The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"«ISA 2004 не хочет дружить с cisco через IPsec»"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"«ISA 2004 не хочет дружить с cisco через IPsec»"  +/
Сообщение от Gudy email(ok) on 25-Окт-07, 20:10 
Имеем
Cisco 851 isa 2004
Туннель. Работает с циски пингую локальный адрес ISA, но не пингую дальше. Из сети за циско не пингую вообще ничего.
Из сети за ISA пинги не идут, а с сервака на котором стоит ISA дело обстоит так:
Код
Превышен интервал ожидания для запроса.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
.......
Согласование используемого уровня безопастности IP.

Кто нить сталкивался?

Статус туннеля в циске гласит что тунель is OK.

Что может значяить это согласование?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "«ISA 2004 не хочет дружить с cisco через IPsec»"  +/
Сообщение от Gudy (??) on 30-Окт-07, 14:26 
>[оверквотинг удален]
>.......
>Согласование используемого уровня безопастности IP.
>
>
>
>Кто нить сталкивался?
>
>Статус туннеля в циске гласит что тунель is OK.
>
>Что может значяить это согласование?

Cisco:

crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key КЛЮЧЕВОЕ СЛОВО address ВНЕШНИЙ АДРЕС ISA no-xauth
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
mode transport
!
crypto map map1 1 ipsec-isakmp
description test tunnel
set peer ВНЕШНИЙ АДРЕС ISA
set transform-set set1
match address 144
!
interface FastEthernet4
.....
crypto map map1
!
access-list 144 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!чтобы трафик адресованный в тонель не натился:
!
access-list 115 permit ip 10.0.0.0 0.0.0.255 any
access-list 115 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
route-map mainroute permit 1
match ip address 115


Теперь с ISA
Vpn>>Remote Site>>Add

Genrela:
имя: test1
Address:
start address: 10.0.0.1
end address: 10.0.0.255
Connection:
remote gateway
Внешний адрес cisco

local gateway
Внутренний адрес ISA

аутентификация pre-share

IpSec Summary:

Local Tunnel Endpoint: 192.168.0.167
Remote Tunnel Endpoint: 89.*.*.67 (внешний циски)

To allow HTTP proxy or NAT traffic to the remote site,
the remote site configuration must contain the local
site tunnel end-point IP address.

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication method: Pre-shared secret (СЛОВО)
Security Association lifetime: 28800 seconds

IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time rekeying: OFF
Kbyte rekeying: OFF

Remote Network 'plg' IP Subnets:
Subnet: 10.0.0.0/255.255.255.0

Local Network 'Internal' IP Subnets:
Subnet: 192.168.0.0/255.255.255.0

Local Network 'VPN Clients' IP Subnets:
Subnet: 192.168.1.220/255.255.255.255
Subnet: 192.168.1.216/255.255.255.252
Subnet: 192.168.1.200/255.255.255.248
Subnet: 192.168.1.208/255.255.255.248


Далее в NetWorks
Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)


Не пашет.
Вообще не пашет. никак не пашет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "«ISA 2004 не хочет дружить с cisco через IPsec»"  +/
Сообщение от dxer on 31-Окт-07, 23:15 
>[оверквотинг удален]
>Subnet: 192.168.1.200/255.255.255.248
>Subnet: 192.168.1.208/255.255.255.248
>
>
>Далее в NetWorks
>Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
>
>
>Не пашет.
>Вообще не пашет. никак не пашет.

А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO, решение преобрести железку Cisco.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "«ISA 2004 не хочет дружить с cisco через IPsec»"  +/
Сообщение от rada email on 26-Янв-10, 14:08 
>[оверквотинг удален]
>>
>>Далее в NetWorks
>>Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
>>
>>
>>Не пашет.
>>Вообще не пашет. никак не пашет.
>
>А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO,
>решение преобрести железку Cisco.

ISA может соединиться и нормально говорить с Cisco-ой. Есть только разница втом, в качестве кого будет использоваться İSA- в качестве клиентской стороны или серверной.  В качестве клиентской стороны вполне можно использовать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру