forum.opennet.ru - "Cisco asa 5515 + Mikrotik 951" (40)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Cisco asa 5515 + Mikrotik 951"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco asa 5515 + Mikrotik 951"	+/–
Сообщение от falanger (ok) on 31-Июл-15, 18:02
Доброго времени суток. Стала задача установить в главный офис Cisco ASA 5515 как центральный маршрутизатор. На филиалах имеются маршрутизаторы Mikrotik 951Ui-2HnD. В главном офисе на данный момент установлен и работает Mikrotik 2011UiAS. Имеется необходимость заменить Mikrotik 2011UiAS асой, даже не заменить, а установить Cisco ASA 5515 как главный роутер, а Mikrotik 2011UiAS как бэкап роутер. Каждый офис находится в своей подсети, маршрутизацию обеспечивает OSPF. Mikrotik 2011UiAS выступает на данный момент в роли VPN сервера для удаленных клиентов и связи с удаленными офисами посредствам туннелей типа IPIP и GRE, настроен OSPF, PBR и большое количество правил в фаерволе, мангле и нате преследующих разного рода задачи по фильтрации и обработке трафика. Вопрос такого плана: какой тип подключения наилучшим образом подойдет для связи между Cisco ASA 5515 и удаленными микротиками ? Site to site IPsec создаст большую нагрузку на микротики да и OSPF работать не будет ибо мультикаст трафик по такому туннелю не бегает. Проблема в том что ASA не поддерживает обычные протоколы туннелирования.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco asa 5515 + Mikrotik 951, Roman, 18:42 , 31-Июл-15, (1)

Cisco asa 5515 + Mikrotik 951, Merridius, 23:40 , 31-Июл-15, (2) –1

Cisco asa 5515 + Mikrotik 951, Roman, 10:47 , 01-Авг-15, (3)

Cisco asa 5515 + Mikrotik 951, falanger, 13:47 , 03-Авг-15, (4)

Cisco asa 5515 + Mikrotik 951, falanger, 16:11 , 03-Авг-15, (5)

Cisco asa 5515 + Mikrotik 951, falanger, 17:10 , 06-Авг-15, (6)

Cisco asa 5515 + Mikrotik 951, Roman, 11:47 , 07-Авг-15, (7)

Cisco asa 5515 + Mikrotik 951, falanger, 15:17 , 07-Авг-15, (8)

Cisco asa 5515 + Mikrotik 951, Roman, 18:43 , 07-Авг-15, (9)

Cisco asa 5515 + Mikrotik 951, falanger, 20:30 , 09-Авг-15, (10)

Cisco asa 5515 + Mikrotik 951, Roman, 21:16 , 10-Авг-15, (11)

Cisco asa 5515 + Mikrotik 951, falanger, 14:42 , 11-Авг-15, (12)

Cisco asa 5515 + Mikrotik 951, Roman, 21:51 , 11-Авг-15, (13)

Cisco asa 5515 + Mikrotik 951, falanger, 17:46 , 12-Авг-15, (14)

Cisco asa 5515 + Mikrotik 951, Roman, 09:49 , 13-Авг-15, (15)

Cisco asa 5515 + Mikrotik 951, falanger, 10:29 , 13-Авг-15, (16)

Cisco asa 5515 + Mikrotik 951, falanger, 11:37 , 13-Авг-15, (17)
Cisco asa 5515 + Mikrotik 951, Roman, 13:20 , 13-Авг-15, (18)
Cisco asa 5515 + Mikrotik 951, falanger, 13:39 , 13-Авг-15, (19)

Cisco asa 5515 + Mikrotik 951, falanger, 10:05 , 04-Ноя-15, (20)

Cisco asa 5515 + Mikrotik 951, falanger, 17:43 , 11-Ноя-15, (21)

Cisco asa 5515 + Mikrotik 951, Roman, 15:46 , 15-Ноя-15, (22)

Cisco asa 5515 + Mikrotik 951, falanger, 17:22 , 15-Ноя-15, (23)

Cisco asa 5515 + Mikrotik 951, Roman, 00:44 , 16-Ноя-15, (24)

Cisco asa 5515 + Mikrotik 951, falanger, 09:45 , 16-Ноя-15, (25)

Cisco asa 5515 + Mikrotik 951, Roman, 20:26 , 16-Ноя-15, (26)

Cisco asa 5515 + Mikrotik 951, falanger, 10:29 , 17-Ноя-15, (27)

Cisco asa 5515 + Mikrotik 951, Roman, 19:57 , 17-Ноя-15, (28)

Cisco asa 5515 + Mikrotik 951, falanger, 23:00 , 17-Ноя-15, (29)

Cisco asa 5515 + Mikrotik 951, Roman, 00:04 , 18-Ноя-15, (30)

Cisco asa 5515 + Mikrotik 951, falanger, 09:49 , 18-Ноя-15, (31)
Cisco asa 5515 + Mikrotik 951, falanger, 12:48 , 18-Ноя-15, (32)
Cisco asa 5515 + Mikrotik 951, Roman, 20:31 , 18-Ноя-15, (33)
Cisco asa 5515 + Mikrotik 951, falanger, 09:28 , 19-Ноя-15, (34)
Cisco asa 5515 + Mikrotik 951, falanger, 12:10 , 19-Ноя-15, (35)
Cisco asa 5515 + Mikrotik 951, falanger, 13:21 , 19-Ноя-15, (36)
Cisco asa 5515 + Mikrotik 951, jeekey, 15:01 , 07-Сен-16, (37)
Cisco asa 5515 + Mikrotik 951, falanger, 15:40 , 07-Сен-16, (38)
Cisco asa 5515 + Mikrotik 951, jeekey, 11:56 , 08-Сен-16, (39)
Cisco asa 5515 + Mikrotik 951, falanger, 12:04 , 08-Сен-16, (40)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 31-Июл-15, 18:42

Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить на Mikrotik 2011UiAS.
Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50% + IPSEC + OSPF и он в дауне. На сколько я понимаю Cisco покупали для разгрузки?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco asa 5515 + Mikrotik 951" –1 +/–

Сообщение от Merridius (ok) on 31-Июл-15, 23:40

> Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
> Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить
> на Mikrotik 2011UiAS.
> Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50%
> + IPSEC + OSPF и он в дауне. На сколько я
> понимаю Cisco покупали для разгрузки?
Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.
ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.
Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики, policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего, нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.
А вот микротик это точно не роутер для Ынтерпрайза.
Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
ospf network point-to-point non-broadcast

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 01-Авг-15, 10:47

> Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.
Про Catalyst 6500 никто и не говорит. Вот если бы был Catalyst 6500, то ...

> ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с
> DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.
Почти правильно, но у ASA есть более лучшее применение это использовать его в качестве фаервола + шифрование. Наверно поэтому Cisco его и относит к данным типам устройств.

> Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики,
> policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего,
> нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.
В данных инсталяциях ASA5520 в разных точках Интернета, или в одной сети?
> А вот микротик это точно не роутер для Ынтерпрайза.
Смотря что понимать под словом Ынтерпрайз? Здесь, помоему, small business.
> Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
> ospf network point-to-point non-broadcast
И как предлагаете это сделать с условиями выше?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 03-Авг-15, 13:47

Спасибо за ответы парни. Поделюсь с вами порцией информации, 2011 микротик держит порядко 100 юзверей в данный момент, средняя нагрузка цп 30-50% и половина памяти, при настроеных PPTP сервере туннелях на удаленные офисы, DHCP сервером для одного из филиалов, в фильтрах фаервола 30 правил и чуть больше в нате + до 10 правил в мангле, + OSPF, PBR. Вообщем сичтаю не плохой результат за такие деньги. ASA приобреталась для замены микротика. Про OSPF для работы в режиме юникаста - да можно так сделать. И вообще я в курсе что ASA в первую очередь сетевой экран, а во вторую роутер, просто порезанный. Вообще планировалось что ASA будет основным роутером, а микротик как бэкап (при 5 каналах в интернет). Жалко что ASA не поддерживает VRRP,  а вот PBR вроде как уже появилась поддержка. Вот у меня сейчас и стоит задача максимально задачи на ASA перебросить.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 03-Авг-15, 16:11

Вообще конечно неплохо было бы настроить балансировку и резервирование, но ASA про балансировку вообще не слышала, а вот резервирование что-нибудь придумаю, может на IP SLA сделать. На микротике отлично настраивается и работает и то и другое. Настроил IPsec site to site - пока не взлетело, туннель устанавливается но трафик внутрь не заворачивается и не шифруется ничего. Вообщем пока конфиги выкидывать не буду рано еще, сам подебажу.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 06-Авг-15, 17:10

На ASA IPsec настроен правильно и работает на 100%, проверял пробуя подключить Win7. Не могу победить настройки IPsec в Mikrotik. Для теста и понимания взял два микротика и настроил между ними IPsec. Настройки следующие:
Router A
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=Y.Y.Y.Y/32 dpd-maximum-failures=2 nat-traversal=no policy-template-group=group1 secret=test
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.8.0.1/24 comment="test network" interface=bridge network=10.8.0.0
/ip firewall nat
add chain=srcnat dst-address=10.7.0.0/24 src-address=10.8.0.0/24
Router B
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=X.X.X.X/32 dpd-maximum-failures=2 nat-traversal=no passive=yes policy-template-group=group1 \
    secret=test send-initial-contact=no
/ip ipsec policy
add dst-address=10.8.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=X.X.X.X sa-src-address=Y.Y.Y.Y src-address=10.7.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.7.0.1/24 interface=bridge network=10.7.0.0
/ip firewall nat
add chain=srcnat dst-address=10.8.0.0/24 src-address=10.7.0.0/24
Где 10.7.0.0/24 и 10.8.0.0/24 - тестовые подсетки созданные на роутерах. Правила фаервола приведенное выше для ната находится выше всех по приоритету для того чтобы трафик не натился. При выполнении команды
ping 10.8.0.1 src-address=10.7.0.1
с Router B чтобы появился интересующий трафик для поднятия туннеля - реакции никакой. Все счетчики пустые, ничего не шифруется ну и пинг естественно не идет. Куда копать ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 07-Авг-15, 11:47

При пинге какой исходящий src-address?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 07-Авг-15, 15:17

> При пинге какой исходящий src-address?
10.7.0.1
Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 07-Авг-15, 18:43

>> При пинге какой исходящий src-address?
> 10.7.0.1
> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
tools traceroute ?
ip ipsec remoute-peers print ?
ip ipsec installed-sa print ?

system logging добавить логирование ipset кроме packet
логи что говорят ?
проблем с ipsec между mikrotik - mikrotik - нет
проблем с ipsec между mikrotik - cisco asa - нет
проблем с ipsec между mikrotik - cisco router - нет
возможные проблемы фаервол + маршрутизация.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 09-Авг-15, 20:30

>[оверквотинг удален]
>> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
> tools traceroute ?
> ip ipsec remoute-peers print ?
> ip ipsec installed-sa print ?
> system logging добавить логирование ipset кроме packet
> логи что говорят ?
> проблем с ipsec между mikrotik - mikrotik - нет
> проблем с ipsec между mikrotik - cisco asa - нет
> проблем с ipsec между mikrotik - cisco router - нет
> возможные проблемы фаервол + маршрутизация.
tool traceroute 10.8.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1                                  100%    1 timeout
2 93.85.81.1                         0%    1   4.4ms     4.4     4.4     4.4       0
3 93.85.252.129                      0%    1    14ms      14      14      14       0 <MPLS:L=17931,E=0,T=255>
4 93.85.253.70                       0%    1  12.1ms    12.1    12.1    12.1       0 <MPLS:L=19180,E=0,T=255>
5 93.85.253.106                      0%    1  10.4ms    10.4    10.4    10.4       0
6 93.85.240.118                      0%    1    19ms      19      19      19       0
7                                  100%    1 timeout
8                                  100%    1 timeout
9                                  100%    1 timeout
10                                  100%    1 timeout
11                                    0%    1     0ms
ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
в установленных SA - пусто
ip ipsec installed-sa print
Flags: A - AH, E - ESP
Добавлю что в фаерволе добавлял правила
3    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
4    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
5    ;;; Allow IPSec-ah
      chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Выше данных правил нет запрещающих правил.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 10-Авг-15, 21:16

>[оверквотинг удален]
>> tools traceroute ?
>> ip ipsec remoute-peers print ?
>> ip ipsec installed-sa print ?
>> system logging добавить логирование ipset кроме packet
>> логи что говорят ?
>> проблем с ipsec между mikrotik - mikrotik - нет
>> проблем с ipsec между mikrotik - cisco asa - нет
>> проблем с ipsec между mikrotik - cisco router - нет
>> возможные проблемы фаервол + маршрутизация.
>  tool traceroute 10.8.0.1
забыл добавить
tool traceroute 10.8.0.1 src-address=10.7.0.1
> ip ipsec remote-peers print
>  0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
> в установленных SA - пусто
> ip ipsec installed-sa print
> Flags: A - AH, E - ESP
пустить пакеты с помощью ping или trace не забывая src-address= и  ip ipsec installed-sa print в студию. :)

> Добавлю что в фаерволе добавлял правила
>  3    ;;; Allow IKE
>       chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
>  4    ;;; Allow IPSec-esp
>       chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
>  5    ;;; Allow IPSec-ah
>       chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
> Выше данных правил нет запрещающих правил.
А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?
А что с логами?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 11-Авг-15, 14:42

>[оверквотинг удален]
>> Добавлю что в фаерволе добавлял правила
>>  3    ;;; Allow IKE
>>       chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
>>  4    ;;; Allow IPSec-esp
>>       chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
>>  5    ;;; Allow IPSec-ah
>>       chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
>> Выше данных правил нет запрещающих правил.
> А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?
> А что с логами?
Точно, упустил сам, вот вывод трассировки:
tool traceroute 10.8.0.1 src-address=10.7.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1                                  100%    3 timeout
2                                  100%    3 timeout
3                                  100%    2 timeout
4                                  100%    2 timeout
5                                  100%    2 timeout
По установленным SA я уже писал, там пусто (
ip ipsec installed-sa print
Flags: A - AH, E - ESP
Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике появится 3-6 пакетов.
Разрешающие правила - не думаю что они здесь должны быть для сетей. Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет смысла писать отдельное правило указывающее еще и подсеть. В логах все пусто. Добавил логирование IPsec и вот что видно:
  (68 messages discarded)
echo: ipsec,debug,packet (lifetime = 86400:86400)
echo: ipsec,debug,packet (lifebyte = 0:0)
echo: ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC
echo: ipsec,debug,packet (encklen = 0:0)
echo: ipsec,debug,packet hashtype = SHA:SHA
echo: ipsec,debug,packet authmethod = pre-shared key:pre-shared key
echo: ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
echo: ipsec,debug,packet an acceptable proposal found.
echo: ipsec,debug,packet dh(modp1024)
echo: ipsec,debug,packet agreed on pre-shared key auth.
echo: ipsec,debug,packet ===
echo: ipsec,debug,packet compute DH's private.
[admin@Tolbuhina-R] >
  (159 messages discarded)
echo: ipsec,debug,packet 03000024 01010000 800b0001 000c0004 00015180 80010005 8                                                                                                                                                             0030001 80020002
echo: ipsec,debug,packet 80040002 00000028 02010000 800b0001 000c0004 00015180 8                                                                                                                                                             0010007 800e0080
echo: ipsec,debug,packet 80030001 80020002 80040002 011101f4 5639a89d
echo: ipsec,debug,packet hmac(hmac_sha1)
echo: ipsec,debug,packet HASH computed:
echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
echo: ipsec,debug,packet HASH for PSK validated.
echo: ipsec,debug,packet peer's ID:
echo: ipsec,debug,packet 011101f4 5639a89d
echo: ipsec,debug,packet ===
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi                                                                                                                                                             :1570fcca9cbd32ec:ce8e0447c42bfe59
echo: ipsec,debug,packet ===

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 11-Авг-15, 21:51

>[оверквотинг удален]
>  100%    2 timeout
>  5
>  100%    2 timeout
>  По установленным SA я уже писал, там пусто (
> ip ipsec installed-sa print
> Flags: A - AH, E - ESP
> Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики
> пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике
> появится 3-6 пакетов.
> Разрешающие правила - не думаю что они здесь должны быть для сетей.
разрешающие правила обязательны, если у вас не политика по умолчанию всё ACCEPT
> Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет
> смысла писать отдельное правило указывающее еще и подсеть. В логах все
IPSec пакеты тоже должны быть разрешены.
>[оверквотинг удален]
> echo: ipsec,debug,packet hmac(hmac_sha1)
> echo: ipsec,debug,packet HASH computed:
> echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
> echo: ipsec,debug,packet HASH for PSK validated.
> echo: ipsec,debug,packet peer's ID:
> echo: ipsec,debug,packet 011101f4 5639a89d
> echo: ipsec,debug,packet ===
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi
>        :1570fcca9cbd32ec:ce8e0447c42bfe59
> echo: ipsec,debug,packet ===
ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.
Уберите, пожалуйста, в логах ipsec packet
инструкция вида /system logging add action=memory topics=ipsec,!packet

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 12-Авг-15, 17:46

>[оверквотинг удален]
>> echo: ipsec,debug,packet HASH for PSK validated.
>> echo: ipsec,debug,packet peer's ID:
>> echo: ipsec,debug,packet 011101f4 5639a89d
>> echo: ipsec,debug,packet ===
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi
>>        :1570fcca9cbd32ec:ce8e0447c42bfe59
>> echo: ipsec,debug,packet ===
> ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.
> Уберите, пожалуйста, в логах ipsec packet
> инструкция вида /system logging add action=memory topics=ipsec,!packet
Добавил правила зеркальные на роутерах разрешающие прохождение пакетов из тестовых подсетей
[admin@Tolbuhina-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=input action=accept src-address=10.7.0.0/24 in-interface=PPTP-ADSL log=no log-prefix=""
1    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
2    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
3    ;;; Allow IPSec-ah
      chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Настроил logging как Вы просили.
[admin@Tolbuhina-R] >  system logging add action=echo topics=ipsec,!packet
[admin@Tolbuhina-R] >
echo: ipsec,debug initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
echo: ipsec,debug begin Identity Protection mode.
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:0000000000000000
echo: ipsec,debug received Vendor ID: CISCO-UNITY
echo: ipsec,debug received Vendor ID: DPD
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 13-Авг-15, 09:49

[оверквотинг удален]
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
Первая фаза ipsec закончена.
Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)
проблема в
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes
dst-address=10.7.0.0/32 должен быть 10.7.0.0/24

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 13-Авг-15, 10:29

> [оверквотинг удален]
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
> Первая фаза ipsec закончена.
> Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)
> проблема в
> /ip ipsec policy
> add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X
> src-address=10.8.0.0/24 tunnel=yes
> dst-address=10.7.0.0/32 должен быть 10.7.0.0/24
Спасибо огромное, не заметил, теперь заработало. Результат.
[admin@Tolbuhina-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP
0 E spi=0xC7F0AA3 src-address=Y.Y.Y.Y dst-address=X.X.X.X state=mature auth-algorithm=sha512
     enc-algorithm=aes-cbc auth-key="e32f900d62bc966180ba5b798a9b606753878bb639ce5f7a408edf9ca24942611edd19dcc50ee
         303b8245e95f8f04c16bb0f024dc1effa745bb411c3ebbe8dd1"
     enc-key="f8b6864e6232382ce68a281581ce84aaa65de9cba2b0ec494144393f21f8d8dc" addtime=aug/13/2015 10:10:07
     expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128
1 E spi=0xA4B37CC src-address=X.X.X.X dst-address=Y.Y.Y.Y state=mature auth-algorithm=sha512
     enc-algorithm=aes-cbc auth-key="562e31aee8030ca91707eac4fa0525d42fa39f02ce1fdf2738091ca63cab2f5b27bd33fc71f2b
         d0a9ac0d56a3281f3796974dc6579e285f5bd54a8b7ba293e9a"
     enc-key="65848362fdaeb533f88742c6f8009d1dca2f928ff38319776e520f969747b2e5" addtime=aug/13/2015 10:10:07
     expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128
[admin@Tolbuhina-R] > tool traceroute 10.7.0.1 src-address=10.8.0.1
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1 10.7.0.1                           0%    6   9.9ms    34.5     9.8   156.8    54.7
Теперь можно с чистой совестью пытаться с ASA один из mikrotik-ов подружить.
О результатах также напишу.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 13-Авг-15, 11:37

Решил проверить статистику, а там всё по нулям : (. Получается что трафик не шифруется
[admin@R] > ip ipsec statistics print
                  in-errors: 0
           in-buffer-errors: 0
           in-header-errors: 0
               in-no-states: 0
   in-state-protocol-errors: 0
       in-state-mode-errors: 0
   in-state-sequence-errors: 0
           in-state-expired: 0
        in-state-mismatches: 0
           in-state-invalid: 0
     in-template-mismatches: 0
             in-no-policies: 0
          in-policy-blocked: 0
           in-policy-errors: 0
                 out-errors: 0
          out-bundle-errors: 0
    out-bundle-check-errors: 0
              out-no-states: 94
  out-state-protocol-errors: 0
      out-state-mode-errors: 0
  out-state-sequence-errors: 0
          out-state-expired: 0
         out-policy-blocked: 0
            out-policy-dead: 0
          out-policy-errors: 0
[admin@Tolbuhina-R] > ip ipsec statistics print
                  in-errors: 0
           in-buffer-errors: 0
           in-header-errors: 0
               in-no-states: 0
   in-state-protocol-errors: 0
       in-state-mode-errors: 0
   in-state-sequence-errors: 0
           in-state-expired: 0
        in-state-mismatches: 0
           in-state-invalid: 0
     in-template-mismatches: 0
             in-no-policies: 0
          in-policy-blocked: 0
           in-policy-errors: 0
                 out-errors: 0
          out-bundle-errors: 0
    out-bundle-check-errors: 0
              out-no-states: 2
  out-state-protocol-errors: 0
      out-state-mode-errors: 0
  out-state-sequence-errors: 0
          out-state-expired: 0
         out-policy-blocked: 0
            out-policy-dead: 0
          out-policy-errors: 0

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 13-Авг-15, 13:20

> Решил проверить статистику, а там всё по нулям : (. Получается что
> трафик не шифруется
можете проверить командой
ip ipsec installed-sa print
там есть строка current-bytes=...
вот она и показывает сколько трафика зашифровано в текущей сесии

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 13-Авг-15, 13:39

>> Решил проверить статистику, а там всё по нулям : (. Получается что
>> трафик не шифруется
> можете проверить командой
> ip ipsec installed-sa print
> там есть строка current-bytes=...
> вот она и показывает сколько трафика зашифровано в текущей сесии
Да видно что объем трафика есть, более того он растет. А я даже не вчитывался в название счетчиков, а теперь решил прочитать их, получается там большая часть показывает ошибки. Вообщем вроде все ок.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 04-Ноя-15, 10:05

Удалось выкроить немного времени для дальнейшей настройки. На данный момент за микротиком 10.7.0.0/24 подсеть, за асой 10.6.0.0/24. Ситуация следующая. Конфиг Mikrotik:
[admin@Brest-R] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0    address=1.1.1.1/32 local-address=2.2.2.2 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=2
[admin@Brest-R] >ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=test priority=0
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0    name="test" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=none
На микротике видно что сессия установилась, но в установленных SA пусто.
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=initiator established=18h11m6s
При пинге с микротика на циску  видно что не может найти зеркальный ACL:
[admin@Brest-R] > ping 10.6.0.254 src-address=10.7.0.1
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 10.6.0.254                                              timeout
  sent=5 received=0 packet-loss=100%
echo: ipsec,debug new acquire 2.2.2.2 [0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Ниже конфиги циски:
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ikev1 enable WAN
Вот сам ACL
access-list WAN_cryptomap line 1 extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0 (hitcnt=3) 0xf48c7385
Transform-set- ов создано большое количество чтобы наверняка поднялся туннель как и crypto ikev1 policy. В любом случае ikev1 поднимается, но SA не устанавливается из-за якобы отсутствия ACL. Это говорит и сама ASA.
ASA# show crypto ikev1 sa
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
ASA# show crypto isakmp sa detail
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE
    Encrypt : 3des            Hash    : SHA
    Auth    : preshared       Lifetime: 86400
    Lifetime Remaining: 19844
Если посмотреть в детали сессии через ASDM (через консоль не нашел) VPN Statistics/Session/Session detail/ACL то видно
ACL is not applied to this session

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 11-Ноя-15, 17:43

Вообщем как ни крути не поднимается вторая стадия, не устанавливается IPsec-SA.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 15-Ноя-15, 15:46

что говорит mikrotik на ip ipsec installed-sa print
с cisco пинг проборали?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 15-Ноя-15, 17:22

> что говорит mikrotik на ip ipsec installed-sa print
> с cisco пинг проборали?
Там пусто, только в первые секунды появляется запись с статусом larval т.е. пытается установится SA, но ничего не получается и конечно же запись пропадает полностью. И да, пинг запускал конечно, дабы туннели поднялись, с обоих сторон. Я уже на cisco форуме тему поднял https://supportforums.cisco.com/discussion/12702696/cisco-as... .

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 16-Ноя-15, 00:44

какой dh-group на cisco?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 16-Ноя-15, 09:45

> какой dh-group на cisco?
Все профили созданы с group 2. Просто у меня создано 15 политик с разными типами аутентификации, алгоритмами шифрования и хэширования чтобы хоть какой-то заработал. Но везде вторая группа.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 16-Ноя-15, 20:26

на cisco:
sh crypto ipsec sa
sh crypto isakmp sa
+
на Mikrotike
ip ipsec remote-peers print
ip ipsec installed-sa print

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 17-Ноя-15, 10:29

> на cisco:
> sh crypto ipsec sa
> sh crypto isakmp sa
> +
> на Mikrotike
> ip ipsec remote-peers print
> ip ipsec installed-sa print
На АСЕ:
ASA# show crypto ipsec sa
There are no ipsec sas
ASA# show crypto isakmp sa
IKEv1 SAs:
   Active SA: 1
    Rekey SA: 1 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_REKEY_DONE_H2
2   IKE Peer: 2.2.2.2
    Type    : L2L             Role    : responder
    Rekey   : yes             State   : MM_ACTIVE_REKEY
There are no IKEv2 SAs
На микротике:
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator established=4h15m9s
[admin@Brest-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 17-Ноя-15, 19:57

на Mikrotike
ip ipsec policy print
на асе
sh ru | include crypto

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 17-Ноя-15, 23:00

> на Mikrotike
> ip ipsec policy print
> на асе
> sh ru | include crypto
На микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
       sa-dst-address=x.x.x.x proposal=mikrotik/mikrotik priority=0
1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all
       proposal=default template=yes
2     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24
       dst-port=any protocol=all action=encrypt level=require
       ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
       sa-dst-address=1.1.1.1 proposal=newland priority=0
На ASA:
ASA# sh ru | include crypto
access-list WAN_cryptomap extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ca trustpoint ASDM_trustpoint
crypto ca trustpool policy
crypto ca certificate chain ASDM_trustpoint
crypto ikev1 enable WAN
crypto ikev1 policy 10
crypto ikev1 policy 20
crypto ikev1 policy 30
crypto ikev1 policy 40
crypto ikev1 policy 50
crypto ikev1 policy 60
crypto ikev1 policy 70
crypto ikev1 policy 80
crypto ikev1 policy 90
crypto ikev1 policy 100
crypto ikev1 policy 110
crypto ikev1 policy 120
crypto ikev1 policy 130
crypto ikev1 policy 140
crypto ikev1 policy 150

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 18-Ноя-15, 00:04

на микротике
ip ipsec remote-peers print
интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
в качестве протоколов рекомендую des + sha, а дальше можно повышать до aes.
про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
причём доступ полный.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 18-Ноя-15, 09:49

> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator
   established=3h27m34s
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none
2    name="mikrotik/mikrotik" auth-algorithms=sha512 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none
Привожу верхние правила:
[admin@Brest-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; Allow ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
1    ;;; Allow related and established connections
      chain=input action=accept connection-state=established,related log=no log-prefix=""
2    ;;; Forward established and related connections
      chain=forward action=accept connection-state=established,related log=no log-prefix=""
3    chain=input action=accept src-address=10.8.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""
4    chain=input action=accept src-address=10.6.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""
5    ;;; Allow IKE
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
6    ;;; Allow IPSec-esp
      chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
И правила в нате:
[admin@Brest-R] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.8.0.0/24 log=no log-prefix=""
1    chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.6.0.0/24 log=no log-prefix=""
Попробую в proposal на микротике и в transform set-ах на АСЕ поиграться с параметрами.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 18-Ноя-15, 12:48

> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который  04-Ноя-15, 10:05 был  proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.
Менял на Des+sha как и было поднимается только первая фаза, вторая при попытке инициализации сразу сваливается в фэйл:
echo: ipsec,debug new acquire 2.2.2.2[0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Сейчас так на микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0     src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=3.3.3.3 proposal=mikrotik/mikrotik priority=0
1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
2     src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=newland priority=0
На асе ка было выше куча профилей чтобы хоть что-то подошло.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от Roman (??) on 18-Ноя-15, 20:31

вот ошибка  не инициализации фазы 2:
1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none

pfs-group=none
предполагаю что должно быть
pfs-group=modp1024
как минимум.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 19-Ноя-15, 09:28

> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.
IPsec должен и без pfs подниматься. В любом случае попробовал, включил зеркально, на Микротике:
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
1    name="newland" auth-algorithms=sha1 enc-algorithms=des lifetime=1d pfs-group=modp1024
И на АСЕ:
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set pfs
crypto map WAN_map 1 set peer 86.57.168.157
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
Эффект, тот-же (. Если что в АСЕ под crypto map WAN_map 1 set pfs подразумевается вторая группа 1024 которая.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 19-Ноя-15, 12:10

> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.
Вообщем решил перенастроить почти все с нуля подбирая параметры первой и второй фаз. Наконец туннель поднялся. Менял потихоньку параметры. В итоге вот что получилось:
Mikrotik:
[admin@Brest-R] > ip ipsec peer export
# nov/19/2015 13:02:46 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec peer
add address=1.1.1.1/32 dpd-maximum-failures=2 enc-algorithm=aes-256 local-address=2.2.2.2 \
    nat-traversal=no secret=test
[admin@Brest-R] > ip ipsec proposal export
# nov/19/2015 13:02:57 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec proposal
add auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-256-cbc lifetime=1d name=newland
[admin@Brest-R] > ip ipsec policy export
# nov/19/2015 13:03:04 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec policy group
set
/ip ipsec policy
add dst-address=10.6.0.0/24 proposal=newland sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 \
    src-address=10.7.0.0/24 tunnel=yes
Cisco ASA:
!
interface GigabitEthernet0/1
description Internet from ISP Aichina
nameif WAN
security-level 0
ip address 1.1.1.1 255.255.255.224
!
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
!
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map interface WAN
crypto isakmp identity address
crypto ikev1 enable WAN
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
group-policy GroupPolicy_2.2.2.2 internal
group-policy GroupPolicy_2.2.2.2 attributes
vpn-tunnel-protocol ikev1
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 general-attributes
default-group-policy GroupPolicy_2.2.2.2
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *******************
ikev2 remote-authentication certificate
ikev2 local-authentication pre-shared-key *******************

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 19-Ноя-15, 13:21

> вот ошибка  не инициализации фазы 2:
> 1    name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
>  как минимум.
Да и из интереса проверил, работает как с pfs так и без него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность работы.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от jeekey (ok) on 07-Сен-16, 15:01

> Да и из интереса проверил, работает как с pfs так и без
> него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность
> работы.
Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 07-Сен-16, 15:40

> Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
> Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.
Я не сидел 4 месяца над этой задачей : ). В данный момент конкретно site to site соединение между микротиками и асой не задействовано по ряду причин (не технических). В момент тестирования проверил туннель держался стабильно в течение суток, но до активного использования и длительного поддержания тогда не проверял.
Но могу добавить то что на асе настроен Site to site с другой железкой, совершенно другого вендора - если туннель разваливается по техническим причинам, то они, не зависили от асы. Также на асе настроен L2tp сервер - работает как часы.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от jeekey (ok) on 08-Сен-16, 11:56

> Я не сидел 4 месяца над этой задачей : ). В данный
> момент конкретно site to site соединение между микротиками и асой не
> задействовано по ряду причин (не технических). В момент тестирования проверил туннель
> держался стабильно в течение суток, но до активного использования и длительного
> поддержания тогда не проверял.
> Но могу добавить то что на асе настроен Site to site с
> другой железкой, совершенно другого вендора - если туннель разваливается по техническим
> причинам, то они, не зависили от асы. Также на асе настроен
> L2tp сервер - работает как часы.
Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa. Посмотрим что из этого выйдет :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Cisco asa 5515 + Mikrotik 951" +/–

Сообщение от falanger (ok) on 08-Сен-16, 12:04

> Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa.
> Посмотрим что из этого выйдет :)
Нет не с zyxel. А вообще что site to site, что L2TP over IPSEC соединение микротика с асой работают.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco asa 5515 + Mikrotik 951"	+/–
Сообщение от Roman (??) on 31-Июл-15, 18:42
Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится. Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить на Mikrotik 2011UiAS. Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50% + IPSEC + OSPF и он в дауне. На сколько я понимаю Cisco покупали для разгрузки?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco asa 5515 + Mikrotik 951"	–1 +/–
	Сообщение от Merridius (ok) on 31-Июл-15, 23:40
	> Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится. > Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить > на Mikrotik 2011UiAS. > Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50% > + IPSEC + OSPF и он в дауне. На сколько я > понимаю Cisco покупали для разгрузки? Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит. ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с DMVPN или VRF, к которым все привыкли в ISR'ах на IOS. Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики, policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего, нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами. А вот микротик это точно не роутер для Ынтерпрайза. Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте. ospf network point-to-point non-broadcast
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 01-Авг-15, 10:47
	> Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит. Про Catalyst 6500 никто и не говорит. Вот если бы был Catalyst 6500, то ... > ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с > DMVPN или VRF, к которым все привыкли в ISR'ах на IOS. Почти правильно, но у ASA есть более лучшее применение это использовать его в качестве фаервола + шифрование. Наверно поэтому Cisco его и относит к данным типам устройств. > Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики, > policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего, > нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами. В данных инсталяциях ASA5520 в разных точках Интернета, или в одной сети? > А вот микротик это точно не роутер для Ынтерпрайза. Смотря что понимать под словом Ынтерпрайз? Здесь, помоему, small business. > Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте. > ospf network point-to-point non-broadcast И как предлагаете это сделать с условиями выше?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 03-Авг-15, 13:47
	Спасибо за ответы парни. Поделюсь с вами порцией информации, 2011 микротик держит порядко 100 юзверей в данный момент, средняя нагрузка цп 30-50% и половина памяти, при настроеных PPTP сервере туннелях на удаленные офисы, DHCP сервером для одного из филиалов, в фильтрах фаервола 30 правил и чуть больше в нате + до 10 правил в мангле, + OSPF, PBR. Вообщем сичтаю не плохой результат за такие деньги. ASA приобреталась для замены микротика. Про OSPF для работы в режиме юникаста - да можно так сделать. И вообще я в курсе что ASA в первую очередь сетевой экран, а во вторую роутер, просто порезанный. Вообще планировалось что ASA будет основным роутером, а микротик как бэкап (при 5 каналах в интернет). Жалко что ASA не поддерживает VRRP, а вот PBR вроде как уже появилась поддержка. Вот у меня сейчас и стоит задача максимально задачи на ASA перебросить.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 03-Авг-15, 16:11
	Вообще конечно неплохо было бы настроить балансировку и резервирование, но ASA про балансировку вообще не слышала, а вот резервирование что-нибудь придумаю, может на IP SLA сделать. На микротике отлично настраивается и работает и то и другое. Настроил IPsec site to site - пока не взлетело, туннель устанавливается но трафик внутрь не заворачивается и не шифруется ничего. Вообщем пока конфиги выкидывать не буду рано еще, сам подебажу.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Cisco asa 5515 + Mikrotik 951"	+/–
Сообщение от falanger (ok) on 06-Авг-15, 17:10
На ASA IPsec настроен правильно и работает на 100%, проверял пробуя подключить Win7. Не могу победить настройки IPsec в Mikrotik. Для теста и понимания взял два микротика и настроил между ними IPsec. Настройки следующие: Router A /ip ipsec proposal add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none /ip ipsec peer add address=Y.Y.Y.Y/32 dpd-maximum-failures=2 nat-traversal=no policy-template-group=group1 secret=test /ip ipsec policy add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes /ip ipsec policy group add name=group1 /ip address add address=10.8.0.1/24 comment="test network" interface=bridge network=10.8.0.0 /ip firewall nat add chain=srcnat dst-address=10.7.0.0/24 src-address=10.8.0.0/24 Router B /ip ipsec proposal add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none /ip ipsec peer add address=X.X.X.X/32 dpd-maximum-failures=2 nat-traversal=no passive=yes policy-template-group=group1 \ secret=test send-initial-contact=no /ip ipsec policy add dst-address=10.8.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=X.X.X.X sa-src-address=Y.Y.Y.Y src-address=10.7.0.0/24 tunnel=yes /ip ipsec policy group add name=group1 /ip address add address=10.7.0.1/24 interface=bridge network=10.7.0.0 /ip firewall nat add chain=srcnat dst-address=10.8.0.0/24 src-address=10.7.0.0/24 Где 10.7.0.0/24 и 10.8.0.0/24 - тестовые подсетки созданные на роутерах. Правила фаервола приведенное выше для ната находится выше всех по приоритету для того чтобы трафик не натился. При выполнении команды ping 10.8.0.1 src-address=10.7.0.1 с Router B чтобы появился интересующий трафик для поднятия туннеля - реакции никакой. Все счетчики пустые, ничего не шифруется ну и пинг естественно не идет. Куда копать ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 07-Авг-15, 11:47
	При пинге какой исходящий src-address?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 07-Авг-15, 15:17
	> При пинге какой исходящий src-address? 10.7.0.1 Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 07-Авг-15, 18:43
	>> При пинге какой исходящий src-address? > 10.7.0.1 > Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается. tools traceroute ? ip ipsec remoute-peers print ? ip ipsec installed-sa print ? system logging добавить логирование ipset кроме packet логи что говорят ? проблем с ipsec между mikrotik - mikrotik - нет проблем с ipsec между mikrotik - cisco asa - нет проблем с ipsec между mikrotik - cisco router - нет возможные проблемы фаервол + маршрутизация.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 09-Авг-15, 20:30
	>[оверквотинг удален] >> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается. > tools traceroute ? > ip ipsec remoute-peers print ? > ip ipsec installed-sa print ? > system logging добавить логирование ipset кроме packet > логи что говорят ? > проблем с ipsec между mikrotik - mikrotik - нет > проблем с ipsec между mikrotik - cisco asa - нет > проблем с ipsec между mikrotik - cisco router - нет > возможные проблемы фаервол + маршрутизация. tool traceroute 10.8.0.1 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 100% 1 timeout 2 93.85.81.1 0% 1 4.4ms 4.4 4.4 4.4 0 3 93.85.252.129 0% 1 14ms 14 14 14 0 <MPLS:L=17931,E=0,T=255> 4 93.85.253.70 0% 1 12.1ms 12.1 12.1 12.1 0 <MPLS:L=19180,E=0,T=255> 5 93.85.253.106 0% 1 10.4ms 10.4 10.4 10.4 0 6 93.85.240.118 0% 1 19ms 19 19 19 0 7 100% 1 timeout 8 100% 1 timeout 9 100% 1 timeout 10 100% 1 timeout 11 0% 1 0ms ip ipsec remote-peers print 0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s в установленных SA - пусто ip ipsec installed-sa print Flags: A - AH, E - ESP Добавлю что в фаерволе добавлял правила 3 ;;; Allow IKE chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" 4 ;;; Allow IPSec-esp chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 5 ;;; Allow IPSec-ah chain=input action=accept protocol=ipsec-ah log=no log-prefix="" Выше данных правил нет запрещающих правил.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 10-Авг-15, 21:16
	>[оверквотинг удален] >> tools traceroute ? >> ip ipsec remoute-peers print ? >> ip ipsec installed-sa print ? >> system logging добавить логирование ipset кроме packet >> логи что говорят ? >> проблем с ipsec между mikrotik - mikrotik - нет >> проблем с ipsec между mikrotik - cisco asa - нет >> проблем с ipsec между mikrotik - cisco router - нет >> возможные проблемы фаервол + маршрутизация. > tool traceroute 10.8.0.1 забыл добавить tool traceroute 10.8.0.1 src-address=10.7.0.1 > ip ipsec remote-peers print > 0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s > в установленных SA - пусто > ip ipsec installed-sa print > Flags: A - AH, E - ESP пустить пакеты с помощью ping или trace не забывая src-address= и ip ipsec installed-sa print в студию. :) > Добавлю что в фаерволе добавлял правила > 3 ;;; Allow IKE > chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" > 4 ;;; Allow IPSec-esp > chain=input action=accept protocol=ipsec-esp log=no log-prefix="" > 5 ;;; Allow IPSec-ah > chain=input action=accept protocol=ipsec-ah log=no log-prefix="" > Выше данных правил нет запрещающих правил. А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ? А что с логами?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 11-Авг-15, 14:42
	>[оверквотинг удален] >> Добавлю что в фаерволе добавлял правила >> 3 ;;; Allow IKE >> chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" >> 4 ;;; Allow IPSec-esp >> chain=input action=accept protocol=ipsec-esp log=no log-prefix="" >> 5 ;;; Allow IPSec-ah >> chain=input action=accept protocol=ipsec-ah log=no log-prefix="" >> Выше данных правил нет запрещающих правил. > А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ? > А что с логами? Точно, упустил сам, вот вывод трассировки: tool traceroute 10.8.0.1 src-address=10.7.0.1 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 100% 3 timeout 2 100% 3 timeout 3 100% 2 timeout 4 100% 2 timeout 5 100% 2 timeout По установленным SA я уже писал, там пусто ( ip ipsec installed-sa print Flags: A - AH, E - ESP Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике появится 3-6 пакетов. Разрешающие правила - не думаю что они здесь должны быть для сетей. Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет смысла писать отдельное правило указывающее еще и подсеть. В логах все пусто. Добавил логирование IPsec и вот что видно: (68 messages discarded) echo: ipsec,debug,packet (lifetime = 86400:86400) echo: ipsec,debug,packet (lifebyte = 0:0) echo: ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC echo: ipsec,debug,packet (encklen = 0:0) echo: ipsec,debug,packet hashtype = SHA:SHA echo: ipsec,debug,packet authmethod = pre-shared key:pre-shared key echo: ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group echo: ipsec,debug,packet an acceptable proposal found. echo: ipsec,debug,packet dh(modp1024) echo: ipsec,debug,packet agreed on pre-shared key auth. echo: ipsec,debug,packet === echo: ipsec,debug,packet compute DH's private. [admin@Tolbuhina-R] > (159 messages discarded) echo: ipsec,debug,packet 03000024 01010000 800b0001 000c0004 00015180 80010005 8 0030001 80020002 echo: ipsec,debug,packet 80040002 00000028 02010000 800b0001 000c0004 00015180 8 0010007 800e0080 echo: ipsec,debug,packet 80030001 80020002 80040002 011101f4 5639a89d echo: ipsec,debug,packet hmac(hmac_sha1) echo: ipsec,debug,packet HASH computed: echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1 echo: ipsec,debug,packet HASH for PSK validated. echo: ipsec,debug,packet peer's ID: echo: ipsec,debug,packet 011101f4 5639a89d echo: ipsec,debug,packet === echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi :1570fcca9cbd32ec:ce8e0447c42bfe59 echo: ipsec,debug,packet ===
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 11-Авг-15, 21:51
	>[оверквотинг удален] > 100% 2 timeout > 5 > 100% 2 timeout > По установленным SA я уже писал, там пусто ( > ip ipsec installed-sa print > Flags: A - AH, E - ESP > Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики > пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике > появится 3-6 пакетов. > Разрешающие правила - не думаю что они здесь должны быть для сетей. разрешающие правила обязательны, если у вас не политика по умолчанию всё ACCEPT > Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет > смысла писать отдельное правило указывающее еще и подсеть. В логах все IPSec пакеты тоже должны быть разрешены. >[оверквотинг удален] > echo: ipsec,debug,packet hmac(hmac_sha1) > echo: ipsec,debug,packet HASH computed: > echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1 > echo: ipsec,debug,packet HASH for PSK validated. > echo: ipsec,debug,packet peer's ID: > echo: ipsec,debug,packet 011101f4 5639a89d > echo: ipsec,debug,packet === > echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi > :1570fcca9cbd32ec:ce8e0447c42bfe59 > echo: ipsec,debug,packet === ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились. Уберите, пожалуйста, в логах ipsec packet инструкция вида /system logging add action=memory topics=ipsec,!packet
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 12-Авг-15, 17:46
	>[оверквотинг удален] >> echo: ipsec,debug,packet HASH for PSK validated. >> echo: ipsec,debug,packet peer's ID: >> echo: ipsec,debug,packet 011101f4 5639a89d >> echo: ipsec,debug,packet === >> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi >> :1570fcca9cbd32ec:ce8e0447c42bfe59 >> echo: ipsec,debug,packet === > ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились. > Уберите, пожалуйста, в логах ipsec packet > инструкция вида /system logging add action=memory topics=ipsec,!packet Добавил правила зеркальные на роутерах разрешающие прохождение пакетов из тестовых подсетей [admin@Tolbuhina-R] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept src-address=10.7.0.0/24 in-interface=PPTP-ADSL log=no log-prefix="" 1 ;;; Allow IKE chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" 2 ;;; Allow IPSec-esp chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 3 ;;; Allow IPSec-ah chain=input action=accept protocol=ipsec-ah log=no log-prefix="" Настроил logging как Вы просили. [admin@Tolbuhina-R] > system logging add action=echo topics=ipsec,!packet [admin@Tolbuhina-R] > echo: ipsec,debug initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500] echo: ipsec,debug begin Identity Protection mode. echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:0000000000000000 echo: ipsec,debug received Vendor ID: CISCO-UNITY echo: ipsec,debug received Vendor ID: DPD echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 13-Авг-15, 09:49
	[оверквотинг удален] > echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece Первая фаза ipsec закончена. Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2) проблема в /ip ipsec policy add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes dst-address=10.7.0.0/32 должен быть 10.7.0.0/24
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 13-Авг-15, 10:29
	> [оверквотинг удален] >> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece > Первая фаза ipsec закончена. > Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2) > проблема в > /ip ipsec policy > add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X > src-address=10.8.0.0/24 tunnel=yes > dst-address=10.7.0.0/32 должен быть 10.7.0.0/24 Спасибо огромное, не заметил, теперь заработало. Результат. [admin@Tolbuhina-R] > ip ipsec installed-sa print Flags: A - AH, E - ESP 0 E spi=0xC7F0AA3 src-address=Y.Y.Y.Y dst-address=X.X.X.X state=mature auth-algorithm=sha512 enc-algorithm=aes-cbc auth-key="e32f900d62bc966180ba5b798a9b606753878bb639ce5f7a408edf9ca24942611edd19dcc50ee 303b8245e95f8f04c16bb0f024dc1effa745bb411c3ebbe8dd1" enc-key="f8b6864e6232382ce68a281581ce84aaa65de9cba2b0ec494144393f21f8d8dc" addtime=aug/13/2015 10:10:07 expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128 1 E spi=0xA4B37CC src-address=X.X.X.X dst-address=Y.Y.Y.Y state=mature auth-algorithm=sha512 enc-algorithm=aes-cbc auth-key="562e31aee8030ca91707eac4fa0525d42fa39f02ce1fdf2738091ca63cab2f5b27bd33fc71f2b d0a9ac0d56a3281f3796974dc6579e285f5bd54a8b7ba293e9a" enc-key="65848362fdaeb533f88742c6f8009d1dca2f928ff38319776e520f969747b2e5" addtime=aug/13/2015 10:10:07 expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128 [admin@Tolbuhina-R] > tool traceroute 10.7.0.1 src-address=10.8.0.1 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 10.7.0.1 0% 6 9.9ms 34.5 9.8 156.8 54.7 Теперь можно с чистой совестью пытаться с ASA один из mikrotik-ов подружить. О результатах также напишу.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 13-Авг-15, 11:37
	Решил проверить статистику, а там всё по нулям : (. Получается что трафик не шифруется [admin@R] > ip ipsec statistics print in-errors: 0 in-buffer-errors: 0 in-header-errors: 0 in-no-states: 0 in-state-protocol-errors: 0 in-state-mode-errors: 0 in-state-sequence-errors: 0 in-state-expired: 0 in-state-mismatches: 0 in-state-invalid: 0 in-template-mismatches: 0 in-no-policies: 0 in-policy-blocked: 0 in-policy-errors: 0 out-errors: 0 out-bundle-errors: 0 out-bundle-check-errors: 0 out-no-states: 94 out-state-protocol-errors: 0 out-state-mode-errors: 0 out-state-sequence-errors: 0 out-state-expired: 0 out-policy-blocked: 0 out-policy-dead: 0 out-policy-errors: 0 [admin@Tolbuhina-R] > ip ipsec statistics print in-errors: 0 in-buffer-errors: 0 in-header-errors: 0 in-no-states: 0 in-state-protocol-errors: 0 in-state-mode-errors: 0 in-state-sequence-errors: 0 in-state-expired: 0 in-state-mismatches: 0 in-state-invalid: 0 in-template-mismatches: 0 in-no-policies: 0 in-policy-blocked: 0 in-policy-errors: 0 out-errors: 0 out-bundle-errors: 0 out-bundle-check-errors: 0 out-no-states: 2 out-state-protocol-errors: 0 out-state-mode-errors: 0 out-state-sequence-errors: 0 out-state-expired: 0 out-policy-blocked: 0 out-policy-dead: 0 out-policy-errors: 0
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 13-Авг-15, 13:20
	> Решил проверить статистику, а там всё по нулям : (. Получается что > трафик не шифруется можете проверить командой ip ipsec installed-sa print там есть строка current-bytes=... вот она и показывает сколько трафика зашифровано в текущей сесии
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 13-Авг-15, 13:39
	>> Решил проверить статистику, а там всё по нулям : (. Получается что >> трафик не шифруется > можете проверить командой > ip ipsec installed-sa print > там есть строка current-bytes=... > вот она и показывает сколько трафика зашифровано в текущей сесии Да видно что объем трафика есть, более того он растет. А я даже не вчитывался в название счетчиков, а теперь решил прочитать их, получается там большая часть показывает ошибки. Вообщем вроде все ок.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору

20. "Cisco asa 5515 + Mikrotik 951"	+/–
Сообщение от falanger (ok) on 04-Ноя-15, 10:05
Удалось выкроить немного времени для дальнейшей настройки. На данный момент за микротиком 10.7.0.0/24 подсеть, за асой 10.6.0.0/24. Ситуация следующая. Конфиг Mikrotik: [admin@Brest-R] > ip ipsec peer print Flags: X - disabled, D - dynamic 0 address=1.1.1.1/32 local-address=2.2.2.2 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=2 [admin@Brest-R] >ipsec policy print Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 0 src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=test priority=0 [admin@Brest-R] > ip ipsec proposal print Flags: X - disabled, * - default 0 name="test" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=none На микротике видно что сессия установилась, но в установленных SA пусто. [admin@Brest-R] > ip ipsec remote-peers print 0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=initiator established=18h11m6s При пинге с микротика на циску видно что не может найти зеркальный ACL: [admin@Brest-R] > ping 10.6.0.254 src-address=10.7.0.1 SEQ HOST SIZE TTL TIME STATUS 0 10.6.0.254 timeout sent=5 received=0 packet-loss=100% echo: ipsec,debug new acquire 2.2.2.2 [0]<=>1.1.1.1[0] echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in echo: ipsec,debug no configuration found for 1.1.1.1. echo: ipsec,error failed to begin ipsec sa negotiation. Ниже конфиги циски: interface GigabitEthernet0/2 nameif TEST security-level 100 ip address 10.6.0.254 255.255.255.0 crypto map WAN_map 1 match address WAN_cryptomap crypto map WAN_map 1 set peer 2.2.2.2 crypto map WAN_map 1 set ikev1 transform-set ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 crypto map WAN_map 1 set nat-t-disable crypto map WAN_map 1 set reverse-route crypto map WAN_map interface WAN crypto ikev1 enable WAN Вот сам ACL access-list WAN_cryptomap line 1 extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0 (hitcnt=3) 0xf48c7385 Transform-set- ов создано большое количество чтобы наверняка поднялся туннель как и crypto ikev1 policy. В любом случае ikev1 поднимается, но SA не устанавливается из-за якобы отсутствия ACL. Это говорит и сама ASA. ASA# show crypto ikev1 sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 2.2.2.2 Type : L2L Role : responder Rekey : no State : MM_ACTIVE ASA# show crypto isakmp sa detail IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 2.2.2.2 Type : L2L Role : responder Rekey : no State : MM_ACTIVE Encrypt : 3des Hash : SHA Auth : preshared Lifetime: 86400 Lifetime Remaining: 19844 Если посмотреть в детали сессии через ASDM (через консоль не нашел) VPN Statistics/Session/Session detail/ACL то видно ACL is not applied to this session
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	21. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 11-Ноя-15, 17:43
	Вообщем как ни крути не поднимается вторая стадия, не устанавливается IPsec-SA.
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 15-Ноя-15, 15:46
	что говорит mikrotik на ip ipsec installed-sa print с cisco пинг проборали?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 15-Ноя-15, 17:22
	> что говорит mikrotik на ip ipsec installed-sa print > с cisco пинг проборали? Там пусто, только в первые секунды появляется запись с статусом larval т.е. пытается установится SA, но ничего не получается и конечно же запись пропадает полностью. И да, пинг запускал конечно, дабы туннели поднялись, с обоих сторон. Я уже на cisco форуме тему поднял https://supportforums.cisco.com/discussion/12702696/cisco-as... .
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 16-Ноя-15, 00:44
	какой dh-group на cisco?
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 16-Ноя-15, 09:45
	> какой dh-group на cisco? Все профили созданы с group 2. Просто у меня создано 15 политик с разными типами аутентификации, алгоритмами шифрования и хэширования чтобы хоть какой-то заработал. Но везде вторая группа.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 16-Ноя-15, 20:26
	на cisco: sh crypto ipsec sa sh crypto isakmp sa + на Mikrotike ip ipsec remote-peers print ip ipsec installed-sa print
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 17-Ноя-15, 10:29
	> на cisco: > sh crypto ipsec sa > sh crypto isakmp sa > + > на Mikrotike > ip ipsec remote-peers print > ip ipsec installed-sa print На АСЕ: ASA# show crypto ipsec sa There are no ipsec sas ASA# show crypto isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 1 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 2 1 IKE Peer: 2.2.2.2 Type : L2L Role : responder Rekey : no State : MM_REKEY_DONE_H2 2 IKE Peer: 2.2.2.2 Type : L2L Role : responder Rekey : yes State : MM_ACTIVE_REKEY There are no IKEv2 SAs На микротике: [admin@Brest-R] > ip ipsec remote-peers print 0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator established=4h15m9s [admin@Brest-R] > ip ipsec installed-sa print Flags: A - AH, E - ESP
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 17-Ноя-15, 19:57
	на Mikrotike ip ipsec policy print на асе sh ru \| include crypto
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от falanger (ok) on 17-Ноя-15, 23:00
	> на Mikrotike > ip ipsec policy print > на асе > sh ru \| include crypto На микротике: [admin@Brest-R] > ip ipsec policy print Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default 0 src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=x.x.x.x proposal=mikrotik/mikrotik priority=0 1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes 2 src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=newland priority=0 На ASA: ASA# sh ru \| include crypto access-list WAN_cryptomap extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0 crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec security-association lifetime seconds 86400 crypto ipsec security-association pmtu-aging infinite crypto map WAN_map 1 match address WAN_cryptomap crypto map WAN_map 1 set peer 2.2.2.2 crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map WAN_map 1 set security-association lifetime seconds 86400 crypto map WAN_map 1 set nat-t-disable crypto map WAN_map 1 set reverse-route crypto map WAN_map interface WAN crypto ca trustpoint ASDM_trustpoint crypto ca trustpool policy crypto ca certificate chain ASDM_trustpoint crypto ikev1 enable WAN crypto ikev1 policy 10 crypto ikev1 policy 20 crypto ikev1 policy 30 crypto ikev1 policy 40 crypto ikev1 policy 50 crypto ikev1 policy 60 crypto ikev1 policy 70 crypto ikev1 policy 80 crypto ikev1 policy 90 crypto ikev1 policy 100 crypto ikev1 policy 110 crypto ikev1 policy 120 crypto ikev1 policy 130 crypto ikev1 policy 140 crypto ikev1 policy 150
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Cisco asa 5515 + Mikrotik 951"	+/–
	Сообщение от Roman (??) on 18-Ноя-15, 00:04
	на микротике ip ipsec remote-peers print интересует proposal=newland который 04-Ноя-15, 10:05 был proposal=test в качестве протоколов рекомендую des + sha, а дальше можно повышать до aes. про настройки фаервола не спрашиваю надеюсь что input правила присутствуют. причём доступ полный.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору