forum.opennet.ru

"IPSec ASA+MTK"

Форум Маршрутизаторы CISCO и др. оборудование.
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "IPSec ASA+MTK"	+/–
Сообщение от Velos (ok), 23-Авг-11, 13:11
>[оверквотинг удален] >> Построил айписек туннель между ASA 5510 и микротиком. >> Сам по себе туннель поднимается, все фазы проходят. >> НО! Внутри туннеля пакеты не ходят. >> Т.е. из одной локалки не могу даже пропинговать другую. >> Пакет уходит в туннель, а дальше - тишина на обоих его концах. >> В чём грабли? > Всем спасибо за помощь, тему можно закрывать. > Кому интересно - проблема была в промежуточном шлюзе, который втихаря натил не > только серые айпи локалки, но и хосты из ДМЗ с реальными > адресами. Так ESP полностью упаковывает изначальный IP-пакет в новый, где уже src и dst адреса - это внешние адреса интрефейсов двух устрйоств. Если где-то нат по-пути стоять будет - он будет применяться именно к этим адресам. Т.е. у Вас сейчас всё работает вот с этой строчкой? >> nat (inside,inside) source static NETWORK_OBJ_192.168.123.0_24 NETWORK_OBJ_192.168.123.0_24 destination static NETWORK_OBJ_192.168.88.0_24 NETWORK_OBJ_192.168.88.0_24 ???
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPSec ASA+MTK, alpolle, 17-Авг-11, 12:55 [смотреть все]

Видимо не все фазы проходят Как насчёт скинуть конф и дебаги , msanlimit, 17-Авг-11, 17:04 (1) //
- Фазы проходят все - факт Туннель работает Сниффер показывает, что пакеты адресо, alpolle, 17-Авг-11, 18:15 (2) //
  - gt оверквотинг удален вот эта строчка нужнаа это зачем в acl убирайтеа это зач, Aleks305, 17-Авг-11, 23:04 (3) //
    - дык она есть эт я на всякий случай поставил, чтобы исключить, что проблема в ф, alpolle, 18-Авг-11, 09:54 (4)
updс помощью tcpdump-а на шлюзе обнаружил следующее UDP пакеты по 500 порту шифр, alpolle, 18-Авг-11, 11:41 (5) //
- gt оверквотинг удален разве никто не может помочь , alpolle, 19-Авг-11, 12:21 (6) //
  - Доборого времени суток можно вывод команд1 sho route2 sho version , Velos, 22-Авг-11, 00:01 (7) //
    - sh routeGateway of last resort is 91 223 xxx xxx to network 0 0 0 0C 192 16, alpolle, 22-Авг-11, 10:52 (8)
      - gt оверквотинг удален Кстати вопрос не по теме А asa k8 у Вас поддерживает ae, Aleks305, 22-Авг-11, 14:09 (9)
      - К сожалению ещё не осилил новый синтаксис nat-a в 8 3 и выше Можно ещё вывод к, Velos, 22-Авг-11, 15:12 (10)
        
        В текущей конфигурации нат кривой Насколько я понял - нужно так object network O, Velos, 22-Авг-11, 16:31 (12)
        
        тоже с 8 4 не особо разбираюсьэто то что раньше называлось nat 0 для того чтобы , Aleks305, 22-Авг-11, 17:22 (13)
        
        Ну нат 0 как такового, насколько я понял, вообще нет Теперь это статическая запи, Velos, 22-Авг-11, 18:39 (14)
Всем спасибо за помощь, тему можно закрывать Кому интересно - проблема была в пр, alpolle, 23-Авг-11, 12:23 (15) //
- gt оверквотинг удален Так ESP полностью упаковывает изначальный IP-пакет в нов , Velos, 23-Авг-11, 13:11 (16) //
  - gt оверквотинг удален Получилось так, что АСА не видела, что находится за НАТо, alpolle, 23-Авг-11, 13:42 (17) //
    - gt оверквотинг удален а на мой ответ по поводу закупки asa ответить можете , Aleks305, 23-Авг-11, 16:32 (18)
      - покупали асу у официального дистрибутора с лицензией не скажу у кого, т к это, alpolle, 23-Авг-11, 17:24 (19)
        
        ок, спасибо Меня удивило, что ios с k8 содержит aes и так далее, я думал что k9, Aleks305, 23-Авг-11, 18:03 (20)
Прошу прощение за оффтоп Как с вами связаться можно По вопросу cisco webcashe, SyJet, 16-Ноя-12, 14:56 (21)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру