 08:19:09.779530 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident > 08:19:19.777631 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident > 08:19:29.777401 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident > 08:19:39.778123 IP 10.136.104.126.500 > 10.136.181.145.500: isakmp: phase 1 I ident > esp-sha-hmac crypto ipsec transform-set LINUX esp-3des esp-sha-hmac
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "ipsec туннель между cisco и linux"	+/–
Сообщение от ipmanyak (ok) on 14-Ноя-14, 07:21
IPsec Troubleshooting: Understanding and Using debug Commands http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec... Нужные правила в iptables добавили? Прием пакетов на порту 500 разрешен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "ipsec туннель между cisco и linux"	+/–
	Сообщение от Doc (ok) on 16-Ноя-14, 09:35
	> IPsec Troubleshooting: Understanding and Using debug Commands > http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec... > Нужные правила в iptables добавили? Прием пакетов на порту 500 разрешен сервер в тестовом режиме , входящий трафик не фильтрую никак вообще соответственно только форвард router:/var/log # iptables -L Chain INPUT (policy ACCEPT) target     prot opt source               destination Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     all  --  192.0.0.0/16         192.10.1.0/24 ACCEPT     all  --  192.10.1.0/24        192.0.0.0/16
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема