upd
с помощью tcpdump-а на шлюзе обнаружил следующее:
UDP пакеты по 500 порту шифруются и летают туда и обратно...
Но когда запускаю пинг с одной сети в другую, видимо АСА не пропускает протокол 50 (ESP).Вот пример udp-пакетов:
10:38:11.602080 IP (tos 0x0, ttl 254, id 6516, offset 0, flags [none], proto UDP (17), length 112)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 I ident[E]: [encrypted id]
10:38:11.726696 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 96)
95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 1 R ident[E]: [encrypted id]
10:38:11.730101 IP (tos 0x0, ttl 254, id 32376, offset 0, flags [none], proto UDP (17), length 360)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:12.364246 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto UDP (17), length 336)
95.111.xxx.xxx.isakmp > 91.223.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others R oakley-quick[E]: [encrypted hash]
10:38:12.368180 IP (tos 0x0, ttl 254, id 22024, offset 0, flags [none], proto UDP (17), length 104)
91.223.xxx.xxx.isakmp > 95.111.xxx.xxx.isakmp: isakmp 1.0 msgid : phase 2/others I oakley-quick[E]: [encrypted hash]
10:38:31.017089 IP (tos 0x0, ttl 254, id 2108, offset 0, flags [none], proto UDP (17), length 112)
А вот пример пинга со стороны сети микротика:
10:34:49.008397 IP (tos 0x0, ttl 57, id 37145, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x8), length 92
10:34:54.000711 IP (tos 0x0, ttl 57, id 37146, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0x9), length 92
10:34:59.006833 IP (tos 0x0, ttl 57, id 37147, offset 0, flags [none], proto ESP (50), length 112)
95.111.xxx.xxx > 91.223.xxx.xxx: ESP(spi=0xe365ce70,seq=0xa), length 92
Когда же пингую со стороны сети АСы, tcpdump вообще ничего не показывает (((
Версия для распечатки
