The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"IPSEC между Cisco Router и MS Forefront TMG"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 07:57 
Здравствуйте!

Не получается установить соединение Site-to-Site между Cisco 2900 (C2900-UNIVERSALK9-M), Version 15.4(3)M6a, RELEASE SOFTWARE (fc1) и, Microsoft Forefront TMG 2010 (Version: 7.0.9193.500). TMG находится за NAT C2951 (Version 15.0(1r)M13, RELEASE SOFTWARE (fc1)).

Схема соединения:

(10.72.0.0/16) С2900 (х.х.37.29) ---Internet--- (x.x.199.5) С2951 NAT (192.168.11.1) --- (192.168.11.3) TMG2010 (172.16.0.0/24)

Первая фаза соединения завершается нормально:
355510: Jan 25 09:21:42.063 YEKT: ISAKMP:(6300):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

CR02#sh cry is sa
IPv4 Crypto ISAKMP SA
dst             src        state          conn-id status
x.x.37.29    x.x.199.5    QM_IDLE           6300 ACTIVE

А вот вторая фаза - не устанавливается. Причем пытается, но не выходит с разным результатом через раз! Лог:

==== 1 попытка!
355511: Jan 25 09:21:42.119 YEKT: ISAKMP (6300): received packet from x.x.199.5 dport 4500 sport 4500 Global (R) QM_IDLE
355512: Jan 25 09:21:42.119 YEKT: ISAKMP: set new node 1 to QM_IDLE
355513: Jan 25 09:21:42.119 YEKT: ISAKMP:(6300): processing HASH payload. message ID = 1
355514: Jan 25 09:21:42.119 YEKT: ISAKMP:(6300): processing SA payload. message ID = 1
355515: Jan 25 09:21:42.119 YEKT: ISAKMP:(6300):Checking IPSec proposal 1
355516: Jan 25 09:21:42.119 YEKT: ISAKMP: transform 1, ESP_3DES
355517: Jan 25 09:21:42.119 YEKT: ISAKMP:   attributes in transform:
355518: Jan 25 09:21:42.119 YEKT: ISAKMP:      encaps is 3 (Tunnel-UDP)
355519: Jan 25 09:21:42.119 YEKT: ISAKMP:      authenticator is HMAC-SHA
355520: Jan 25 09:21:42.119 YEKT: ISAKMP:      group is 2
355521: Jan 25 09:21:42.119 YEKT: ISAKMP:      SA life type in seconds
355522: Jan 25 09:21:42.119 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80
355523: Jan 25 09:21:42.119 YEKT: ISAKMP:      SA life type in kilobytes
355524: Jan 25 09:21:42.119 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
355525: Jan 25 09:21:42.119 YEKT: ISAKMP:(6300):atts are acceptable.

==== 1 попытка. Ошибка одна!
355526: Jan 25 09:21:42.119 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported
355527: Jan 25 09:21:42.119 YEKT: ISAKMP:(6300): IPSec policy invalidated proposal with error 32
355528: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300): phase 2 SA policy not acceptable! (local х.х.37.29 remote х.х.199.5)
355529: Jan 25 09:21:42.123 YEKT: ISAKMP: set new node -54067319 to QM_IDLE
355530: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3 spi 568588472, message ID = 4240899977
355531: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300): sending packet to х.х.199.5my_port 4500 peer_port 4500 (R) QM_IDLE
355532: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355533: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):purging node -54067319
355534: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):deleting node 1 error TRUE reason "QM rejected"
355535: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
355536: Jan 25 09:21:42.123 YEKT: ISAKMP:(6300):Old State = IKE_QM_READY  New State = IKE_QM_READY

==== 2 попытка!
355537: Jan 25 09:21:44.395 YEKT: ISAKMP (6300): received packet from х.х.199.5 dport 4500 sport 4500 Global (R) QM_IDLE
355538: Jan 25 09:21:44.395 YEKT: ISAKMP: set new node 2 to QM_IDLE
355539: Jan 25 09:21:44.395 YEKT: ISAKMP:(6300): processing HASH payload. message ID = 2
355540: Jan 25 09:21:44.395 YEKT: ISAKMP:(6300): processing SA payload. message ID = 2
355541: Jan 25 09:21:44.395 YEKT: ISAKMP:(6300):Checking IPSec proposal 1
355542: Jan 25 09:21:44.395 YEKT: ISAKMP: transform 1, ESP_3DES
355543: Jan 25 09:21:44.395 YEKT: ISAKMP:   attributes in transform:
355544: Jan 25 09:21:44.395 YEKT: ISAKMP:      encaps is 3 (Tunnel-UDP)
355545: Jan 25 09:21:44.395 YEKT: ISAKMP:      authenticator is HMAC-SHA
355546: Jan 25 09:21:44.395 YEKT: ISAKMP:      group is 2
355547: Jan 25 09:21:44.395 YEKT: ISAKMP:      SA life type in seconds
355548: Jan 25 09:21:44.395 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80
355549: Jan 25 09:21:44.395 YEKT: ISAKMP:      SA life type in kilobytes
355550: Jan 25 09:21:44.395 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
355551: Jan 25 09:21:44.395 YEKT: ISAKMP:(6300):atts are acceptable.
355552: Jan 25 09:21:44.419 YEKT: ISAKMP:(6300): processing KE payload. message ID = 2
355553: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300): processing NONCE payload. message ID = 2
355554: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300): processing ID payload. message ID = 2
355555: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300): processing ID payload. message ID = 2
355556: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300):QM Responder gets spi
355557: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300):Node 2, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
355558: Jan 25 09:21:44.443 YEKT: ISAKMP:(6300):Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
355559: Jan 25 09:21:44.447 YEKT: ISAKMP:(6300):Node 2, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
355560: Jan 25 09:21:44.447 YEKT: ISAKMP:(6300):Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_IPSEC_INSTALL_AWAIT
355561: Jan 25 09:21:44.447 YEKT: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer х.х.199.5
355562: Jan 25 09:21:44.447 YEKT: IPSEC(create_sa): sa created,
  (sa) sa_dest= х.х.37.29, sa_proto= 50,
    sa_spi= 0x67F55285(1744130693),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 5125
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= х.х.37.29:0, remote= х.х.199.5:0,
    local_proxy= 10.72.0.0/255.255.0.0/256/0,
    remote_proxy= 172.16.0.0/255.255.0.0/256/0
355563: Jan 25 09:21:44.447 YEKT: IPSEC(create_sa): sa created,
  (sa) sa_dest= х.х.199.5, sa_proto= 50,
    sa_spi= 0xAB691798(2875791256),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 5126
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= х.х.37.29:0, remote= х.х.199.5:0,
    local_proxy= 10.72.0.0/255.255.0.0/256/0,
    remote_proxy= 172.16.0.0/255.255.0.0/256/0
355564: Jan 25 09:21:44.447 YEKT: ISAKMP:(6300):Received IPSec Install callback... proceeding with the negotiation
355565: Jan 25 09:21:44.447 YEKT: ISAKMP:(6300):Successfully installed IPSEC SA (SPI:0x67F55285) on Port-channel1.82
355566: Jan 25 09:21:44.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355567: Jan 25 09:21:44.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355568: Jan 25 09:21:44.455 YEKT: ISAKMP:(6300):Node 2, Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE
355569: Jan 25 09:21:44.455 YEKT: ISAKMP:(6300):Old State = IKE_QM_IPSEC_INSTALL_AWAIT  New State = IKE_QM_R_QM2

==== 2 попытка. Ошибка другая!
355570: Jan 25 09:21:54.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355571: Jan 25 09:21:54.455 YEKT: ISAKMP (6300): incrementing error counter on node, attempt 1 of 5: retransmit phase 2
355572: Jan 25 09:21:54.455 YEKT: ISAKMP:(6300): retransmitting phase 2 2 QM_IDLE
355573: Jan 25 09:21:54.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355574: Jan 25 09:21:54.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355575: Jan 25 09:22:04.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355576: Jan 25 09:22:04.455 YEKT: ISAKMP (6300): incrementing error counter on node, attempt 2 of 5: retransmit phase 2
355577: Jan 25 09:22:04.455 YEKT: ISAKMP:(6300): retransmitting phase 2 2 QM_IDLE
355578: Jan 25 09:22:04.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355579: Jan 25 09:22:04.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355581: Jan 25 09:22:09.703 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported
355582: Jan 25 09:22:14.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355583: Jan 25 09:22:14.455 YEKT: ISAKMP (6300): incrementing error counter on node, attempt 3 of 5: retransmit phase 2
355584: Jan 25 09:22:14.455 YEKT: ISAKMP:(6300): retransmitting phase 2 2 QM_IDLE
355585: Jan 25 09:22:14.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355586: Jan 25 09:22:14.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355587: Jan 25 09:22:24.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355588: Jan 25 09:22:24.455 YEKT: ISAKMP (6300): incrementing error counter on node, attempt 4 of 5: retransmit phase 2
355589: Jan 25 09:22:24.455 YEKT: ISAKMP:(6300): retransmitting phase 2 2 QM_IDLE
355590: Jan 25 09:22:24.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355591: Jan 25 09:22:24.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355592: Jan 25 09:22:32.123 YEKT: ISAKMP:(6300):purging node 1
355593: Jan 25 09:22:34.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355594: Jan 25 09:22:34.455 YEKT: ISAKMP (6300): incrementing error counter on node, attempt 5 of 5: retransmit phase 2
355595: Jan 25 09:22:34.455 YEKT: ISAKMP:(6300): retransmitting phase 2 2 QM_IDLE
355596: Jan 25 09:22:34.455 YEKT: ISAKMP:(6300): sending packet to х.х.199.5 my_port 4500 peer_port 4500 (R) QM_IDLE
355597: Jan 25 09:22:34.455 YEKT: ISAKMP:(6300):Sending an IKE IPv4 Packet.
355598: Jan 25 09:22:39.703 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported
355599: Jan 25 09:22:44.455 YEKT: ISAKMP:(6300): retransmitting phase 2 QM_IDLE       2 ...
355600: Jan 25 09:22:44.455 YEKT: ISAKMP:(6300):deleting node 2 error TRUE reason "Phase 2 err count exceeded"
355601: Jan 25 09:22:44.455 YEKT: ISAKMP:(6300):peer does not do paranoid keepalives.
355602: Jan 25 09:22:44.455 YEKT: ISAKMP:(6300):Enqueued KEY_MGR_DELETE_SAS for IPSEC SA (SPI:0xAB691798)
355603: Jan 25 09:22:44.455 YEKT: ISAKMP:(6300): QM node retransmission timeout, deleting all the IKE and IPSec SA
355604: Jan 25 09:22:44.455 YEKT: IPSEC: delete incomplete sa: 0x40020890
355605: Jan 25 09:22:44.455 YEKT: IPSEC(key_engine_delete_sas): delete SA with spi 0xAB691798 proto 50 for х.х.199.5
355606: Jan 25 09:22:44.455 YEKT: IPSEC(update_current_outbound_sa): updated peer х.х.199.5 current outbound sa to SPI 0
355607: Jan 25 09:22:44.455 YEKT: IPSEC(send_delete_notify_kmi): not sending KEY_ENGINE_DELETE_SAS

Вернее ошибка всегда одна = IPSEC(ipsec_process_proposal): proxy identities not supported = но возникает на разных стадиях почему-то...

Прошу помочь с решением данной проблемы. Жду вопросов/предложений. Очень надо...

Заранее благодарю!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от msanlimit (ok) on 25-Янв-17, 11:39 
> Здравствуйте!

Взгляни на данный пример:

http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 13:24 
>> Здравствуйте!
> Взгляни на данный пример:
> http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...

По данной инструкции в crypto isakmp key и crypto map указывается внутренний адрес за NAT. Т.е. в моем случае в обоих блоках 192.168.11.3. Сделал

С такими настройками не проходит даже 1 фаза - "Phase1 SA policy proposal not accepted" state (R) MM_NO_STATE"

Не находит ни одного подходящего условия:
385056: Jan 25 15:37:37.742 YEKT: ISAKMP:(0):No pre-shared key with x.x.199.5!
383202: Jan 25 15:23:10.231 YEKT: ISAKMP:(0):Checking ISAKMP transform 1 against priority № policy
383203: Jan 25 15:23:10.231 YEKT: ISAKMP:      encryption 3DES-CBC
383204: Jan 25 15:23:10.231 YEKT: ISAKMP:      hash SHA
383205: Jan 25 15:23:10.231 YEKT: ISAKMP:      default group 2
383206: Jan 25 15:23:10.231 YEKT: ISAKMP:      auth pre-share
383207: Jan 25 15:23:10.231 YEKT: ISAKMP:      life type in seconds
383208: Jan 25 15:23:10.231 YEKT: ISAKMP:      life duration (VPI) of  0x0 0x0 0x1C 0x20
383209: Jan 25 15:23:10.231 YEKT: ISAKMP:(0):Hash algorithm offered does not match policy!
383210: Jan 25 15:23:10.231 YEKT: ISAKMP:(0):atts are not acceptable. Next payload is 0
383211: Jan 25 15:23:10.231 YEKT: ISAKMP:(0):no offers accepted!

Т.е. роутер определеяет только внешний IP, а не внутренний! Менять на внешний в pre-shared key или что-то другое надо донастроить?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от msanlimit (ok) on 25-Янв-17, 15:11 

> По данной инструкции в crypto isakmp key и crypto map указывается внутренний
> адрес за NAT. Т.е. в моем случае в обоих блоках 192.168.11.3.

Не так.  В примере указан и isakamp key внешний адрес пира и в  crypto map set peer указан внешний адрес.

crypto isakmp key cisco123 address 95.95.95.2
set peer 95.95.95.2


В acl для крипто карты указываете интересующий трафик.

access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255


А в acl для route-map запрещаете интересующий трафик для NAT-а и разрешаете трафик который нужно отправлять в NAT.

access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
access-list 110 permit ip 10.103.1.0 0.0.0.255 any


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 15:30 
>[оверквотинг удален]
> Не так.  В примере указан и isakamp key внешний адрес пира
> и в  crypto map set peer указан внешний адрес.
> crypto isakmp key cisco123 address 95.95.95.2
> set peer 95.95.95.2
> В acl для крипто карты указываете интересующий трафик.
> access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
>  А в acl для route-map запрещаете интересующий трафик для NAT-а и
> разрешаете трафик который нужно отправлять в NAT.
> access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
> access-list 110 permit ip 10.103.1.0 0.0.0.255 any

Ну так для роутера А адрес 95.95.95.20 является моим ВНУТРЕННИМ адресом роутера Б (ISA) перед НАТом... Мой ВНЕШНИЙ = 9.9.9.1 по схеме...

И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только (он прописан)...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от msanlimit (ok) on 25-Янв-17, 17:33 

> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
> (он прописан)...

Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:


TMG2010

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 99.99.37.29    
!
crypto ipsec transform-set set esp-des esp-sha-hmac
mode tunnel
!
crypto map map 10 ipsec-isakmp
set peer 99.99.37.29
set transform-set set
match address 101
!
interface Loopback0
description local-NET
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
description to-C2951_NAT
ip address 192.168.11.3 255.255.255.0
crypto map map
!
ip route 0.0.0.0 0.0.0.0 192.168.11.1
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255


С2951 NAT

!        
interface GigabitEthernet0/1
description to-INTERNET
ip address 212.87.199.5 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/2
description to-TMG2010
ip address 192.168.11.1 255.255.255.0
ip nat inside
!
ip nat inside source route-map nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 212.87.199.6
!
route-map nat permit 10
match ip address 101
!
access-list 101 deny   ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 permit ip 192.168.11.0 0.0.0.255 any

С2900

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 212.87.199.5  
!
crypto ipsec transform-set set esp-des esp-sha-hmac
mode tunnel
!
crypto map map 10 ipsec-isakmp
set peer 212.87.199.5
set transform-set set
match address 101
!
interface Loopback0
description local-NET
ip address 10.72.1.1 255.255.255.0
!
interface GigabitEthernet0/1
description to-INTERNET
ip address 99.99.37.29 255.255.255.0
crypto map map
!
ip route 0.0.0.0 0.0.0.0 99.99.37.28
!
access-list 101 permit ip 10.72.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 17:55 
>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>> (он прописан)...
> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:

TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером
Там нельзя применить настройки, как указано... Там все ограничено "мастером"...

Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT и роутере...

В данный момент привел инет напрямую на прокси TMG2010. Результат тот же и без NAT... ((

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 18:40 
>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>>> (он прописан)...
>> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
> TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером
> Там нельзя применить настройки, как указано... Там все ограничено "мастером"...
> Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT
> и роутере...
> В данный момент привел инет напрямую на прокси TMG2010. Результат тот же
> и без NAT... ((

Вот что получаю на второй фазе:

420540: Jan 25 20:33:49.754 YEKT: ISAKMP (6433): received packet from х.х.199.5 dport 500 sport 500 Global (R) QM_IDLE
420541: Jan 25 20:33:49.754 YEKT: ISAKMP: set new node 1 to QM_IDLE
420542: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing HASH payload. message ID = 1
420543: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing SA payload. message ID = 1
420544: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433):Checking IPSec proposal 1
420545: Jan 25 20:33:49.754 YEKT: ISAKMP: transform 1, ESP_DES
420546: Jan 25 20:33:49.754 YEKT: ISAKMP:   attributes in transform:
420547: Jan 25 20:33:49.754 YEKT: ISAKMP:      encaps is 1 (Tunnel)
420548: Jan 25 20:33:49.754 YEKT: ISAKMP:      authenticator is HMAC-SHA
420549: Jan 25 20:33:49.754 YEKT: ISAKMP:      group is 2
420550: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life type in seconds
420551: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80
420552: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life type in kilobytes
420553: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable.
420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported
420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with error 32
420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable! (local х.х.37.29 remote х.х.199.5)
420558: Jan 25 20:33:49.758 YEKT: ISAKMP: set new node -1100157279 to QM_IDLE
420559: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 568588472, message ID = 3194810017
420560: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): sending packet to х.х.199.5 my_port 500 peer_port 500 (R) QM_IDLE
420561: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending an IKE IPv4 Packet.
420562: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):purging node -1100157279
420563: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):deleting node 1 error TRUE reason "QM rejected"
420564: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
420565: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Old State = IKE_QM_READY  New State = IKE_QM_READY

И так по кругу...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от crash (ok) on 25-Янв-17, 18:50 
>[оверквотинг удален]
> life type in kilobytes
> 420553: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA
> life duration (VPI) of  0x0 0x46 0x50 0x0
> 420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable.
> 420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not
> supported
> 420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with
> error 32
> 420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable!
> (local х.х.37.29 remote х.х.199.5)

Это сообщение появляется в командах отладки, если списки доступа трафика IPSec не совпадают.

    1d00h: IPSec(validate_transform_proposal): proxy identities not supported
    1d00h: ISAKMP: IPSec policy invalidated proposal
    1d00h: ISAKMP (0:2): SA not acceptable!

Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем примере.

    Peer A
    access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255
    access-list 150 permit ip host 15.15.15.1 host 172.21.114.123
    Peer B
    access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255
    access-list 150 permit ip host 172.21.114.123 host 15.15.15.1

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 18:58 
>[оверквотинг удален]
>     1d00h: ISAKMP (0:2): SA not acceptable!
> Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи
> должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем
> примере.
>     Peer A
>     access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255
>     access-list 150 permit ip host 15.15.15.1 host 172.21.114.123
>     Peer B
>     access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255
>     access-list 150 permit ip host 172.21.114.123 host 15.15.15.1

Это понятно. Но как это реализовать на прокси-сервере Windows?!

Там правило такое: Allow access All outbound traffik from 172.16.0.0/22 to 10.72.0.0/24 All users

На маршрутизаторе правило такое:
ip access-list extended crypto-tsng
permit ip 10.72.0.0 0.0.255.255 172.16.0.0 0.0.3.255

Зеркальные же?


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 20:10 
>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>> (он прописан)...
> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:

Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за исключением конечно Windows... Результат тот же, ошибка та же ((

Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия канала ( Не знаю даже... Буду дальше рыть...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "IPSEC между Cisco Router и MS Forefront TMG"  +/
Сообщение от Dev_Dimon email(ok) on 25-Янв-17, 21:00 
>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>>> (он прописан)...
>> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
> Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за
> исключением конечно Windows... Результат тот же, ошибка та же ((
> Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия
> канала ( Не знаю даже... Буду дальше рыть...

УДАЛОСЬ РЕШИТЬ ПРОБЛЕМУ!

Вся проблема заключалась в том, что в настройках IPSec было установлено не одинаковое значение таймаута сессии в секундах в фазе 2. Установил значение, указанное на роутере и фаза 2 поднялась!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor