forum.opennet.ru

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

IPSEC между Cisco Router и MS Forefront TMG, Dev_Dimon (ok), 25-Янв-17, (0) [смотреть все]

Взгляни на данный пример http www cisco com c en us support docs security-vpn , msanlimit (ok), 11:39 , 25-Янв-17, (1) //

По данной инструкции в crypto isakmp key и crypto map указывается внутренний адр, Dev_Dimon (ok), 13:24 , 25-Янв-17, (2) //

Не так В примере указан и isakamp key внешний адрес пира и в crypto map set p, msanlimit (ok), 15:11 , 25-Янв-17, (3) //

gt оверквотинг удален Ну так для роутера А адрес 95 95 95 20 является моим ВНУ, Dev_Dimon (ok), 15:30 , 25-Янв-17, (4)

Посмотри конфиги ниже, на основании твоей схемы У меня туннель работает TMG2010, msanlimit (ok), 17:33 , 25-Янв-17, (5)

TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-серверомТам нельзя пр, Dev_Dimon (ok), 17:55 , 25-Янв-17, (6)

Вот что получаю на второй фазе 420540 Jan 25 20 33 49 754 YEKT ISAKMP 6433 , Dev_Dimon (ok), 18:40 , 25-Янв-17, (7)

gt оверквотинг удален Это сообщение появляется в командах отладки, если списки, crash (ok), 18:50 , 25-Янв-17, (8)

gt оверквотинг удален Это понятно Но как это реализовать на прокси-сервере Wi, Dev_Dimon (ok), 18:58 , 25-Янв-17, (9)

Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за исключе, Dev_Dimon (ok), 20:10 , 25-Янв-17, (10)

УДАЛОСЬ РЕШИТЬ ПРОБЛЕМУ Вся проблема заключалась в том, что в настройках IPSec б, Dev_Dimon (ok), 21:00 , 25-Янв-17, (11)

Сообщения [Сортировка по времени | RSS]

3. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от msanlimit (ok), 25-Янв-17, 15:11

> По данной инструкции в crypto isakmp key и crypto map указывается внутренний
> адрес за NAT. Т.е. в моем случае в обоих блоках 192.168.11.3.
Не так.  В примере указан и isakamp key внешний адрес пира и в  crypto map set peer указан внешний адрес.
crypto isakmp key cisco123 address 95.95.95.2
set peer 95.95.95.2

В acl для крипто карты указываете интересующий трафик.
access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255

А в acl для route-map запрещаете интересующий трафик для NAT-а и разрешаете трафик который нужно отправлять в NAT.
access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
access-list 110 permit ip 10.103.1.0 0.0.0.255 any

Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 15:30

>[оверквотинг удален]
> Не так.  В примере указан и isakamp key внешний адрес пира
> и в  crypto map set peer указан внешний адрес.
> crypto isakmp key cisco123 address 95.95.95.2
> set peer 95.95.95.2
> В acl для крипто карты указываете интересующий трафик.
> access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
>  А в acl для route-map запрещаете интересующий трафик для NAT-а и
> разрешаете трафик который нужно отправлять в NAT.
> access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255
> access-list 110 permit ip 10.103.1.0 0.0.0.255 any
Ну так для роутера А адрес 95.95.95.20 является моим ВНУТРЕННИМ адресом роутера Б (ISA) перед НАТом... Мой ВНЕШНИЙ = 9.9.9.1 по схеме...
И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только (он прописан)...

Ответить | Правка | Наверх | Cообщить модератору

5. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от msanlimit (ok), 25-Янв-17, 17:33

> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
> (он прописан)...
Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:

TMG2010
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 99.99.37.29
!
crypto ipsec transform-set set esp-des esp-sha-hmac
mode tunnel
!
crypto map map 10 ipsec-isakmp
set peer 99.99.37.29
set transform-set set
match address 101
!
interface Loopback0
description local-NET
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet0/1
description to-C2951_NAT
ip address 192.168.11.3 255.255.255.0
crypto map map
!
ip route 0.0.0.0 0.0.0.0 192.168.11.1
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255

С2951 NAT
!
interface GigabitEthernet0/1
description to-INTERNET
ip address 212.87.199.5 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/2
description to-TMG2010
ip address 192.168.11.1 255.255.255.0
ip nat inside
!
ip nat inside source route-map nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 212.87.199.6
!
route-map nat permit 10
match ip address 101
!
access-list 101 deny   ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 permit ip 192.168.11.0 0.0.0.255 any
С2900
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 212.87.199.5
!
crypto ipsec transform-set set esp-des esp-sha-hmac
mode tunnel
!
crypto map map 10 ipsec-isakmp
set peer 212.87.199.5
set transform-set set
match address 101
!
interface Loopback0
description local-NET
ip address 10.72.1.1 255.255.255.0
!
interface GigabitEthernet0/1
description to-INTERNET
ip address 99.99.37.29 255.255.255.0
crypto map map
!
ip route 0.0.0.0 0.0.0.0 99.99.37.28
!
access-list 101 permit ip 10.72.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Ответить | Правка | Наверх | Cообщить модератору

6. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 17:55

>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>> (он прописан)...
> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером
Там нельзя применить настройки, как указано... Там все ограничено "мастером"...
Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT и роутере...
В данный момент привел инет напрямую на прокси TMG2010. Результат тот же и без NAT... ((

Ответить | Правка | Наверх | Cообщить модератору

7. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 18:40

>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>>> (он прописан)...
>> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
> TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером
> Там нельзя применить настройки, как указано... Там все ограничено "мастером"...
> Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT
> и роутере...
> В данный момент привел инет напрямую на прокси TMG2010. Результат тот же
> и без NAT... ((
Вот что получаю на второй фазе:
420540: Jan 25 20:33:49.754 YEKT: ISAKMP (6433): received packet from х.х.199.5 dport 500 sport 500 Global (R) QM_IDLE
420541: Jan 25 20:33:49.754 YEKT: ISAKMP: set new node 1 to QM_IDLE
420542: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing HASH payload. message ID = 1
420543: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing SA payload. message ID = 1
420544: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433):Checking IPSec proposal 1
420545: Jan 25 20:33:49.754 YEKT: ISAKMP: transform 1, ESP_DES
420546: Jan 25 20:33:49.754 YEKT: ISAKMP:   attributes in transform:
420547: Jan 25 20:33:49.754 YEKT: ISAKMP:      encaps is 1 (Tunnel)
420548: Jan 25 20:33:49.754 YEKT: ISAKMP:      authenticator is HMAC-SHA
420549: Jan 25 20:33:49.754 YEKT: ISAKMP:      group is 2
420550: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life type in seconds
420551: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0x70 0x80
420552: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life type in kilobytes
420553: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable.
420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported
420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with error 32
420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable! (local х.х.37.29 remote х.х.199.5)
420558: Jan 25 20:33:49.758 YEKT: ISAKMP: set new node -1100157279 to QM_IDLE
420559: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 568588472, message ID = 3194810017
420560: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): sending packet to х.х.199.5 my_port 500 peer_port 500 (R) QM_IDLE
420561: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending an IKE IPv4 Packet.
420562: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):purging node -1100157279
420563: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):deleting node 1 error TRUE reason "QM rejected"
420564: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
420565: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Old State = IKE_QM_READY  New State = IKE_QM_READY
И так по кругу...

Ответить | Правка | Наверх | Cообщить модератору

8. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от crash (ok), 25-Янв-17, 18:50

>[оверквотинг удален]
> life type in kilobytes
> 420553: Jan 25 20:33:49.754 YEKT: ISAKMP:      SA
> life duration (VPI) of  0x0 0x46 0x50 0x0
> 420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable.
> 420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not
> supported
> 420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with
> error 32
> 420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable!
> (local х.х.37.29 remote х.х.199.5)
Это сообщение появляется в командах отладки, если списки доступа трафика IPSec не совпадают.
    1d00h: IPSec(validate_transform_proposal): proxy identities not supported
    1d00h: ISAKMP: IPSec policy invalidated proposal
    1d00h: ISAKMP (0:2): SA not acceptable!
Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем примере.
    Peer A
    access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255
    access-list 150 permit ip host 15.15.15.1 host 172.21.114.123
    Peer B
    access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255
    access-list 150 permit ip host 172.21.114.123 host 15.15.15.1

Ответить | Правка | Наверх | Cообщить модератору

9. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 18:58

>[оверквотинг удален]
>     1d00h: ISAKMP (0:2): SA not acceptable!
> Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи
> должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем
> примере.
>     Peer A
>     access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255
>     access-list 150 permit ip host 15.15.15.1 host 172.21.114.123
>     Peer B
>     access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255
>     access-list 150 permit ip host 172.21.114.123 host 15.15.15.1
Это понятно. Но как это реализовать на прокси-сервере Windows?!
Там правило такое: Allow access All outbound traffik from 172.16.0.0/22 to 10.72.0.0/24 All users
На маршрутизаторе правило такое:
ip access-list extended crypto-tsng
permit ip 10.72.0.0 0.0.255.255 172.16.0.0 0.0.3.255
Зеркальные же?

Ответить | Правка | Наверх | Cообщить модератору

10. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 20:10

>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>> (он прописан)...
> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за исключением конечно Windows... Результат тот же, ошибка та же ((
Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия канала ( Не знаю даже... Буду дальше рыть...

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "IPSEC между Cisco Router и MS Forefront TMG" +/–

Сообщение от Dev_Dimon (ok), 25-Янв-17, 21:00

>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только
>>> (он прописан)...
>> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает:
> Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за
> исключением конечно Windows... Результат тот же, ошибка та же ((
> Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия
> канала ( Не знаю даже... Буду дальше рыть...
УДАЛОСЬ РЕШИТЬ ПРОБЛЕМУ!
Вся проблема заключалась в том, что в настройках IPSec было установлено не одинаковое значение таймаута сессии в секундах в фазе 2. Установил значение, указанное на роутере и фаза 2 поднялась!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	3. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от msanlimit (ok), 25-Янв-17, 15:11
	> По данной инструкции в crypto isakmp key и crypto map указывается внутренний > адрес за NAT. Т.е. в моем случае в обоих блоках 192.168.11.3. Не так. В примере указан и isakamp key внешний адрес пира и в crypto map set peer указан внешний адрес. crypto isakmp key cisco123 address 95.95.95.2 set peer 95.95.95.2 В acl для крипто карты указываете интересующий трафик. access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 А в acl для route-map запрещаете интересующий трафик для NAT-а и разрешаете трафик который нужно отправлять в NAT. access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 access-list 110 permit ip 10.103.1.0 0.0.0.255 any
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 15:30
	>[оверквотинг удален] > Не так. В примере указан и isakamp key внешний адрес пира > и в crypto map set peer указан внешний адрес. > crypto isakmp key cisco123 address 95.95.95.2 > set peer 95.95.95.2 > В acl для крипто карты указываете интересующий трафик. > access-list 115 permit ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 > А в acl для route-map запрещаете интересующий трафик для NAT-а и > разрешаете трафик который нужно отправлять в NAT. > access-list 110 deny ip 10.103.1.0 0.0.0.255 10.50.50.0 0.0.0.255 > access-list 110 permit ip 10.103.1.0 0.0.0.255 any Ну так для роутера А адрес 95.95.95.20 является моим ВНУТРЕННИМ адресом роутера Б (ISA) перед НАТом... Мой ВНЕШНИЙ = 9.9.9.1 по схеме... И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только (он прописан)...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от msanlimit (ok), 25-Янв-17, 17:33
	> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только > (он прописан)... Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: TMG2010 crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco address 99.99.37.29 ! crypto ipsec transform-set set esp-des esp-sha-hmac mode tunnel ! crypto map map 10 ipsec-isakmp set peer 99.99.37.29 set transform-set set match address 101 ! interface Loopback0 description local-NET ip address 172.16.1.1 255.255.255.0 ! interface GigabitEthernet0/1 description to-C2951_NAT ip address 192.168.11.3 255.255.255.0 crypto map map ! ip route 0.0.0.0 0.0.0.0 192.168.11.1 ! access-list 101 permit ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255 С2951 NAT ! interface GigabitEthernet0/1 description to-INTERNET ip address 212.87.199.5 255.255.255.0 ip nat outside ! interface GigabitEthernet0/2 description to-TMG2010 ip address 192.168.11.1 255.255.255.0 ip nat inside ! ip nat inside source route-map nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 212.87.199.6 ! route-map nat permit 10 match ip address 101 ! access-list 101 deny ip 172.16.1.0 0.0.0.255 10.72.1.0 0.0.0.255 access-list 101 permit ip 172.16.1.0 0.0.0.255 any access-list 101 permit ip 192.168.11.0 0.0.0.255 any С2900 crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco address 212.87.199.5 ! crypto ipsec transform-set set esp-des esp-sha-hmac mode tunnel ! crypto map map 10 ipsec-isakmp set peer 212.87.199.5 set transform-set set match address 101 ! interface Loopback0 description local-NET ip address 10.72.1.1 255.255.255.0 ! interface GigabitEthernet0/1 description to-INTERNET ip address 99.99.37.29 255.255.255.0 crypto map map ! ip route 0.0.0.0 0.0.0.0 99.99.37.28 ! access-list 101 permit ip 10.72.1.0 0.0.0.255 172.16.1.0 0.0.0.255
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 17:55
	>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только >> (он прописан)... > Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером Там нельзя применить настройки, как указано... Там все ограничено "мастером"... Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT и роутере... В данный момент привел инет напрямую на прокси TMG2010. Результат тот же и без NAT... ((
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 18:40
	>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только >>> (он прописан)... >> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: > TMG2010 - Это Windows-машина с Microsoft TMG 2010 - прокси-сервером > Там нельзя применить настройки, как указано... Там все ограничено "мастером"... > Но спасибо, чуть позже, когда верну схему - сравню настройки на NAT > и роутере... > В данный момент привел инет напрямую на прокси TMG2010. Результат тот же > и без NAT... (( Вот что получаю на второй фазе: 420540: Jan 25 20:33:49.754 YEKT: ISAKMP (6433): received packet from х.х.199.5 dport 500 sport 500 Global (R) QM_IDLE 420541: Jan 25 20:33:49.754 YEKT: ISAKMP: set new node 1 to QM_IDLE 420542: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing HASH payload. message ID = 1 420543: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433): processing SA payload. message ID = 1 420544: Jan 25 20:33:49.754 YEKT: ISAKMP:(6433):Checking IPSec proposal 1 420545: Jan 25 20:33:49.754 YEKT: ISAKMP: transform 1, ESP_DES 420546: Jan 25 20:33:49.754 YEKT: ISAKMP: attributes in transform: 420547: Jan 25 20:33:49.754 YEKT: ISAKMP: encaps is 1 (Tunnel) 420548: Jan 25 20:33:49.754 YEKT: ISAKMP: authenticator is HMAC-SHA 420549: Jan 25 20:33:49.754 YEKT: ISAKMP: group is 2 420550: Jan 25 20:33:49.754 YEKT: ISAKMP: SA life type in seconds 420551: Jan 25 20:33:49.754 YEKT: ISAKMP: SA life duration (VPI) of 0x0 0x0 0x70 0x80 420552: Jan 25 20:33:49.754 YEKT: ISAKMP: SA life type in kilobytes 420553: Jan 25 20:33:49.754 YEKT: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable. 420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not supported 420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with error 32 420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable! (local х.х.37.29 remote х.х.199.5) 420558: Jan 25 20:33:49.758 YEKT: ISAKMP: set new node -1100157279 to QM_IDLE 420559: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3 spi 568588472, message ID = 3194810017 420560: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): sending packet to х.х.199.5 my_port 500 peer_port 500 (R) QM_IDLE 420561: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Sending an IKE IPv4 Packet. 420562: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):purging node -1100157279 420563: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):deleting node 1 error TRUE reason "QM rejected" 420564: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH 420565: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):Old State = IKE_QM_READY New State = IKE_QM_READY И так по кругу...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от crash (ok), 25-Янв-17, 18:50
	>[оверквотинг удален] > life type in kilobytes > 420553: Jan 25 20:33:49.754 YEKT: ISAKMP: SA > life duration (VPI) of 0x0 0x46 0x50 0x0 > 420554: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433):atts are acceptable. > 420555: Jan 25 20:33:49.758 YEKT: IPSEC(ipsec_process_proposal): proxy identities not > supported > 420556: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): IPSec policy invalidated proposal with > error 32 > 420557: Jan 25 20:33:49.758 YEKT: ISAKMP:(6433): phase 2 SA policy not acceptable! > (local х.х.37.29 remote х.х.199.5) Это сообщение появляется в командах отладки, если списки доступа трафика IPSec не совпадают. 1d00h: IPSec(validate_transform_proposal): proxy identities not supported 1d00h: ISAKMP: IPSec policy invalidated proposal 1d00h: ISAKMP (0:2): SA not acceptable! Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем примере. Peer A access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255 access-list 150 permit ip host 15.15.15.1 host 172.21.114.123 Peer B access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255 access-list 150 permit ip host 172.21.114.123 host 15.15.15.1
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 18:58
	>[оверквотинг удален] > 1d00h: ISAKMP (0:2): SA not acceptable! > Списки доступа каждого узла должны быть зеркальным отражением друг друга (все записи > должны быть зеркальным отражением друг друга). Этот вопрос представлен в следующем > примере. > Peer A > access-list 150 permit ip 172.21.113.0 0.0.0.255 172.21.114.0 0.0.0.255 > access-list 150 permit ip host 15.15.15.1 host 172.21.114.123 > Peer B > access-list 150 permit ip 172.21.114.0 0.0.0.255 172.21.113.0 0.0.0.255 > access-list 150 permit ip host 172.21.114.123 host 15.15.15.1 Это понятно. Но как это реализовать на прокси-сервере Windows?! Там правило такое: Allow access All outbound traffik from 172.16.0.0/22 to 10.72.0.0/24 All users На маршрутизаторе правило такое: ip access-list extended crypto-tsng permit ip 10.72.0.0 0.0.255.255 172.16.0.0 0.0.3.255 Зеркальные же?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 20:10
	>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только >> (он прописан)... > Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за исключением конечно Windows... Результат тот же, ошибка та же (( Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия канала ( Не знаю даже... Буду дальше рыть...
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	11. "IPSEC между Cisco Router и MS Forefront TMG"	+/–
	Сообщение от Dev_Dimon (ok), 25-Янв-17, 21:00
	>>> И на роутере А - НЕТ НАТа, т.е. прописывается интересный трафик только >>> (он прописан)... >> Посмотри конфиги ниже, на основании твоей схемы. У меня туннель работает: > Вернул конфигурацию сети с НАТом, сделал все как в указанном конфиге, за > исключением конечно Windows... Результат тот же, ошибка та же (( > Думаю, что тут проблема взаимодействия Cisco и стороннего производителя в процессе поднятия > канала ( Не знаю даже... Буду дальше рыть... УДАЛОСЬ РЕШИТЬ ПРОБЛЕМУ! Вся проблема заключалась в том, что в настройках IPSec было установлено не одинаковое значение таймаута сессии в секундах в фазе 2. Установил значение, указанное на роутере и фаза 2 поднялась!
	Ответить \| Правка \| Наверх \| Cообщить модератору