- Проблема с IpSec тунелем, ilya, 09:23 , 15-Авг-06 (1)
а чего тут разибраться. оно никогда не заработает пока мапа будет инкомлит. проверьте - у вас трансформсет правильно указан? в конфиге один, а в мапе другой.crypto ipsec transform-set depfin esp-3des esp-sha-hmac crypto map vpn 100 ipsec-isakmp ! Incomplete set peer 195.162.x.x. set transform-set vpn match address 101
- Проблема с IpSec тунелем, JK, 09:26 , 15-Авг-06 (2)
>! >crypto map vpn 100 ipsec-isakmp > ! Incomplete > set peer 195.162.x.x. > set transform-set vpn > match address 101 >! А где acl 101 ?
- Проблема с IpSec тунелем, Fiser, 20:56 , 15-Авг-06 (4)
>>! >>crypto map vpn 100 ipsec-isakmp >> ! Incomplete >> set peer 195.162.x.x. >> set transform-set vpn >> match address 101 >>! > >А где acl 101 ? Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо, но с цисками работаю недавно по этому извеняйте. Как мне разделить чтобы трафик из лок. сети В в инет шёл как обычно а в между сетями А и В постоянный шифрованный канал поднят причем из А полный доступ к сети В.
- Проблема с IpSec тунелем, angelweb, 21:59 , 15-Авг-06 (5)
>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо, >но с цисками работаю недавно по этому извеняйте. Как мне разделить >чтобы трафик из лок. сети В в инет шёл как обычно >а в между сетями А и В постоянный шифрованный канал >поднят причем из А полный доступ к сети В. Изучай ACl
Некоторые основы тут http://www.faq-cisco.ru/page.php?id=5
- Проблема с IpSec тунелем, Fiser, 07:18 , 16-Авг-06 (6)
>>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо, >>но с цисками работаю недавно по этому извеняйте. Как мне разделить >>чтобы трафик из лок. сети В в инет шёл как обычно >>а в между сетями А и В постоянный шифрованный канал >>поднят причем из А полный доступ к сети В. > > >Изучай ACl > >Некоторые основы тут http://www.faq-cisco.ru/page.php?id=5Так ну с доступом вроде разберусь. А подскажите плиз криптомапа цеплять нада на VLAN или Dialer интерфейс. По докам смотрел везде примеры разные а новичку все таки трудновато пока что. И Ipsec ведь можно же и без tunnel делать это же по умолчанию тунель и есть? Спасибо
- Проблема с IpSec тунелем, Fiser, 09:56 , 16-Авг-06 (7)
Вот что получилось но не прет все равно Подскажите в чем косяк. Понимаю что не гений я конечно :)aaa authentication attempts login 5 aaa session-id common ip subnet-zero ip cef ! ! no ip domain lookup ip domain name ip name-server 195._____ vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key !!!!!!!!!address 195.162.x.x ! ! crypto ipsec transform-set dep esp-3des esp-sha-hmac ! crypto map dep 100 ipsec-isakmp set peer 195.162.x.x set transform-set dep match address 101 reverse-route ! ! ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 no ip address no cdp enable ! interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.y.y 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.__.__ 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ______ password ______ ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source list 100 interface Dialer1 overload ! access-list 100 deny ip 172.___._.0 0.0.0.255 10.__.__.0 0.0.0.255 access-list 100 permit ip 172.__.__.0 0.0.0.255 any access-list 101 permit ip 172.__.__.0 0.0.0.255 10.__.__.0 0.0.0.255 no cdp run ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 privilege level 15 transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 ntp clock-period 17180529 ntp master 3 ntp server 80.240.109.1 prefer end
- Проблема с IpSec тунелем, ilya, 10:57 , 16-Авг-06 (8)
- Проблема с IpSec тунелем, Fiser, 11:16 , 16-Авг-06 (9)
>а что не получается? не видна лок. сеть за циской и не пингуется пинг идет только на внешний адрес циски похоже что тунель так и не поднят
- Проблема с IpSec тунелем, angelweb, 11:31 , 16-Авг-06 (10)
>>а что не получается? > >не видна лок. сеть за циской и не пингуется пинг идет только >на внешний адрес циски похоже что тунель так и не поднят >tracert с обоих цисок одинаковый ? (аля зеркало)
- Проблема с IpSec тунелем, Fiser, 11:45 , 16-Авг-06 (11)
>>>а что не получается? >> >>не видна лок. сеть за циской и не пингуется пинг идет только >>на внешний адрес циски похоже что тунель так и не поднят >> > >tracert с обоих цисок одинаковый ? (аля зеркало) разный совсем идет
- Проблема с IpSec тунелем, angelweb, 12:00 , 16-Авг-06 (12)
>>>>а что не получается? >>> >>>не видна лок. сеть за циской и не пингуется пинг идет только >>>на внешний адрес циски похоже что тунель так и не поднят >>> >> >>tracert с обоих цисок одинаковый ? (аля зеркало) > > >разный совсем идет Значит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3
- Проблема с IpSec тунелем, Fiser, 13:17 , 16-Авг-06 (13)
>>>>>а что не получается? >>>> >>>>не видна лок. сеть за циской и не пингуется пинг идет только >>>>на внешний адрес циски похоже что тунель так и не поднят >>>> >>> >>>tracert с обоих цисок одинаковый ? (аля зеркало) >> >> >>разный совсем идет > >Значит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3 Делаю так сказать по бумажке но что то не выходит не дает поднять тунель ругается на ай пи если ставить другой пропадает выход в инет из сети. Что то совсем уже запутался.....
crypto ipsec transform-set vpn esp-3des esp-sha-hmac crypto map vpn 100 ipsec-isakmp set peer 195.162.?.? set transform-set vpn match address 101 reverse-route ! ! interface Tunnel0 ip address 172.16.19.2 255.255.255.0 shutdown (пока down поднять не дает) tunnel source Dialer1 tunnel destination 195.162.?.? crypto map vpn ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 no ip address no cdp enable ! interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address shutdown no cdp enable ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.19.100 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.?.? 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ___________ password ____________ ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.10.0.0 0.0.0.255 Tunnel0
- Проблема с IpSec тунелем, boom, 14:10 , 16-Авг-06 (14)
>crypto ipsec transform-set vpn esp-3des esp-sha-hmac > >crypto map vpn 100 ipsec-isakmp > set peer 195.162.?.? > set transform-set vpn > match address 101 > reverse-route >! >! >interface Tunnel0 > ip address 172.16.19.2 255.255.255.0 > shutdown (пока down поднять не дает) > tunnel source Dialer1 > tunnel destination 195.162.?.? > crypto map vpn >interface Vlan1 > description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ > ip address 172.16.19.100 255.255.255.0 > ip nat inside > ip virtual-reassembly > ip tcp adjust-mss 1452 >! >interface Dialer1 > ip address 87.103.?.? 255.255.255.0 > ip mtu 1492 > ip nat outside > ip virtual-reassembly > encapsulation ppp > dialer pool 1 > ppp authentication pap callin > ppp pap sent-username ___________ password ____________ Не надо ни каких тунелей, и так все прекрасно работает. 1. Тунель убираем. 2. Где crypto-map на внешнем интерфейсе? 3. Трафик для шифрования должен быть указан одинаковый как на той так и на этой стороне Тобишь на местной: ip access-list extended encryption permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255 на удаленной: ip access-list extended encryption permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255 4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip: ip access-list extended nat deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255 permit 172.xx.xx.xx 0.0.0.255 any 5. Проверяем что открыты на входящее соединение udp 500,4500 и esp 6. После чего делаем пинг(лучше из сетки, либо с кошака но с source ip лан) 7. Смотрим sh crypto session или sh crypto ses de 8. если down то включаем debug crypto ipsec debug crypto isakmp terminal monitor копируем лог и постим сюда ;)) Если up то радуемся жизни ;) - Проблема с IpSec тунелем, Fiser, 14:58 , 17-Авг-06 (15)
>>crypto ipsec transform-set vpn esp-3des esp-sha-hmac >> >>crypto map vpn 100 ipsec-isakmp >> set peer 195.162.?.? >> set transform-set vpn >> match address 101 >> reverse-route >>! >>! >>interface Tunnel0 >> ip address 172.16.19.2 255.255.255.0 >> shutdown (пока down поднять не дает) >> tunnel source Dialer1 >> tunnel destination 195.162.?.? >> crypto map vpn >>interface Vlan1 >> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ >> ip address 172.16.19.100 255.255.255.0 >> ip nat inside >> ip virtual-reassembly >> ip tcp adjust-mss 1452 >>! >>interface Dialer1 >> ip address 87.103.?.? 255.255.255.0 >> ip mtu 1492 >> ip nat outside >> ip virtual-reassembly >> encapsulation ppp >> dialer pool 1 >> ppp authentication pap callin >> ppp pap sent-username ___________ password ____________ > >Не надо ни каких тунелей, и так все прекрасно работает. >1. Тунель убираем. >2. Где crypto-map на внешнем интерфейсе? >3. Трафик для шифрования должен быть указан одинаковый как на той так >и на этой стороне >Тобишь на местной: >ip access-list extended encryption >permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255 >на удаленной: >ip access-list extended encryption >permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255 >4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций >при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а >потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip: > > >ip access-list extended nat >deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255 >permit 172.xx.xx.xx 0.0.0.255 any > >5. Проверяем что открыты на входящее соединение udp 500,4500 и esp > >6. После чего делаем пинг(лучше из сетки, либо с кошака но с >source ip лан) >7. Смотрим sh crypto session или sh crypto ses de >8. если down >то включаем debug crypto ipsec debug crypto isakmp terminal monitor >копируем лог и постим сюда ;)) >Если up то радуемся жизни ;) Вобщем ситуэшен такой пинг не идет но канал вроде поднялся на циске загорелся ВПН Сети внутренние тож не видны ???
Aug 17 10:38:09.868: ISAKMP (0:0): received packet from 195.162.38.__ dport 500 sport 500 Global (N) NEW SA Aug 17 10:38:09.868: ISAKMP: Created a peer struct for 195.162.38.__, peer port 500 Aug 17 10:38:09.868: ISAKMP: Locking peer struct 0x82474D20, IKE refcount 1 for crypto_isakmp_process_block Aug 17 10:38:09.868: ISAKMP: local port 500, remote port 500 Aug 17 10:38:09.868: insert sa successfully sa = 823A0878 Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_R _MM1 Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0 Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3 Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123 mismatch Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2 Aug 17 10:38:09.872: ISAKMP: Looking for a matching key for 195.162.38.70 in def ault : success Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1 62.38.70 Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): local preshared key found Aug 17 10:38:09.872: ISAKMP : Scanning profiles for xauth ... Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio rity 1 policy Aug 17 10:38:09.872: ISAKMP: encryption 3DES-CBC Aug 17 10:38:09.872: ISAKMP: hash MD5 Aug 17 10:38:09.872: ISAKMP: default group 2 Aug 17 10:38:09.872: ISAKMP: auth pre-share Aug 17 10:38:09.872: ISAKMP: life type in seconds Aug 17 10:38:09.872: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3 Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157 mismatch Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3 Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123 mismatch Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2 Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_ MM1 Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-03 ID Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port 500 peer_port 500 (R) MM_SA_SETUP Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_ MM2 Aug 17 10:38:09.964: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (R) MM_SA_SETUP Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2 New State = IKE_R_ MM3 Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0 Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0 Aug 17 10:38:09.996: ISAKMP: Looking for a matching key for 195.162.38.70 in def ault : success Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 195.16 2.38.70 Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):SKEYID state generated Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is Unity Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is DPD Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): speaking to another IOS box! Aug 17 10:38:10.000: ISAKMP:received payload type 20 Aug 17 10:38:10.000: ISAKMP:received payload type 20 Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_ MM3 Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.__ my_port 500 peer_port 500 (R) MM_KEY_EXCH Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_ MM4 Aug 17 10:38:10.064: ISAKMP (0:268435457): received packet from 195.162.38.__ dp ort 500 sport 500 Global (R) MM_KEY_EXCH Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4 New State = IKE_R_ MM5 Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0 Aug 17 10:38:10.064: ISAKMP (0:268435457): ID payload next-payload : 8 type : 1 address : 195.162.38.__ protocol : 17 port : 500 length : 12 Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0 Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc ol 1 spi 0, message ID = 0, sa = 823A0878 Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status: authenticated Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): Process initial contact, bring down existing phase 1 and 2 SA's with local 87.103.179.___ remote 195.162. 38.70 remote port 500 Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status: authenticated Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA has been authenticated with 195.162.38 .__ Aug 17 10:38:10.068: ISAKMP: Trying to insert a peer 87.103.179.178/195.162.38._ 0/500/, and inserted successfully 82474D20. Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_R_ MM5 Aug 17 10:38:10.068: IPSEC(key_engine): got a queue event with 1 kei messages Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR Aug 17 10:38:10.072: ISAKMP (0:268435457): ID payload next-payload : 8 type : 1 address : 87.103.179.__ protocol : 17 port : 500 length : 12 Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Total payload length: 12 Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port 500 peer_port 500 (R) MM_KEY_EXCH Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_P1 _COMPLETE Aug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM PLETE Aug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE Aug 17 10:38:10.132: ISAKMP (0:268435457): received packet from 195.162.38.__ dp ort 500 sport 500 Global (R) QM_IDLE Aug 17 10:38:10.132: ISAKMP: set new node 468270712 to QM_IDLE Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 46 8270712 Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing SA payload. message ID = 4682 70712 Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1 Aug 17 10:38:10.136: ISAKMP: transform 1, ESP_3DES Aug 17 10:38:10.136: ISAKMP: attributes in transform: Aug 17 10:38:10.136: ISAKMP: encaps is 1 (Tunnel) Aug 17 10:38:10.136: ISAKMP: SA life type in seconds Aug 17 10:38:10.136: ISAKMP: SA life duration (basic) of 3600 Aug 17 10:38:10.136: ISAKMP: SA life type in kilobytes Aug 17 10:38:10.136: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 Aug 17 10:38:10.136: ISAKMP: authenticator is HMAC-SHA Aug 17 10:38:10.136: ISAKMP: group is 2 Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):atts are acceptable. Aug 17 10:38:10.136: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22 Aug 17 10:38:10.140: Crypto mapdb : proxy_match src addr : 172.16.19.0 dst addr : 10.14.9.0 protocol : 0 src port : 0 dst port : 0 Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 4 68270712 Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 4682 70712 Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682 70712 Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682 70712 Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE R, IKE_QM_EXCH Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY New State = IKE _QM_SPI_STARVE Aug 17 10:38:10.200: IPSEC(key_engine): got a queue event with 1 kei messages Aug 17 10:38:10.200: IPSEC(spi_response): getting spi 434742837 for SA from 87.103.179.__ to 195.162.38.__ for prot 3 Aug 17 10:38:10.204: ISAKMP: received ke message (2/1) Aug 17 10:38:10.204: ISAKMP: Locking peer struct 0x82474D20, IPSEC refcount 1 fo r for stuff_ke Aug 17 10:38:10.204: ISAKMP:(0:1:HW:2): Creating IPSec SAs Aug 17 10:38:10.204: inbound SA from 195.162.38.__ to 87.103.179.__ (f/ i) 0/ 0 (proxy 10.14.9.0 to 172.16.19.0) Aug 17 10:38:10.204: has spi 0x19E9A635 and conn_id 0 and flags 23 Aug 17 10:38:10.208: lifetime of 3600 seconds Aug 17 10:38:10.208: lifetime of 4608000 kilobytes Aug 17 10:38:10.208: has client flags 0x0 Aug 17 10:38:10.208: outbound SA from 87.103.179.__ to 195.162.38.__ (f /i) 0/0 (proxy 172.16.19.0 to 10.14.9.0) Aug 17 10:38:10.208: has spi 2012559701 and conn_id 0 and flags 2B Aug 17 10:38:10.208: lifetime of 3600 seconds Aug 17 10:38:10.208: lifetime of 4608000 kilobytes Aug 17 10:38:10.208: has client flags 0x0 Aug 17 10:38:10.208: IPSEC(key_engine): got a queue event with 2 kei messages Aug 17 10:38:10.208: IPSEC(initialize_sas): , (key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0x19E9A635(434742837), conn_id= 0, keysize= 0, flags= 0x23 Aug 17 10:38:10.208: IPSEC(initialize_sas): , (key eng. msg.) OUTBOUND local= 87.103.179.__, remote= 195.162.38.__, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0x77F53955(2012559701), conn_id= 0, keysize= 0, flags= 0x2B Aug 17 10:38:10.208: Crypto mapdb : proxy_match src addr : 172.16.19.0 dst addr : 10.14.9.0 protocol : 0 src port : 0 dst port : 0 Aug 17 10:38:10.212: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t he same proxies and 130.87.250.76 Aug 17 10:38:10.212: IPSec: Flow_switching Allocated flow for sibling 80000002 Aug 17 10:38:10.212: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 10.14.9.0 , dest_port 0 Aug 17 10:38:10.212: IPSEC(create_sa): sa created, (sa) sa_dest= 87.103.179.___, sa_proto= 50, sa_spi= 0x19E9A635(434742837), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001 Aug 17 10:38:10.212: IPSEC(create_sa): sa created, (sa) sa_dest= 195.162.38.70, sa_proto= 50, sa_spi= 0x77F53955(2012559701), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002 Aug 17 10:38:10.212: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port 500 peer_port 500 (R) QM_IDLE Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_IPS EC, IKE_SPI_REPLY Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2 Aug 17 10:38:10.284: ISAKMP (0:268435457): received packet from 195.162.38.__ dp ort 500 sport 500 Global (R) QM_IDLE Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):deleting node 468270712 error FALSE reaso n "QM done (await)" Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE R, IKE_QM_EXCH Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2 New State = IKE _QM_PHASE2_COMPLETE Aug 17 10:38:10.288: IPSEC(key_engine): got a queue event with 1 kei messages Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): enable SA with spi 20125 59701/50 Aug 17 10:39:00.274: ISAKMP:(0:1:HW:2):purging node 468270712 poltavlka#terminal monitor % Console already monitors poltavlka# poltavlka# poltavlka# poltavlka# poltavlka# poltavlka#debug crypto isakmp Crypto ISAKMP debugging is on poltavlka#debug crypto ipsec Crypto IPSEC debugging is on poltavlka#sh cryptoses de ^ % Invalid input detected at '^' marker. poltavlka#sh crypto ses de Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication Interface: Dialer1 Session status: UP-ACTIVE Peer: 195.162.38.70 port 500 fvrf: (none) ivrf: (none) Phase1_id: 195.162.38.70 Desc: (none) IKE SA: local 87.103.179.__/500 remote 195.162.38.__/500 Active Capabilities:(none) connid:268435457 lifetime:23:43:20 IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0 Active SAs: 0, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0 IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600 Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600 IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0 Active SAs: 0, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0 IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600 Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600
- Проблема с IpSec тунелем, JK, 15:43 , 17-Авг-06 (16)
Так туннельный интерфейс убрал или оставил?можно и так, и так, конечно, делать я предпочитаю без туннелей два аксес-листа - на крипто-мэпе и на интерфейсе на интерфейсе разрешаешь трафик из удаленной сети access-list 101 permit ip та_сеть эта_сеть на мэпе наоборот разрешаешь в удаленную сеть access-list 102 permit ip эта_сеть та_сеть ну и наконец выбрасываешь удаленную сеть из ната access-list NAT deny ip эта_сеть та сеть access-list NAT permit ip эта_сеть any
- Проблема с IpSec тунелем, Fiser, 08:41 , 18-Авг-06 (17)
>Так туннельный интерфейс убрал или оставил? > >можно и так, и так, конечно, делать > >я предпочитаю без туннелей > >два аксес-листа - на крипто-мэпе и на интерфейсе > >на интерфейсе разрешаешь трафик из удаленной сети > >access-list 101 permit ip та_сеть эта_сеть > >на мэпе наоборот разрешаешь в удаленную сеть > >access-list 102 permit ip эта_сеть та_сеть > >ну и наконец выбрасываешь удаленную сеть из ната > >access-list NAT deny ip эта_сеть та сеть >access-list NAT permit ip эта_сеть any Ребят вобщем уже голову свернули. Вобщем вот какой щас конфиг
no ip domain lookup ip domain name poltavka.local ip name-server 195.162._._ vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key q1w2e3r4 address 87.103.179.__ crypto isakmp key p0o9i8 address 195.162.38.__ 255.255.255.0 ! ! crypto ipsec transform-set dep esp-3des esp-sha-hmac ! crypto map dep 100 ipsec-isakmp set peer 195.162.38.__ set transform-set dep match address 101 reverse-route ! ! ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 no ip address no cdp enable ! interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.19.100 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.179.__ 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ___ password ___ crypto map dep ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source list 100 interface Dialer1 overload ! access-list 100 deny ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255 access-list 100 permit ip 172.16.19.0 0.0.0.255 any access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255 no cdp run ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 privilege level 15 transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 ntp clock-period 17175079 ntp master 3 ntp server 80.240.__ prefer end
- Проблема с IpSec тунелем, boom, 08:47 , 18-Авг-06 (18)
Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок ;)) [quote] crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 [/quote]Вот как надо: crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 10000 трансформ сет остается таким же crypto ipsec transform-set dep esp-3des esp-sha-hmac - Проблема с IpSec тунелем, Fiser, 12:46 , 18-Авг-06 (19)
>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок >;)) >[quote] >crypto isakmp policy 1 >encr 3des >hash md5 >authentication pre-share >group 2 >[/quote] > >Вот как надо: >crypto isakmp policy 10 > encr 3des > authentication pre-share > group 2 > lifetime 10000 > >трансформ сет остается таким же >crypto ipsec transform-set dep esp-3des esp-sha-hmac странно но почему же другие несколько офисов подключены и работаю с таким шифрованием crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 а моя 877 хоть убей не хочет может из за разной трассировки?
- Проблема с IpSec тунелем, Fiser, 12:56 , 18-Авг-06 (20)
>>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок >>;)) >>[quote] >>crypto isakmp policy 1 >>encr 3des >>hash md5 >>authentication pre-share >>group 2 >>[/quote] >> >>Вот как надо: >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >> lifetime 10000 >> >>трансформ сет остается таким же >>crypto ipsec transform-set dep esp-3des esp-sha-hmac > >странно но почему же другие несколько офисов подключены и работаю с таким >шифрованием >crypto isakmp policy 1 >encr 3des >hash md5 >authentication pre-share >group 2 > >а моя 877 хоть убей не хочет может из за разной трассировки? > Aug 18 08:53:09.268: IPSEC(sa_request): , (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0x7035A841(1882564673), conn_id= 0, keysize= 0, flags= 0x400A Aug 18 08:53:09.268: ISAKMP: local port 500, remote port 500 Aug 18 08:53:09.268: ISAKMP: set new node 0 to QM_IDLE Aug 18 08:53:09.268: insert sa successfully sa = 81DFCDE4 Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Ma in mode. Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1 62.38.70 Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_ MM Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I _MM1
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): sending packet to 195.162.38.70 my_port 500 peer_port 500 (I) MM_NO_STATE Aug 18 08:53:09.332: ISAKMP (0:0): received packet from 195.162.38.70 dport 500 sport 500 Global (I) MM_NO_STATE Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I _MM2 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1 62.38.70 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): local preshared key found Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio rity 10 policy Aug 18 08:53:09.336: ISAKMP: encryption DES-CBC Aug 18 08:53:09.336: ISAKMP: hash SHA Aug 18 08:53:09.336: ISAKMP: default group 1 Aug 18 08:53:09.336: ISAKMP: auth RSA sig Aug 18 08:53:09.336: ISAKMP: life type in seconds Aug 18 08:53:09.336: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not ma tch policy! Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 0 Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio rity 65535 policy Aug 18 08:53:09.336: ISAKMP: encryption DES-CBC Aug 18 08:53:09.336: ISAKMP: hash SHA Aug 18 08:53:09.336: ISAKMP: default group 1 Aug 18 08:53:09.336: ISAKMP: auth RSA sig Aug 18 08:53:09.336: ISAKMP: life type in seconds Aug 18 08:53:09.336: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 Aug 18 08:53:09.340: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0 Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157 mismatch Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3 Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2 New State = IKE_I_ MM2 Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port 500 peer_port 500 (I) MM_SA_SETUP Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2 New State = IKE_I_ MM3 Aug 18 08:53:09.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (I) MM_SA_SETUP Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM3 New State = IKE_I_ MM4 Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0 Aug 18 08:53:09.432: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0 Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):SKEYID state generated Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing CERT_REQ payload. message ID = 0 Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): peer wants an unknown cert, abort. Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): vendor ID is DPD Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): speaking to another IOS box! Aug 18 08:53:09.436: ISAKMP:received payload type 20 Aug 18 08:53:09.436: ISAKMP:received payload type 20 Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4 New State = IKE_I_ MM4 Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Send initial contact Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Unable to get router cert or routerdoes n ot have a cert: needed to find DN! Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):SA is doing RSA signature authentication using id type ID_IPV4_ADDR Aug 18 08:53:09.440: ISAKMP (0:268435457): ID payload next-payload : 6 type : 1 address : 87.103.179.178 protocol : 17 port : 500 length : 12 Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Total payload length: 12 Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): no valid cert found to return Aug 18 08:53:09.440: ISAKMP: set new node -294688449 to QM_IDLE Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Sending NOTIFY CERTIFICATE_UNAVAILABLE pr otocol 1 spi 0, message ID = -294688449 Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port 500 peer_port 500 (I) MM_KEY_EXCH Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):purging node -294688449 Aug 18 08:53:09.440: ISAKMP (0:268435457): FSM action returned error: 2 Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4 New State = IKE_I_ MM5 Aug 18 08:53:19.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (I) MM_KEY_EXCH Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ ous packet. Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1 Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans mit phase 1 Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit . MM_KEY_EXCH Aug 18 08:53:29.415: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (I) MM_KEY_EXCH Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ ous packet. Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1 Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans mit phase 1 Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit . MM_KEY_EXCH Aug 18 08:53:39.260: IPSEC(key_engine): request timer fired: count = 1, (identity) local= 87.103.179.178, remote= 195.162.38.70, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4) Aug 18 08:53:39.260: IPSEC(sa_request): , (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0xCB91FC89(3415342217), conn_id= 0, keysize= 0, flags= 0x400A Aug 18 08:53:39.260: ISAKMP: set new node 0 to QM_IDLE Aug 18 08:53:39.260: ISAKMP:(0:1:HW:2):SA is still budding. Attached new ipsec r equest to it. (local 87.103.179.178, remote 195.162.38.70) Aug 18 08:53:39.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (I) MM_KEY_EXCH Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ ous packet. Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1 Aug 18 08:53:39.420: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans mit phase 1 Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit . MM_KEY_EXCH Aug 18 08:53:49.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp ort 500 sport 500 Global (I) MM_KEY_EXCH Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ ous packet. Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1 Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH... Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans mit phase 1 Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit . MM_KEY_EXCH Aug 18 08:54:09.252: IPSEC(key_engine): request timer fired: count = 2, (identity) local= 87.103.179.178, remote= 195.162.38.70, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4) Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):peer does not do paranoid keepalives. Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in) " state (I) MM_KEY_EXCH (peer 195.162.38.70) Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in) " state (I) MM_KEY_EXCH (peer 195.162.38.70) " state (I) MM_KEY_EXCH (peer 195.162.38.70) on "IKE deleted" Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting node 1723400177 error FALSE reas on "IKE deleted" Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM5 New State = IKE_DE ST_SA - Проблема с IpSec тунелем, angelweb, 13:07 , 18-Авг-06 (21)
Попробуй связаться с своим провайдером.В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём. - Проблема с IpSec тунелем, Fiser, 07:37 , 21-Авг-06 (22)
>Попробуй связаться с своим провайдером. > >В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём. > Связавшись с провайдером выяснил что все таки должно все работать. Есть ли еще какие варианты? может все таки имеет смысл сделать через gre тунель? Если можно подскажите как это организовать.
- Проблема с IpSec тунелем, Изгой, 11:05 , 21-Авг-06 (23)
>>Попробуй связаться с своим провайдером. >> >>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём. >> > > >Связавшись с провайдером выяснил что все таки должно все работать. Есть ли >еще какие варианты? может все таки имеет смысл сделать через gre >тунель? Если можно подскажите как это организовать. А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию?
- Проблема с IpSec тунелем, Fiser, 08:03 , 22-Авг-06 (24)
>>>Попробуй связаться с своим провайдером. >>> >>>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём. >>> >> >> >>Связавшись с провайдером выяснил что все таки должно все работать. Есть ли >>еще какие варианты? может все таки имеет смысл сделать через gre >>тунель? Если можно подскажите как это организовать. > > >А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию? Вобщем выкладываю полный конфиг Сдругой стороны соответственно тоже шифрование и такие же правила Сам уже сдался с настройкой .....:( aaa authentication attempts login 5 aaa session-id common ip subnet-zero ip cef ! ! no ip domain lookup ip domain name poltavka.local ip name-server 195.162.___ vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key _________ 87.103._______ crypto isakmp key ________ 195.162.________ ! ! crypto ipsec transform-set vpn esp-3des esp-md5-hmac ! crypto map vpn 100 ipsec-isakmp set peer 195.162._____ set transform-set vpn match address 101 ! ! ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 no ip address no cdp enable ! interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16._______ 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.________ 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ________ e password 0 __________ crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.14.9.0 255.255.255.0 Dialer1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source list 100 interface Dialer1 overload ! access-list 100 deny ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255 access-list 100 permit ip 172.16.19.0 0.0.0.255 any access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255 no cdp run ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 privilege level 15 transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 ntp clock-period 17175069 ntp master 3 ntp server 80.240.___1 prefer end
- Проблема с IpSec тунелем, boom, 12:10 , 22-Авг-06 (25)
Все правильно кроме:crypto map vpn 100 ipsec-isakmp set peer 195.162._____ set transform-set vpn match address 101 interface Dialer1 ip address 87.103.________ 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ________ e password 0 __________ crypto map depfin ^^^^^^^ //ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН! У тебя есть crypto map vpn вот его и подставляй
- Проблема с IpSec тунелем, Fiser, 12:30 , 22-Авг-06 (26)
>Все правильно кроме: > >crypto map vpn 100 ipsec-isakmp > set peer 195.162._____ > set transform-set vpn > match address 101 > >interface Dialer1 > ip address 87.103.________ 255.255.255.0 > ip mtu 1492 > ip nat outside > ip virtual-reassembly > encapsulation ppp > dialer pool 1 > ppp authentication pap callin > ppp pap sent-username ________ e password 0 __________ > crypto map depfin > >^^^^^^^ >//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН! > >У тебя есть crypto map vpn вот его и подставляй я извеняюсь там стоит не crypto map depfin а crypto map vpn эт я не правильно конфу скинул и все равно не работает
- Проблема с IpSec тунелем, ilya, 12:34 , 22-Авг-06 (27)
>>Все правильно кроме: >> >>crypto map vpn 100 ipsec-isakmp >> set peer 195.162._____ >> set transform-set vpn >> match address 101 >> >>interface Dialer1 >> ip address 87.103.________ 255.255.255.0 >> ip mtu 1492 >> ip nat outside >> ip virtual-reassembly >> encapsulation ppp >> dialer pool 1 >> ppp authentication pap callin >> ppp pap sent-username ________ e password 0 __________ >> crypto map depfin >> >>^^^^^^^ >>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН! >> >>У тебя есть crypto map vpn вот его и подставляй > >я извеняюсь там стоит не crypto map depfin а crypto map vpn >эт я не правильно конфу скинул >и все равно не работает покажите актуальные конфиги, относящиеся к тунелям и дебаги debug crypto isakmp debug crypto ipsec
- Проблема с IpSec тунелем, Fiser, 06:15 , 23-Авг-06 (28)
>>>Все правильно кроме: >>> >>>crypto map vpn 100 ipsec-isakmp >>> set peer 195.162._____ >>> set transform-set vpn >>> match address 101 >>> >>>interface Dialer1 >>> ip address 87.103.________ 255.255.255.0 >>> ip mtu 1492 >>> ip nat outside >>> ip virtual-reassembly >>> encapsulation ppp >>> dialer pool 1 >>> ppp authentication pap callin >>> ppp pap sent-username ________ e password 0 __________ >>> crypto map depfin >>> >>>^^^^^^^ >>>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН! >>> >>>У тебя есть crypto map vpn вот его и подставляй >> >>я извеняюсь там стоит не crypto map depfin а crypto map vpn >>эт я не правильно конфу скинул >>и все равно не работает >покажите актуальные конфиги, относящиеся к тунелям и дебаги >debug crypto isakmp >debug crypto ipsec Итак конфиг 1-й циски Building configuration...
vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 111 address 87.103.х.х ! ! crypto ipsec transform-set vpn esp-3des esp-sha-hmac ! crypto map vpn 100 ipsec-isakmp set peer 87.103.x.x set transform-set vpn match address 101 ! ! ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.19._ 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.y.y 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ___password __ crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat translation max-entries 10 ip nat inside source list 100 interface Dialer1 overload ! access-list 100 deny ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255 access-list 100 permit ip 172.16.19.0 0.0.0.255 any access-list 101 permit ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255 no cdp run ! КОНФА ВТОРОЙ ЦИСКИ
! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2
crypto isakmp key 111 address 87.103.y.y ! ! crypto ipsec transform-set vpn esp-3des esp-sha-hmac ! crypto map vpn 100 ipsec-isakmp set peer 87.103.y.y set transform-set vpn match address 101 ! ! ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto hold-queue 224 in ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.29.2 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username _______ password ________ crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source list 100 interface Dialer1 overload ! access-list 100 deny ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255 access-list 100 permit ip 172.16.29.0 0.0.0.255 any access-list 101 permit ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255 no cdp run ! control-plane ! !
- Проблема с IpSec тунелем, Fiser, 07:37 , 23-Авг-06 (29)
Вобщем изменил ситуацию канал поднят но сетки не видны crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key 123 address 87.103.1.1 (с другой стороны 87.103.2.2) ! ! crypto ipsec transform-set depfin esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto map depfin 100 ipsec-isakmp set peer 87.103.1.1 (с другой стороны 87.103.2.2) set transform-set depfin match address 101 (ай пи адреса изменены) Aug 23 03:23:02.554: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=87.103.179.178, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87 .103.179.117 Aug 23 03:23:02.554: ISAKMP: received ke message (3/1) Aug 23 03:23:02.554: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:23:08.569: ISAKMP: received ke message (3/1) Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s Aug 23 03:23:15.987: ISAKMP: received ke message (3/1) Aug 23 03:23:15.987: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:23:22.029: ISAKMP: received ke message (3/1) Aug 23 03:23:22.029: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:23:33.994: ISAKMP: received ke message (3/1) Aug 23 03:23:33.994: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:23:43.043: ISAKMP: received ke message (3/1) Aug 23 03:23:43.043: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:23:55.016: ISAKMP: received ke message (3/1) Aug 23 03:23:55.016: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.117 for SPI 0x88A7F2CC Aug 23 03:24:04.065: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=87.103.179.2, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87 .103.179.117 Aug 23 03:24:04.069: ISAKMP: received ke message (3/1) Aug 23 03:24:04.069: ISAKMP: ignoring request to send delete notify (no ISAKMP s a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC Aug 23 03:24:17.897: ISAKMP: Looking for a matching key for 87.103.179.1 in de fault
- Проблема с IpSec тунелем, Fiser, 08:38 , 23-Авг-06 (30)
И вот еще че пишит Aug 23 04:31:34.675: ISAKMP (0:0): received packet from 87.103.179.117 dport 500 sport 500 Global (N) NEW SA Aug 23 04:31:34.675: ISAKMP: Created a peer struct for 87.103.179.117, peer port 500 Aug 23 04:31:34.675: ISAKMP: Locking peer struct 0x81DE746C, IKE refcount 1 for crypto_isakmp_process_block Aug 23 04:31:34.679: ISAKMP: local port 500, remote port 500 Aug 23 04:31:34.679: insert sa successfully sa = 81D9AAE0 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_R _MM1 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245 mismatch Aug 23 04:31:34.679: ISAKMP (0:0): vendor ID is NAT-T v7 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123 mismatch Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2 Aug 23 04:31:34.679: ISAKMP: Looking for a matching key for 87.103.179.117 in de fault : success Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 87.10 3.179.117 Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): local preshared key found Aug 23 04:31:34.683: ISAKMP : Scanning profiles for xauth ... Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio rity 10 policy Aug 23 04:31:34.683: ISAKMP: encryption 3DES-CBC Aug 23 04:31:34.683: ISAKMP: hash SHA Aug 23 04:31:34.683: ISAKMP: default group 2 Aug 23 04:31:34.683: ISAKMP: auth pre-share Aug 23 04:31:34.683: ISAKMP: life type in seconds Aug 23 04:31:34.683: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80 Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3 Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 245 mismatch Aug 23 04:31:34.715: ISAKMP (0:268435457): vendor ID is NAT-T v7 Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157 mismatch Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3 Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123 mismatch Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2 Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_ MM1 Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-07 ID Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port 500 peer_port 500 (R) MM_SA_SETUP Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_ MM2 Aug 23 04:31:34.839: ISAKMP (0:268435457): received packet from 87.103.179.117 d port 500 sport 500 Global (R) MM_SA_SETUP Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2 New State = IKE_R_ MM3 Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0 Aug 23 04:31:34.867: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0 Aug 23 04:31:34.871: ISAKMP: Looking for a matching key for 87.103.179.117 in de fault : success Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 87.103 .179.117 Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):SKEYID state generated Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is Unity Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is DPD Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): speaking to another IOS box! Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_ MM3 Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port 500 peer_port 500 (R) MM_KEY_EXCH Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_ MM4 Aug 23 04:31:34.995: ISAKMP (0:268435457): received packet from 87.103.179.117 d port 500 sport 500 Global (R) MM_KEY_EXCH Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4 New State = IKE_R_ MM5 Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0 Aug 23 04:31:34.999: ISAKMP (0:268435457): ID payload next-payload : 8 type : 1 address : 87.103.179.117 protocol : 17 port : 500 length : 12 Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0 Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc ol 1 spi 0, message ID = 0, sa = 81D9AAE0 Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status: authenticated Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): Process initial contact, bring down existing phase 1 and 2 SA's with local 87.103.179.178 remote 87.103.1 79.117 remote port 500 Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status: authenticated Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA has been authenticated with 87.103.179 .117 Aug 23 04:31:34.999: ISAKMP: Trying to insert a peer 87.103.179.178/87.103.179.1 17/500/, and inserted successfully 81DE746C. Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA IN_MODE Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_R_ MM5 Aug 23 04:31:34.999: IPSEC(key_engine): got a queue event with 1 kei messages Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR Aug 23 04:31:35.003: ISAKMP (0:268435457): ID payload next-payload : 8 type : 1 address : 87.103.179.178 protocol : 17 port : 500 length : 12 Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Total payload length: 12 Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port 500 peer_port 500 (R) MM_KEY_EXCH Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO MPLETE Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_P1 _COMPLETE Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM PLETE Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE Aug 23 04:31:35.095: ISAKMP (0:268435457): received packet from 87.103.179.117 d port 500 sport 500 Global (R) QM_IDLE Aug 23 04:31:35.095: ISAKMP: set new node -825314852 to QM_IDLE Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = -8 25314852 Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing SA payload. message ID = -825 314852 Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1 Aug 23 04:31:35.099: ISAKMP: transform 1, ESP_3DES Aug 23 04:31:35.099: ISAKMP: attributes in transform: Aug 23 04:31:35.099: ISAKMP: encaps is 1 (Tunnel) Aug 23 04:31:35.099: ISAKMP: SA life type in seconds Aug 23 04:31:35.099: ISAKMP: SA life duration (basic) of 3600 Aug 23 04:31:35.099: ISAKMP: SA life type in kilobytes Aug 23 04:31:35.099: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 Aug 23 04:31:35.099: ISAKMP: authenticator is HMAC-SHA Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):atts are acceptable. Aug 23 04:31:35.099: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2 Aug 23 04:31:35.099: Crypto mapdb : proxy_match src addr : 172.16.19.0 dst addr : 172.16.29.0 protocol : 0 src port : 0 dst port : 0 Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = - 825314852 Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825 314852 Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825 314852 Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE ER, IKE_QM_EXCH Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY New State = IKE _QM_SPI_STARVE Aug 23 04:31:35.103: IPSEC(key_engine): got a queue event with 1 kei messages Aug 23 04:31:35.103: IPSEC(spi_response): getting spi 4141340935 for SA from 87.103.179.178 to 87.103.179.117 for prot 3 Aug 23 04:31:35.107: ISAKMP: received ke message (2/1) Aug 23 04:31:35.107: ISAKMP: Locking peer struct 0x81DE746C, IPSEC refcount 1 fo r for stuff_ke Aug 23 04:31:35.107: ISAKMP:(0:1:HW:2): Creating IPSec SAs Aug 23 04:31:35.107: inbound SA from 87.103.179.117 to 87.103.179.178 (f /i) 0/ 0 (proxy 172.16.29.0 to 172.16.19.0) Aug 23 04:31:35.107: has spi 0xF6D7D907 and conn_id 0 and flags 2 Aug 23 04:31:35.107: lifetime of 3600 seconds Aug 23 04:31:35.107: lifetime of 4608000 kilobytes Aug 23 04:31:35.111: has client flags 0x0 Aug 23 04:31:35.111: outbound SA from 87.103.179.178 to 87.103.179.117 ( f/i) 0/0 (proxy 172.16.19.0 to 172.16.29.0) Aug 23 04:31:35.111: has spi 61249941 and conn_id 0 and flags A Aug 23 04:31:35.111: lifetime of 3600 seconds Aug 23 04:31:35.111: lifetime of 4608000 kilobytes Aug 23 04:31:35.111: has client flags 0x0 Aug 23 04:31:35.111: IPSEC(key_engine): got a queue event with 2 kei messages Aug 23 04:31:35.111: IPSEC(initialize_sas): , (key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0xF6D7D907(4141340935), conn_id= 0, keysize= 0, flags= 0x2 Aug 23 04:31:35.111: IPSEC(initialize_sas): , (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 87.103.179.117, local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel), lifedur= 3600s and 4608000kb, spi= 0x3A69995(61249941), conn_id= 0, keysize= 0, flags= 0xA Aug 23 04:31:35.111: Crypto mapdb : proxy_match src addr : 172.16.19.0 dst addr : 172.16.29.0 protocol : 0 src port : 0 dst port : 0 Aug 23 04:31:35.111: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t he same proxies and 130.87.2.12 Aug 23 04:31:35.111: IPSec: Flow_switching Allocated flow for sibling 80000002 Aug 23 04:31:35.115: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 172.16.29 .0, dest_port 0 Aug 23 04:31:35.115: IPSEC(create_sa): sa created, (sa) sa_dest= 87.103.179.178, sa_proto= 50, sa_spi= 0xF6D7D907(4141340935), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001 Aug 23 04:31:35.115: IPSEC(create_sa): sa created, (sa) sa_dest= 87.103.179.117, sa_proto= 50, sa_spi= 0x3A69995(61249941), sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002 Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port 500 peer_port 500 (R) QM_IDLE Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_IP SEC, IKE_SPI_REPLY Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2 Aug 23 04:31:35.211: ISAKMP (0:268435457): received packet from 87.103.179.117 d port 500 sport 500 Global (R) QM_IDLE Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):deleting node -825314852 error FALSE reas on "QM done (await)" Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE ER, IKE_QM_EXCH Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2 New State = IKE _QM_PHASE2_COMPLETE Aug 23 04:31:35.215: IPSEC(key_engine): got a queue event with 1 kei messages Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): enable SA with spi 61249 941/50 Aug 23 04:32:25.201: ISAKMP:(0:1:HW:2):purging node -825314852
- Проблема с IpSec тунелем, ilya, 08:50 , 23-Авг-06 (31)
OK покажите sh crypto ipsec sa и как проверяете что трафик в тунеле не ходит?
- Проблема с IpSec тунелем, Fiser, 09:16 , 23-Авг-06 (32)
>OK >покажите sh crypto ipsec sa > > >и как проверяете что трафик в тунеле не ходит? другой админ пытается в мою сеть попасть я в его и пингум в обе стороны - ничего.... nterface: Dialer1 Crypto map tag: depfin, local addr 87.103.179.178
protected vrf: (none) local ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0) current_peer 87.103.179.117 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117 path mtu 1492, ip mtu 1492 current outbound spi: 0xCC53FCDB(3428056283) inbound esp sas: spi: 0x927CEFE(153603838) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin sa timing: remaining key lifetime (k/sec): (4454236/2177) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xCC53FCDB(3428056283) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin sa timing: remaining key lifetime (k/sec): (4454237/2176) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: interface: Virtual-Access1 Crypto map tag: depfin, local addr 87.103.179.178 protected vrf: (none) local ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0) current_peer 87.103.179.117 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117 path mtu 1492, ip mtu 1492 current outbound spi: 0xCC53FCDB(3428056283) inbound esp sas: spi: 0x927CEFE(153603838) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin sa timing: remaining key lifetime (k/sec): (4454236/2173) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xCC53FCDB(3428056283) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin sa timing: remaining key lifetime (k/sec): (4454237/2172) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:
- Проблема с IpSec тунелем, ilya, 09:22 , 23-Авг-06 (33)
странно а если с циски напрямую? ping 172.16.29.2 so 172.16.19._ и наоборот ?
- Проблема с IpSec тунелем, Fiser, 09:28 , 23-Авг-06 (34)
>странно >а если с циски напрямую? >ping 172.16.29.2 so 172.16.19._ >и наоборот >? таже ситуэйшен нет ответа :((
- Проблема с IpSec тунелем, Fiser, 09:30 , 23-Авг-06 (35)
>странно >а если с циски напрямую? >ping 172.16.29.2 so 172.16.19._ >и наоборот >? таже ситуэйшен нет ответа :(( Sending 5, 100-byte ICMP Echos to 172.16.19.26, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)
на внешний конечно же идет ну как ни странно один раз смог пробиться и все на этом Системы Windows Xp Cisco 877 И еще вот что выдает cisco SDM при тестировании тунеля может в этом что то VPN Troubleshooting Report Details Router Details Attribute Value Router Model 877 Image Name c870-advsecurityk9-mz.123-8.YI2.bin IOS Version 12.3(8)YI2 Hostname poltavlka Test Activity Summary
Activity Status Checking the tunnel status... Up Test Activity Details
Activity Status Checking the tunnel status... Up Encapsulation :0 Decapsulation :99 Send Error :0 Received Error :0 Troubleshooting Results Failure Reason(s) Recommended Action(s)
A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets. 1)Contact your ISP/Administrator to resolve this issue. 2)Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.
- Проблема с IpSec тунелем, ilya, 10:05 , 23-Авг-06 (36)
очень странно.MTU скорее не при чем, будет проявляться на больших пакетах... единственно, что могу посоветовать - попробовать построить другую схему 1. организуете GRE-туннель между цисками. 2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
- Проблема с IpSec тунелем, Fiser, 10:08 , 23-Авг-06 (37)
>очень странно. > >MTU скорее не при чем, будет проявляться на больших пакетах... > > >единственно, что могу посоветовать - попробовать построить другую схему >1. организуете GRE-туннель между цисками. >2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем). Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным пингом у меня отпингавались адреса удаленной сети ???
- Проблема с IpSec тунелем, ilya, 10:18 , 23-Авг-06 (38)
>>очень странно. >> >>MTU скорее не при чем, будет проявляться на больших пакетах... >> >> >>единственно, что могу посоветовать - попробовать построить другую схему >>1. организуете GRE-туннель между цисками. >>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем). > > >Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала >с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным >пингом у меня отпингавались адреса удаленной сети ??? а как пинговали с командной строки?
- Проблема с IpSec тунелем, Fiser, 11:12 , 23-Авг-06 (39)
>>>очень странно. >>> >>>MTU скорее не при чем, будет проявляться на больших пакетах... >>> >>> >>>единственно, что могу посоветовать - попробовать построить другую схему >>>1. организуете GRE-туннель между цисками. >>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем). >> >> >>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала >>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным >>пингом у меня отпингавались адреса удаленной сети ??? > > >а как пинговали с командной строки? Я ни чо не могу понять. Теперь ситуация значит такая. Я с другой машины (сервер) все пропинговал все работает и даже открыл ресурс на удаленной тоже только на одной. С моей ничего не пингуется и не открывается и с других. Файрвол и прочее отключено. Далее когда я добавил еще аксскс лист т.е. нужно что бы еще с другой сети ко мне имели доступ снова все пропадает т.е. ничего не открывается хотя пинг по прежнему идет. Ничего не менял просто добавил еще ай пи адреса. Может на моем сервере какой то порт открыт а на других он закрыт? по умолчанию Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за помощь - Проблема с IpSec тунелем, ilya, 14:16 , 23-Авг-06 (40)
>>>>очень странно. >>>> >>>>MTU скорее не при чем, будет проявляться на больших пакетах... >>>> >>>> >>>>единственно, что могу посоветовать - попробовать построить другую схему >>>>1. организуете GRE-туннель между цисками. >>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем). >>> >>> >>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала >>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным >>>пингом у меня отпингавались адреса удаленной сети ??? >> >> >>а как пинговали с командной строки? > >Я ни чо не могу понять. Теперь ситуация значит такая. Я с >другой машины (сервер) все пропинговал все работает и даже открыл ресурс >на удаленной тоже только на одной. С моей ничего не пингуется >и не открывается и с других. Файрвол и прочее отключено. Далее >когда я добавил еще аксскс лист т.е. нужно что бы еще >с другой сети ко мне имели доступ снова все пропадает т.е. >ничего не открывается хотя пинг по прежнему идет. Ничего не менял >просто добавил еще ай пи адреса. Может на моем сервере какой >то порт открыт а на других он закрыт? по умолчанию >Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за >помощь 1. что добавили 2. как все таки пинговали с консоли? - Проблема с IpSec тунелем, sas, 15:48 , 23-Авг-06 (41)
конфиги обоих железок покажите включая acl и маршруты
- Проблема с IpSec тунелем, Fiser, 13:07 , 28-Авг-06 (42)
>>>>>очень странно. >>>>> >>>>>MTU скорее не при чем, будет проявляться на больших пакетах... >>>>> >>>>> >>>>>единственно, что могу посоветовать - попробовать построить другую схему >>>>>1. организуете GRE-туннель между цисками. >>>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем). >>>> >>>> >>>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала >>>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным >>>>пингом у меня отпингавались адреса удаленной сети ??? >>> >>> >>>а как пинговали с командной строки? >> >>Я ни чо не могу понять. Теперь ситуация значит такая. Я с >>другой машины (сервер) все пропинговал все работает и даже открыл ресурс >>на удаленной тоже только на одной. С моей ничего не пингуется >>и не открывается и с других. Файрвол и прочее отключено. Далее >>когда я добавил еще аксскс лист т.е. нужно что бы еще >>с другой сети ко мне имели доступ снова все пропадает т.е. >>ничего не открывается хотя пинг по прежнему идет. Ничего не менял >>просто добавил еще ай пи адреса. Может на моем сервере какой >>то порт открыт а на других он закрыт? по умолчанию >>Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за >>помощь > >1. что добавили >2. как все таки пинговали с консоли? извеняюсь что пропал вобщем проблема была 1.сразу с шифрованием 2.с аксес листом на другой стороне Конфигурировали циски вдвоем поэтому расхождения. То что мне рекомендовали заработало. Пинговал с командной строки. Вот 100 % рабочий конфиг мож кому пргодиться еще чтоб уже не донимали всех:) Сделал правда на конкретную машину Всем огромное Спасибо за помощь ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key ------ address 195.162.__.__ 255.255.255.0 ! ! crypto ipsec transform-set vpn esp-3des esp-sha-hmac ! crypto map depfin 100 ipsec-isakmp set peer 195.162.__.__ set transform-set vpn set pfs group2 match address 101 ! ! ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.19.100 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer1 ip address 87.103.___.___ 255.255.255.0 ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username adsl----------- password ----------- crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! access-list 100 deny ip host 172.16.19.1 10.14.2.0 0.0.0.255 access-list 100 permit ip 172.16.19.0 0.0.0.255 any access-list 101 permit ip host 172.16.19.1 10.14.2.0 0.0.0.255 no cdp run ! ! !
|