- IPSec ASA+MTK, msanlimit, 17:04 , 17-Авг-11 (1)
- IPSec ASA+MTK, alpolle, 11:41 , 18-Авг-11 (5)
- IPSec ASA+MTK, alpolle, 12:21 , 19-Авг-11 (6)
- IPSec ASA+MTK, Velos, 00:01 , 22-Авг-11 (7)
Доборого времени суток. можно вывод команд 1)sho route 2)sho version?
- IPSec ASA+MTK, alpolle, 10:52 , 22-Авг-11 (8)
- IPSec ASA+MTK, Aleks305, 14:09 , 22-Авг-11 (9)
- IPSec ASA+MTK, Velos, 15:12 , 22-Авг-11 (10)
> Я подозреваю, что проблема с НАТом... > Но где именно происходит затык - вот в чем вопрос...К сожалению ещё не осилил новый синтаксис nat-a в 8.3 и выше... Можно ещё вывод команд, после того, как туннель усатновился (по Вашим ощущениям). 1) sho cry isa sa 2) sho cry ipsec sa real_cryptomap - должна быть только строка: access-list real_cryptomap extended permit ip 192.168.123.0 255.255.255.0 192.168.88.0 255.255.255.0 всё остальное - убить. Этот же трафик не должен натироваться - ща попробую вкурить в новый синтаксис и сказать, как должно быть. crypto ikev1 enable inside - тоже ни к чему. Убивайте. ЗЫ: советую для сосбтвенного удобства, все перменные, задаваемые пользователем (имена аксесс-листов, ип-пулов, групп и т.д.) писать в верхнем регистре. ЗЗЫ: также не советую пользоваться мастерами настройки чего-либо. Лучше всё сделать через CLI с предварительным осознанием того, что вводишь. Видимо ещё нет документов на cisco.com, по настройке L2L на 8.4. Хотя по идее кроме ната и приписке ikev1 ничего и не поменялось координально. ЗЗЗЫ: http://www.cisco.com/en/US/products/ps5855/products_configur... - все свои L2L поднимал в своё время по этой доке (через CLI).
- IPSec ASA+MTK, Velos, 16:31 , 22-Авг-11 (12)
В текущей конфигурации нат кривой.Насколько я понял - нужно так: object network OBJ-192.168.123.0 network 192.168.123.0 255.255.255.0 object network OBJ-192.168.88.0 network 192.168.88.0 255.255.255.0 nat (inside,real) source static OBJ-192.168.123.0 OBJ-192.168.123.0 destination static OBJ-192.168.88.0 OBJ-192.168.88.0
- IPSec ASA+MTK, Aleks305, 17:22 , 22-Авг-11 (13)
- IPSec ASA+MTK, Velos, 18:39 , 22-Авг-11 (14)
> это то что раньше называлось nat 0 для того чтобы заворачивать траф > в туннель vpn Ну нат 0 как такового, насколько я понял, вообще нет. Теперь это статическая запись о с директивой заменять source адрес сам на себя... Собственно в текущем конфиге у топикстартера всё врено, кроме (inside,inside)...
- IPSec ASA+MTK, alpolle, 12:23 , 23-Авг-11 (15)
- IPSec ASA+MTK, Velos, 13:11 , 23-Авг-11 (16)
>[оверквотинг удален] >> Построил айписек туннель между ASA 5510 и микротиком. >> Сам по себе туннель поднимается, все фазы проходят. >> НО! Внутри туннеля пакеты не ходят. >> Т.е. из одной локалки не могу даже пропинговать другую. >> Пакет уходит в туннель, а дальше - тишина на обоих его концах. >> В чём грабли? > Всем спасибо за помощь, тему можно закрывать. > Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не > только серые айпи локалки, но и хосты из ДМЗ с реальными > адресами.Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам. Т.е. у Вас сейчас всё работает вот с этой строчкой? >> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
- IPSec ASA+MTK, SyJet, 14:56 , 16-Ноя-12 (21)
|