- IPSec ASA+MTK,
 msanlimit, 17:04 , 17-Авг-11 (1)
- IPSec ASA+MTK, alpolle, 11:41 , 18-Авг-11 (5)
- IPSec ASA+MTK, alpolle, 12:21 , 19-Авг-11 (6)
- IPSec ASA+MTK, Velos, 00:01 , 22-Авг-11 (7)
Доборого времени суток.
можно вывод команд
1)sho route
2)sho version?
- IPSec ASA+MTK, alpolle, 10:52 , 22-Авг-11 (8)
- IPSec ASA+MTK, Aleks305, 14:09 , 22-Авг-11 (9)
- IPSec ASA+MTK, Velos, 15:12 , 22-Авг-11 (10)
> Я подозреваю, что проблема с НАТом...
> Но где именно происходит затык - вот в чем вопрос...К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше...
Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям). 1) sho cry isa sa
2) sho cry ipsec sa real_cryptomap - должна быть только строка:
access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 всё остальное - убить. Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть. crypto ikev1 enable inside - тоже ни к чему. Убивайте. ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре. ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4.
Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально. ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).
- IPSec ASA+MTK, Velos, 16:31 , 22-Авг-11 (12)
В текущей конфигурации нат кривой.Насколько я понял - нужно так: object network OBJ-192.168.123.0
network 192.168.123.0 255.255.255.0
object network OBJ-192.168.88.0
network 192.168.88.0 255.255.255.0
nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0
- IPSec ASA+MTK, Aleks305, 17:22 , 22-Авг-11 (13)
- IPSec ASA+MTK, Velos, 18:39 , 22-Авг-11 (14)
> это то что раньше называлось nat 0 для того чтобы заворачивать траф
> в туннель vpn Ну нат 0 как такового, насколько я понял, вообще нет.
Теперь это статическая запись о с директивой заменять source адрес сам на себя...
Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...
- IPSec ASA+MTK, alpolle, 12:23 , 23-Авг-11 (15)
- IPSec ASA+MTK, Velos, 13:11 , 23-Авг-11 (16)
>[оверквотинг удален]
>> Построил айписек туннель между ASA 5510 и микротиком.
>> Сам по себе туннель поднимается, все фазы проходят.
>> НО! Внутри туннеля пакеты не ходят.
>> Т.е. из одной локалки не могу даже пропинговать другую.
>> Пакет уходит в туннель, а дальше - тишина на обоих его концах.
>> В чём грабли?
> Всем спасибо за помощь, тему можно закрывать.
> Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не
> только серые айпи локалки, но и хосты из ДМЗ с реальными
> адресами.Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам. Т.е. у Вас сейчас всё работает вот с этой строчкой?
>> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
- IPSec ASA+MTK, SyJet, 14:56 , 16-Ноя-12 (21)
|
Версия для распечатки
IPSec ASA+MTK, 
