Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

IPSec ASA+MTK, alpolle (ok), 17-Авг-11, (0) [смотреть все] Видимо не все фазы проходят Как насчёт скинуть конф и дебаги , msanlimit (ok), 17:04 , 17-Авг-11, (1) // Фазы проходят все - факт Туннель работает Сниффер показывает, что пакеты адресо, alpolle (ok), 18:15 , 17-Авг-11, (2) // gt оверквотинг удален вот эта строчка нужнаа это зачем в acl убирайтеа это зач, Aleks305 (ok), 23:04 , 17-Авг-11, (3) // дык она есть эт я на всякий случай поставил, чтобы исключить, что проблема в ф, alpolle (ok), 09:54 , 18-Авг-11, (4) updс помощью tcpdump-а на шлюзе обнаружил следующее UDP пакеты по 500 порту шифр, alpolle (ok), 11:41 , 18-Авг-11, (5) // gt оверквотинг удален разве никто не может помочь , alpolle (ok), 12:21 , 19-Авг-11, (6) // Доборого времени суток можно вывод команд1 sho route2 sho version , Velos (ok), 00:01 , 22-Авг-11, (7)   // sh routeGateway of last resort is 91 223 xxx xxx to network 0 0 0 0C 192 16, alpolle (ok), 10:52 , 22-Авг-11, (8)   gt оверквотинг удален Кстати вопрос не по теме А asa k8 у Вас поддерживает ae, Aleks305 (ok), 14:09 , 22-Авг-11, (9)   К сожалению ещё не осилил новый синтаксис nat-a в 8 3 и выше Можно ещё вывод к, Velos (ok), 15:12 , 22-Авг-11, (10)   В текущей конфигурации нат кривой Насколько я понял - нужно так object network O, Velos (ok), 16:31 , 22-Авг-11, (12)   тоже с 8 4 не особо разбираюсьэто то что раньше называлось nat 0 для того чтобы , Aleks305 (ok), 17:22 , 22-Авг-11, (13)   Ну нат 0 как такового, насколько я понял, вообще нет Теперь это статическая запи, Velos (ok), 18:39 , 22-Авг-11, (14)   Всем спасибо за помощь, тему можно закрывать Кому интересно - проблема была в пр, alpolle (ok), 12:23 , 23-Авг-11, (15) // gt оверквотинг удален Так ESP полностью упаковывает изначальный IP-пакет в нов, Velos (ok), 13:11 , 23-Авг-11, (16) // gt оверквотинг удален Получилось так, что АСА не видела, что находится за НАТо, alpolle (ok), 13:42 , 23-Авг-11, (17) // gt оверквотинг удален а на мой ответ по поводу закупки asa ответить можете , Aleks305 (ok), 16:32 , 23-Авг-11, (18) покупали асу у официального дистрибутора с лицензией не скажу у кого, т к это, alpolle (ok), 17:24 , 23-Авг-11, (19) ок, спасибо Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9, Aleks305 (ok), 18:03 , 23-Авг-11, (20) Прошу прощение за оффтоп Как с вами связаться можно По вопросу cisco webcashe, SyJet (ok), 14:56 , 16-Ноя-12, (21) 1,5,15,21

Сообщения

[Сортировка по времени | RSS]

	7. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok), 22-Авг-11, 00:01
	Доборого времени суток. можно вывод команд 1)sho route 2)sho version ?
	Ответить | Правка | Наверх | Cообщить модератору

	8. "IPSec ASA+MTK"	+/–
	Сообщение от alpolle (ok), 22-Авг-11, 10:52
	> Доборого времени суток. > можно вывод команд > 1)sho route > 2)sho version > ? # sh route Gateway of last resort is 91.223.xxx.xxx to network 0.0.0.0 C    192.168.123.0 255.255.255.0 is directly connected, inside C    10.10.10.0 255.255.255.252 is directly connected, outside C    91.223.xxx.0 255.255.255.0 is directly connected, real S*   0.0.0.0 0.0.0.0 [1/0] via 91.223.xxx.xxx, real # sh version Cisco Adaptive Security Appliance Software Version 8.4(1) Device Manager Version 6.4(3) Compiled on Mon 31-Jan-11 02:11 by builders System image file is "disk0:/asa841-k8.bin" Config file at boot was "startup-config" ASA up 1 day 16 hours Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Я подозреваю, что проблема с НАТом... Но где именно происходит затык - вот в чем вопрос...
	Ответить | Правка | Наверх | Cообщить модератору

	9. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok), 22-Авг-11, 14:09
	>[оверквотинг удален] > Compiled on Mon 31-Jan-11 02:11 by builders > System image file is "disk0:/asa841-k8.bin" > Config file at boot was "startup-config" > ASA up 1 day 16 hours > Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 > MHz > Internal ATA Compact Flash, 256MB > BIOS Flash M50FW016 @ 0xfff00000, 2048KB > Я подозреваю, что проблема с НАТом... > Но где именно происходит затык - вот в чем вопрос... Кстати вопрос не по теме. А asa k8 у Вас поддерживает aes и 3des. У кого закупали?Смотрю ios свежий. Тоже хотим закупить, а все говорят что нельзя. Или вы закупили без сильных криптоалгоритмов, а потом активировали лицензию.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok), 22-Авг-11, 15:12
	> Я подозреваю, что проблема с НАТом... > Но где именно происходит затык - вот в чем вопрос... К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше... Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям). 1) sho cry isa sa 2) sho cry ipsec sa real_cryptomap - должна быть только строка: access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 всё остальное - убить. Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть. crypto ikev1 enable inside - тоже ни к чему. Убивайте. ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре. ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4. Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально. ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	12. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok), 22-Авг-11, 16:31
	В текущей конфигурации нат кривой. Насколько я понял - нужно так: object network OBJ-192.168.123.0    network 192.168.123.0 255.255.255.0 object network OBJ-192.168.88.0    network 192.168.88.0 255.255.255.0 nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0
	Ответить | Правка | Наверх | Cообщить модератору

	13. "IPSec ASA+MTK"	+/–
	Сообщение от Aleks305 (ok), 22-Авг-11, 17:22
	тоже с 8.4 не особо разбираюсь > nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static > OBJ-192.168.88.0 OBJ-192.168.88.0 это то что раньше называлось nat 0 для того чтобы заворачивать траф в туннель vpn
	Ответить | Правка | Наверх | Cообщить модератору

	14. "IPSec ASA+MTK"	+/–
	Сообщение от Velos (ok), 22-Авг-11, 18:39
	> это то что раньше называлось nat 0 для того чтобы заворачивать траф > в туннель vpn Ну нат 0 как такового, насколько я понял, вообще нет. Теперь это статическая запись о с директивой заменять source адрес сам на себя... Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема