forum.opennet.ru - "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"

Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
Сообщение от Desan (ok) on 04-Июл-11, 16:00
День добрый! Не получаеться поднять L2TP с win 7. Логи в ASDM при попытке подключения молчат, так же как и дебаг. Настраиваю через ASDM VPN Wizzard, для подключения с виндовского клиента. Подскажите пожалуйста в чем может быть проблема. ASA Version 8.3(1) ! interface GigabitEthernet1/1 description Default Gateway nameif dg security-level 0 ip address 192.168.0.3 255.255.255.0 ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network local-inet subnet 192.168.0.0 255.255.0.0 object network NETWORK_OBJ_192.168.0.0_24 subnet 192.168.0.0 255.255.255.0 access-list icmp extended permit ip any any pager lines 1000 logging enable logging asdm informational mtu management 1500 mtu local-to-inet 1500 mtu dg 1500 ip local pool vpn-pool 192.168.0.100-192.168.0.150 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any local-to-inet icmp permit any dg no asdm history enable arp timeout 14400 access-group icmp global route local-to-inet 0.0.0.0 0.0.0.0 192.168.3.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_DES_SHA crypto map dg_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map dg_map interface dg crypto isakmp enable dg crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet 10.0.0.0 255.255.255.0 management telnet timeout 60 ssh timeout 5 console timeout 0 management-access management threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 195.14.40.141 webvpn group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol IPSec l2tp-ipsec username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted privilege 0 username root attributes vpn-group-policy DefaultRAGroup tunnel-group DefaultRAGroup general-attributes address-pool vpn-pool default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes authentication pap authentication ms-chap-v2 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context Cryptochecksum:b4c7693f44c8c1b4fc6129137b8bab9d : end sh ver: Hardware: ASA5550, 4096 MB RAM, CPU Pentium 4 3000 MHz Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.06 0: Ext: GigabitEthernet0/0 : address is c84c.7576.cb50, irq 9 1: Ext: GigabitEthernet0/1 : address is c84c.7576.cb51, irq 9 2: Ext: GigabitEthernet0/2 : address is c84c.7576.cb52, irq 9 3: Ext: GigabitEthernet0/3 : address is c84c.7576.cb53, irq 9 4: Ext: Management0/0 : address is c84c.7576.cb54, irq 11 5: Int: Internal-Data0/0 : address is 0000.0001.0002, irq 11 6: Int: Not used : irq 5 7: Ext: GigabitEthernet1/0 : address is c84c.7576.d6f8, irq 255 8: Ext: GigabitEthernet1/1 : address is c84c.7576.d6f9, irq 255 9: Ext: GigabitEthernet1/2 : address is c84c.7576.d6fa, irq 255 10: Ext: GigabitEthernet1/3 : address is c84c.7576.d6fb, irq 255 11: Int: Internal-Data1/0 : address is 0000.0003.0002, irq 255 Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 250 perpetual Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual VPN-DES : Enabled perpetual VPN-3DES-AES : Disabled perpetual Security Contexts : 2 perpetual GTP/GPRS : Disabled perpetual SSL VPN Peers : 2 perpetual Total VPN Peers : 5000 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco VPN Phone : Disabled perpetual AnyConnect Essentials : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual This platform has an ASA 5550 VPN Premium license.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 00:29 , 05-Июл-11, (1)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 08:34 , 05-Июл-11, (2)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 16:47 , 05-Июл-11, (3)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 21:13 , 05-Июл-11, (4)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 09:18 , 06-Июл-11, (5)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 14:01 , 06-Июл-11, (6)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 12:11 , 07-Июл-11, (7)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 13:16 , 07-Июл-11, (8)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 16:26 , 07-Июл-11, (9)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 21:48 , 07-Июл-11, (10)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 08:33 , 08-Июл-11, (11)

Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 10:33 , 08-Июл-11, (12)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 12:28 , 08-Июл-11, (13)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 16:08 , 08-Июл-11, (14)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 16:11 , 08-Июл-11, (15)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 20:48 , 08-Июл-11, (16)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Aleks305, 21:15 , 08-Июл-11, (17)
Cisco ASA 5550 (8.3). Проблема с VPN L2TP, Desan, 12:17 , 11-Июл-11, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 05-Июл-11, 00:29

может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел в конфиге
sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
Может быть поможет.
Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных VPN-пиров в данной железке?
Давно покупали железку? не было проблем при закупке с des?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 05-Июл-11, 08:34

> может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел
> в конфиге
> sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
> Может быть поможет.
> Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных
> VPN-пиров в данной железке?
> Давно покупали железку? не было проблем при закупке с des?
sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на форум постил.
VPN-пиров вроде бы 5000, на работу приду и скажу точно.
Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай" :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 05-Июл-11, 16:47

>[оверквотинг удален]
>> sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL
>> Может быть поможет.
>> Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных
>> VPN-пиров в данной железке?
>> Давно покупали железку? не было проблем при закупке с des?
> sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на
> форум постил.
> VPN-пиров вроде бы 5000, на работу приду и скажу точно.
> Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай"
> :)
Upd.
Поменял конфиг и дебаг ожил
конфиг:
ASA Version 8.3(1)
!
interface GigabitEthernet1/1
description Default Gateway
nameif dg
security-level 0
ip address 192.168.0.3 255.255.255.0
!
ftp mode passive
dns domain-lookup local-to-inet
dns domain-lookup dg
dns server-group dns
name-server 213.234.192.8
name-server 85.21.192.3
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network local-inet
subnet 192.168.0.0 255.255.0.0
access-list icmp extended permit ip any any
pager lines 1000
logging asdm informational
mtu management 1500
mtu dg 1500
ip local pool vpn-pool 192.168.0.110-192.168.0.115 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any dg
no asdm history enable
arp timeout 14400
!
object network local-inet
nat (any,local-to-inet) dynamic interface dns
access-group icmp global
route local-to-inet 0.0.0.0 0.0.0.0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
http 10.0.0.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA
ESP-DES-MD5 vpn-tran
crypto map dg_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map dg_map interface dg
crypto isakmp enable dg
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
telnet 10.0.0.0 255.255.255.0 management
telnet timeout 60
ssh timeout 5
console timeout 0
management-access management
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 195.14.40.141
webvpn
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
group-lock value DefaultRAGroup
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global

Дебаг выдает следующее:

LOCAL-Back# Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE RECEIVED Mess
age (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR
(13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total le
ngth : 384
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, processing SA payload
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Unknown  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Unknown  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Group 2  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: Phase 1 failure:  Mismatched attribute types for class
Group Description:  Rcv'd: Group 2  Cfg'd: Group 1
Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE SENDING Message (msgid=0)
with payloads : HDR + NOTIFY (11) + NONE (0) total length : 252
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, All SA proposals found unaccep
table
Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, Error processing payload: Payload ID
: 1
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE MM Responder FSM error his
tory (struct &0x28e66760)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_START, EV_R
CV_MSG-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM--
>MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE SA MM:12eb8c70 terminating
:  flags 0x01000002, refcnt 0, tuncnt 0
Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, sending delete/delete with rea
son message

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 05-Июл-11, 21:13

В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я не понял, устанавливали доп лицензию на vpn?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 06-Июл-11, 09:18

> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я
> не понял, устанавливали доп лицензию на vpn?
На данный момент проблема с VPN L2TP/IPsec осталась.
Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по конфигу и сделал как было написано, как результат - дебаг стал хоть что-то показывать.
Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 06-Июл-11, 14:01

>> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я
>> не понял, устанавливали доп лицензию на vpn?
> На данный момент проблема с VPN L2TP/IPsec осталась.
> Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по
> конфигу и сделал как было написано, как результат - дебаг стал
> хоть что-то показывать.
> Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec?
Предусматривает. Меня интересовало количество возможных vpn-подключений

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 07-Июл-11, 12:11

Собрал схему, с таким конфигом работает:
crypto ipsec transform-set vpnl2tp esp-3des esp-sha-hmac
crypto ipsec transform-set vpnl2tp mode transport
crypto dynamic-map DYN 10 set transform-set vpnl2tp
crypto map VPN 20 ipsec-isakmp dynamic DYN
crypto map VPN interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
group-policy VPN_group internal
group-policy VPN_group attributes
dns-server value 192.168.30.7
default-domain value aleks.com
username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0
tunnel-group DefaultRAGroup general-attributes
address-pool VPNUSERS
default-group-policy VPN_group
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 07-Июл-11, 13:16

>[оверквотинг удален]
>  default-domain value aleks.com
> username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0
> tunnel-group DefaultRAGroup general-attributes
>  address-pool VPNUSERS
>  default-group-policy VPN_group
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *
> tunnel-group DefaultRAGroup ppp-attributes
>  authentication ms-chap-v2
> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
Алекс, спасибо за помощь.
Решил использовать cisco vpn client. Под него настроить получилось.
Чуток попозже попробую для вин клиентов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 07-Июл-11, 16:26

>[оверквотинг удален]
>>  address-pool VPNUSERS
>>  default-group-policy VPN_group
>> tunnel-group DefaultRAGroup ipsec-attributes
>>  pre-shared-key *
>> tunnel-group DefaultRAGroup ppp-attributes
>>  authentication ms-chap-v2
>> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
> Алекс, спасибо за помощь.
> Решил использовать cisco vpn client. Под него настроить получилось.
> Чуток попозже попробую для вин клиентов.
для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно не прописывает. Клиент лучше работает и имеет массу других преимуществ

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 07-Июл-11, 21:48

>[оверквотинг удален]
>>> tunnel-group DefaultRAGroup ipsec-attributes
>>>  pre-shared-key *
>>> tunnel-group DefaultRAGroup ppp-attributes
>>>  authentication ms-chap-v2
>>> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
>> Алекс, спасибо за помощь.
>> Решил использовать cisco vpn client. Под него настроить получилось.
>> Чуток попозже попробую для вин клиентов.
> для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно
> не прописывает. Клиент лучше работает и имеет массу других преимуществ
Спасибо за помощь!

Пожалуйста, помогите решить еще одну проблему.
Получилось поднять L2TP/ipsec с вин ХР.
Если компьютер, с которого идет подключение, соединен напрямую к ASA, на котором поднят l2tp сервер - все хорошо. Стоит переместить cisco ASA, на которой поднять L2TP сервер за nat - сразу же (моментально) вылетает ошибка 789.
Для ясности прилагаю схему подключения:
http://imageshack.us/photo/my-images/11/87087360.png/
Задача такова:
необходимо от PC 1 поднять l2tp/ipsec до интерфейса ASA 2 192.168.3.2 (транслируя порты) и получить доступ к сети 192.168.0.0/24.
Дебаг выдает следующее:
Aug 19 16:40:11 [IKEv1]: Group = DefaultRAGroup, IP = хххх, PHASE 1 COMPLETED
Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alive type for this connection: None
Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alives configured on but peer does not support keep-alives (type = None)
Aug 19 16:40:11 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, Starting P1 rekey timer: 2700 seconds.
Aug 19 16:40:12 [IKEv1]: IP = хххх, IKE_DECODE RECEIVED Message (msgid=942be6a1) with payloads : HDR + HASH (8) + SA (1) +
NONCE (10) + KE (4) + NONE (0) total length : 284
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing hash payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing SA payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing nonce payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ke payload
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ISA_KE for PFS in phase 2
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, peer is not authenticated by xauth - drop connection.
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, QM FSM error (P2 struct &0x48b3b48, mess id 0x942be6a1)!
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, IKE QM Responder FSM error history (struct &0x48b3b48) <
state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, NullEvent-->QM_BLD_MSG2, EV_
COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2, EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent
Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, sending delete/delete with reason message
Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, Removing peer from correlator table failed, no match!

Показать не могу конфиг (только завтра), если поможет:
ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х.
На ASA 1 настроен проброс портов 1701 и 500
object network vpn-allow-1701
host 192.168.3.2
nat (inside,outside) static interface servise udp 1701 1701
object network vpn-allow-500
host 192.168.3.2
nat (inside,outside) static interface servise udp 500 500
(могу ошибиться в синтаксисе, пишу по памяти)

NAT-T выключен, ибо если его включить, то соединение вообще не происходит.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 08-Июл-11, 08:33

>[оверквотинг удален]
> ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х.
> На ASA 1 настроен проброс портов 1701 и 500
> object network vpn-allow-1701
>  host 192.168.3.2
>  nat (inside,outside) static interface servise udp 1701 1701
> object network vpn-allow-500
>  host 192.168.3.2
>  nat (inside,outside) static interface servise udp 500 500
>  (могу ошибиться в синтаксисе, пишу по памяти)
> NAT-T выключен, ибо если его включить, то соединение вообще не происходит.
Конфиг ASA 1:
object network dmz-inet
subnet 192.168.0.0 255.255.0.0
object network tcp-80
host 192.168.3.3
object network vpn-allow
host 192.168.3.2
object network dmz-inet
nat (any,outside) dynamic interface dns
object network tcp-80
nat (inside,outside) static interface service tcp www www
object network vpn-allow
nat (inside,outside) static interface service udp isakmp isakmp
Конфиг ASA 2:
object network local-inet
subnet 192.168.0.0 255.255.0.0
object network local-inet
nat (any,local-to-inet) dynamic interface dns
crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map o-d-m 10 set transform-set vpn-tran
crypto map o-map 65000 ipsec-isakmp dynamic o-d-m
crypto map o-map interface local-to-inet
crypto isakmp identity address
crypto isakmp enable local-to-inet
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
no crypto isakmp nat-traversal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
username root attributes
service-type admin
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 08-Июл-11, 10:33

>[оверквотинг удален]
> username root attributes
>  service-type admin
> tunnel-group DefaultRAGroup general-attributes
>  address-pool vpn-pool
>  default-group-policy DefaultRAGroup
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *****
> tunnel-group DefaultRAGroup ppp-attributes
>  no authentication chap
>  authentication ms-chap-v2
Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не работает у вас, когда включаете. Так не нестроен проброс этого порта

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 08-Июл-11, 12:28

>[оверквотинг удален]
>>  address-pool vpn-pool
>>  default-group-policy DefaultRAGroup
>> tunnel-group DefaultRAGroup ipsec-attributes
>>  pre-shared-key *****
>> tunnel-group DefaultRAGroup ppp-attributes
>>  no authentication chap
>>  authentication ms-chap-v2
> Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для
> того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не
> работает у вас, когда включаете. Так не нестроен проброс этого порта
Проброс настроил, винду пропатчил. Теперь затыкается на 2 фазе. Ошибка 789 (моментально). По ваершарку с компа затыкается все на запросах от компа: "ISAKMP Quick Mode", ответов по ваершарку от cisco ASA нет.
Дебаг выдает:
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, PHASE 1 CO
MPLETED
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alive type for this connectio
n: None
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alives configured on but peer
does not support keep-alives (type = None)
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, Star
ting P1 rekey timer: 21600 seconds.
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE RECEIVED Message (msgid
=4bab0f43) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5
) + NONE (0) total length : 291
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing hash payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing SA payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing nonce payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing ID payload
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received r
emote Proxy Host FQDN in ID Payload:  Host Name: verge-12318352f  Address 0.0.0.
0, Protocol 17, Port 1701
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc
essing ID payload
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received l
ocal Proxy Host data in ID Payload:  Address 87.245.143.140, Protocol 17, Port 1
701
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Error proc
essing payload: Payload ID: 5
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, QM FSM err
or (P2 struct &0x2829b5c8, mess id 0x4bab0f43)!
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
QM Responder FSM error history (struct &0x2829b5c8)  <state>, <event>:  QM_DONE,
EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, Nu
llEvent-->QM_BLD_MSG2, EV_COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2
, EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send
ing delete/delete with reason message
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Removing p
eer from correlator table failed, no match!
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
SA MM:d26a842d rcv'd Terminate: state MM_ACTIVE  flags 0x00000042, refcnt 1, tun
cnt 0
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE
SA MM:d26a842d terminating:  flags 0x01000002, refcnt 0, tuncnt 0
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send
ing delete/delete with reason message
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing blank hash payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing IKE delete payload
Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons
tructing qm hash payload
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE SENDING Message (msgid=
9d64c90c) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length :
76
Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Session is
being torn down. Reason: Unknown
Jul 08 00:51:37 [IKEv1]: Ignoring msg to mark SA with dsID 4096 dead because SA
deleted
Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping
Jul 08 00:51:39 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping
Jul 08 00:51:42 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no
matching SA, dropping
Конфиг
crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac
crypto ipsec transform-set vpn-tran mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map o-d-m 10 set transform-set vpn-tran
crypto map o-map 65000 ipsec-isakmp dynamic o-d-m
crypto map o-map interface local-to-inet
crypto isakmp identity address
crypto isakmp enable local-to-inet
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 1
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
crypto isakmp nat-traversal 10
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted
username root attributes
service-type admin
tunnel-group DefaultRAGroup general-attributes
address-pool vpn-pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
Нашел информацию, что возможна причина в ACL, но добавление строк:
access-list vpn extended permit ip any any log
crypto dynamic-map o-d-m 10 match address vpn
ситуацию не изменило. Дебаг выдает все тоже самое

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 08-Июл-11, 16:08

>[оверквотинг удален]
>  default-group-policy DefaultRAGroup
> tunnel-group DefaultRAGroup ipsec-attributes
>  pre-shared-key *****
> tunnel-group DefaultRAGroup ppp-attributes
>  no authentication chap
>  authentication ms-chap-v2
> Нашел информацию, что возможна причина в ACL, но добавление строк:
> access-list vpn extended permit ip any any log
> crypto dynamic-map o-d-m 10 match address vpn
> ситуацию не изменило. Дебаг выдает все тоже самое
а без nat работает? ну в смысле напрямую?
Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если в вашей железке это не поддерживается, то ... не знаю, что сделать

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 08-Июл-11, 16:11

>[оверквотинг удален]
>>  no authentication chap
>>  authentication ms-chap-v2
>> Нашел информацию, что возможна причина в ACL, но добавление строк:
>> access-list vpn extended permit ip any any log
>> crypto dynamic-map o-d-m 10 match address vpn
>> ситуацию не изменило. Дебаг выдает все тоже самое
> а без nat работает? ну в смысле напрямую?
> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
> в вашей железке это не поддерживается, то ... не знаю, что
> сделать
Напрямую все работает.
С group 2 даже напрямую не хочет подключаться, работает только с group 1.
На других форумах вычитал, что для win XP group 1 надо ставить...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 08-Июл-11, 20:48

>[оверквотинг удален]
>>> crypto dynamic-map o-d-m 10 match address vpn
>>> ситуацию не изменило. Дебаг выдает все тоже самое
>> а без nat работает? ну в смысле напрямую?
>> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
>> в вашей железке это не поддерживается, то ... не знаю, что
>> сделать
> Напрямую все работает.
> С group 2 даже напрямую не хочет подключаться, работает только с group
> 1.
> На других форумах вычитал, что для win XP group 1 надо ставить...
Странно, но у меня с XP group 2 отлично работает, так что...не знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 пробрасываете natом наружу?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Aleks305 (ok) on 08-Июл-11, 21:15

>[оверквотинг удален]
>>> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если
>>> в вашей железке это не поддерживается, то ... не знаю, что
>>> сделать
>> Напрямую все работает.
>> С group 2 даже напрямую не хочет подключаться, работает только с group
>> 1.
>> На других форумах вычитал, что для win XP group 1 надо ставить...
> Странно, но у меня с XP group 2 отлично работает, так что...не
> знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500
> пробрасываете natом наружу?
попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP" +/–

Сообщение от Desan (ok) on 11-Июл-11, 12:17

>[оверквотинг удален]
>>>> в вашей железке это не поддерживается, то ... не знаю, что
>>>> сделать
>>> Напрямую все работает.
>>> С group 2 даже напрямую не хочет подключаться, работает только с group
>>> 1.
>>> На других форумах вычитал, что для win XP group 1 надо ставить...
>> Странно, но у меня с XP group 2 отлично работает, так что...не
>> знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500
>> пробрасываете natом наружу?
> попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту
Удалял - не помогает....
Вот конфиг проброса портов
object network dmz-inet
subnet 192.168.0.0 255.255.0.0
object network tcp-80
host 192.168.3.3
object network vpn-allow
host 192.168.3.2
object network nat-4500
host 192.168.3.2
object network vpn-1701
host 192.168.3.2
object network dmz-inet
nat (any,outside) dynamic interface dns
object network tcp-80
nat (dmz,outside) static interface service tcp www www
object network vpn-allow
nat (dmz,outside) static interface service udp isakmp isakmp
object network nat-4500
nat (dmz,outside) static interface service udp 4500 4500
object network vpn-1701
nat (dmz,outside) static interface service udp 1701 1701
Еще что-то надо пробросить?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
Сообщение от Aleks305 (ok) on 05-Июл-11, 00:29
может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел в конфиге sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL Может быть поможет. Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных VPN-пиров в данной железке? Давно покупали железку? не было проблем при закупке с des?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 05-Июл-11, 08:34
	> может быть весь ваш трафик дропается на outside дефолтным acl. Не нашел > в конфиге > sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL > Может быть поможет. > Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных > VPN-пиров в данной железке? > Давно покупали железку? не было проблем при закупке с des? sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на форум постил. VPN-пиров вроде бы 5000, на работу приду и скажу точно. Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай" :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 05-Июл-11, 16:47
	>[оверквотинг удален] >> sysopt connection permit-vpn, который исключает рассмотрение vpn-трафика ACL >> Может быть поможет. >> Кстати, увидел что premium vpn license. А сколько по дефолту идет возможных >> VPN-пиров в данной железке? >> Давно покупали железку? не было проблем при закупке с des? > sysopt connection permit-vpn в конфиге есть, скорее всего случайно удалил когда на > форум постил. > VPN-пиров вроде бы 5000, на работу приду и скажу точно. > Покупали без моего участия. Так сказать, дали в руки и сказали: "Настраивай" > :) Upd. Поменял конфиг и дебаг ожил конфиг: ASA Version 8.3(1) ! interface GigabitEthernet1/1 description Default Gateway nameif dg security-level 0 ip address 192.168.0.3 255.255.255.0 ! ftp mode passive dns domain-lookup local-to-inet dns domain-lookup dg dns server-group dns name-server 213.234.192.8 name-server 85.21.192.3 same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network local-inet subnet 192.168.0.0 255.255.0.0 access-list icmp extended permit ip any any pager lines 1000 logging asdm informational mtu management 1500 mtu dg 1500 ip local pool vpn-pool 192.168.0.110-192.168.0.115 mask 255.255.255.0 no failover icmp unreachable rate-limit 1 burst-size 1 icmp permit any dg no asdm history enable arp timeout 14400 ! object network local-inet nat (any,local-to-inet) dynamic interface dns access-group icmp global route local-to-inet 0.0.0.0 0.0.0.0 192.168.3.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management http 10.0.0.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac crypto ipsec transform-set vpn-tran mode transport crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5 vpn-tran crypto map dg_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map dg_map interface dg crypto isakmp enable dg crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 1 lifetime 86400 telnet 10.0.0.0 255.255.255.0 management telnet timeout 60 ssh timeout 5 console timeout 0 management-access management threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 195.14.40.141 webvpn group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec l2tp-ipsec group-lock value DefaultRAGroup username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted tunnel-group DefaultRAGroup general-attributes address-pool vpn-pool tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes authentication ms-chap-v2 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global Дебаг выдает следующее: LOCAL-Back# Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE RECEIVED Mess age (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total le ngth : 384 Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, processing SA payload Jul 05 04:57:30 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 1 Jul 05 04:57:30 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 1 Jul 05 04:57:30 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 2 Cfg'd: Group 1 Jul 05 04:57:30 [IKEv1]: Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Group 2 Cfg'd: Group 1 Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + NOTIFY (11) + NONE (0) total length : 252 Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, All SA proposals found unaccep table Jul 05 04:57:30 [IKEv1]: IP = 192.168.0.23, Error processing payload: Payload ID : 1 Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE MM Responder FSM error his tory (struct &0x28e66760) <state>, <event>: MM_DONE, EV_ERROR-->MM_START, EV_R CV_MSG-->MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM-- >MM_START, EV_START_MM-->MM_START, EV_START_MM-->MM_START, EV_START_MM Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, IKE SA MM:12eb8c70 terminating : flags 0x01000002, refcnt 0, tuncnt 0 Jul 05 04:57:30 [IKEv1 DEBUG]: IP = 192.168.0.23, sending delete/delete with rea son message
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 05-Июл-11, 21:13
	В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я не понял, устанавливали доп лицензию на vpn?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 06-Июл-11, 09:18
	> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я > не понял, устанавливали доп лицензию на vpn? На данный момент проблема с VPN L2TP/IPsec осталась. Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по конфигу и сделал как было написано, как результат - дебаг стал хоть что-то показывать. Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 06-Июл-11, 14:01
	>> В чем причина-то была? разобрались? сплошняковый конфиг asa сложно смотреть. Так я >> не понял, устанавливали доп лицензию на vpn? > На данный момент проблема с VPN L2TP/IPsec осталась. > Почему ожил дебаг, я не в курсе. Просто нашел очередной мануал по > конфигу и сделал как было написано, как результат - дебаг стал > хоть что-то показывать. > Доп. лицензии не устанавливал. Данная лицензия не предусматривает l2tp/ipsec? Предусматривает. Меня интересовало количество возможных vpn-подключений
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 07-Июл-11, 12:11
	Собрал схему, с таким конфигом работает: crypto ipsec transform-set vpnl2tp esp-3des esp-sha-hmac crypto ipsec transform-set vpnl2tp mode transport crypto dynamic-map DYN 10 set transform-set vpnl2tp crypto map VPN 20 ipsec-isakmp dynamic DYN crypto map VPN interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 no crypto isakmp nat-traversal group-policy VPN_group internal group-policy VPN_group attributes dns-server value 192.168.30.7 default-domain value aleks.com username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0 tunnel-group DefaultRAGroup general-attributes address-pool VPNUSERS default-group-policy VPN_group tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes authentication ms-chap-v2 ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 07-Июл-11, 13:16
	>[оверквотинг удален] > default-domain value aleks.com > username tamm password qDbvJPClKWiL4q8UealUEQ== nt-encrypted privilege 0 > tunnel-group DefaultRAGroup general-attributes > address-pool VPNUSERS > default-group-policy VPN_group > tunnel-group DefaultRAGroup ipsec-attributes > pre-shared-key * > tunnel-group DefaultRAGroup ppp-attributes > authentication ms-chap-v2 > ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0 Алекс, спасибо за помощь. Решил использовать cisco vpn client. Под него настроить получилось. Чуток попозже попробую для вин клиентов.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 07-Июл-11, 16:26
	>[оверквотинг удален] >> address-pool VPNUSERS >> default-group-policy VPN_group >> tunnel-group DefaultRAGroup ipsec-attributes >> pre-shared-key * >> tunnel-group DefaultRAGroup ppp-attributes >> authentication ms-chap-v2 >> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0 > Алекс, спасибо за помощь. > Решил использовать cisco vpn client. Под него настроить получилось. > Чуток попозже попробую для вин клиентов. для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно не прописывает. Клиент лучше работает и имеет массу других преимуществ
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 07-Июл-11, 21:48
	>[оверквотинг удален] >>> tunnel-group DefaultRAGroup ipsec-attributes >>> pre-shared-key * >>> tunnel-group DefaultRAGroup ppp-attributes >>> authentication ms-chap-v2 >>> ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0 >> Алекс, спасибо за помощь. >> Решил использовать cisco vpn client. Под него настроить получилось. >> Чуток попозже попробую для вин клиентов. > для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно > не прописывает. Клиент лучше работает и имеет массу других преимуществ Спасибо за помощь! Пожалуйста, помогите решить еще одну проблему. Получилось поднять L2TP/ipsec с вин ХР. Если компьютер, с которого идет подключение, соединен напрямую к ASA, на котором поднят l2tp сервер - все хорошо. Стоит переместить cisco ASA, на которой поднять L2TP сервер за nat - сразу же (моментально) вылетает ошибка 789. Для ясности прилагаю схему подключения: http://imageshack.us/photo/my-images/11/87087360.png/ Задача такова: необходимо от PC 1 поднять l2tp/ipsec до интерфейса ASA 2 192.168.3.2 (транслируя порты) и получить доступ к сети 192.168.0.0/24. Дебаг выдает следующее: Aug 19 16:40:11 [IKEv1]: Group = DefaultRAGroup, IP = хххх, PHASE 1 COMPLETED Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alive type for this connection: None Aug 19 16:40:11 [IKEv1]: IP = хххх, Keep-alives configured on but peer does not support keep-alives (type = None) Aug 19 16:40:11 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, Starting P1 rekey timer: 2700 seconds. Aug 19 16:40:12 [IKEv1]: IP = хххх, IKE_DECODE RECEIVED Message (msgid=942be6a1) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + KE (4) + NONE (0) total length : 284 Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing hash payload Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing SA payload Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing nonce payload Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ke payload Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, processing ISA_KE for PFS in phase 2 Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, peer is not authenticated by xauth - drop connection. Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, QM FSM error (P2 struct &0x48b3b48, mess id 0x942be6a1)! Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, IKE QM Responder FSM error history (struct &0x48b3b48) < state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, NullEvent-->QM_BLD_MSG2, EV_ COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2, EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent Aug 19 16:40:12 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = хххх, sending delete/delete with reason message Aug 19 16:40:12 [IKEv1]: Group = DefaultRAGroup, IP = хххх, Removing peer from correlator table failed, no match! Показать не могу конфиг (только завтра), если поможет: ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х. На ASA 1 настроен проброс портов 1701 и 500 object network vpn-allow-1701 host 192.168.3.2 nat (inside,outside) static interface servise udp 1701 1701 object network vpn-allow-500 host 192.168.3.2 nat (inside,outside) static interface servise udp 500 500 (могу ошибиться в синтаксисе, пишу по памяти) NAT-T выключен, ибо если его включить, то соединение вообще не происходит.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 08-Июл-11, 08:33
	>[оверквотинг удален] > ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х. > На ASA 1 настроен проброс портов 1701 и 500 > object network vpn-allow-1701 > host 192.168.3.2 > nat (inside,outside) static interface servise udp 1701 1701 > object network vpn-allow-500 > host 192.168.3.2 > nat (inside,outside) static interface servise udp 500 500 > (могу ошибиться в синтаксисе, пишу по памяти) > NAT-T выключен, ибо если его включить, то соединение вообще не происходит. Конфиг ASA 1: object network dmz-inet subnet 192.168.0.0 255.255.0.0 object network tcp-80 host 192.168.3.3 object network vpn-allow host 192.168.3.2 object network dmz-inet nat (any,outside) dynamic interface dns object network tcp-80 nat (inside,outside) static interface service tcp www www object network vpn-allow nat (inside,outside) static interface service udp isakmp isakmp Конфиг ASA 2: object network local-inet subnet 192.168.0.0 255.255.0.0 object network local-inet nat (any,local-to-inet) dynamic interface dns crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac crypto ipsec transform-set vpn-tran mode transport crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map o-d-m 10 set transform-set vpn-tran crypto map o-map 65000 ipsec-isakmp dynamic o-d-m crypto map o-map interface local-to-inet crypto isakmp identity address crypto isakmp enable local-to-inet crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 1 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption des hash sha group 1 lifetime 86400 no crypto isakmp nat-traversal group-policy DefaultRAGroup attributes vpn-tunnel-protocol IPSec l2tp-ipsec username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted username root attributes service-type admin tunnel-group DefaultRAGroup general-attributes address-pool vpn-pool default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentication ms-chap-v2
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 08-Июл-11, 10:33
	>[оверквотинг удален] > username root attributes > service-type admin > tunnel-group DefaultRAGroup general-attributes > address-pool vpn-pool > default-group-policy DefaultRAGroup > tunnel-group DefaultRAGroup ipsec-attributes > pre-shared-key ***** > tunnel-group DefaultRAGroup ppp-attributes > no authentication chap > authentication ms-chap-v2 Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не работает у вас, когда включаете. Так не нестроен проброс этого порта
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 08-Июл-11, 12:28
	>[оверквотинг удален] >> address-pool vpn-pool >> default-group-policy DefaultRAGroup >> tunnel-group DefaultRAGroup ipsec-attributes >> pre-shared-key *** >> tunnel-group DefaultRAGroup ppp-attributes >> no authentication chap >> authentication ms-chap-v2 > Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для > того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не > работает у вас, когда включаете. Так не нестроен проброс этого порта Проброс настроил, винду пропатчил. Теперь затыкается на 2 фазе. Ошибка 789 (моментально). По ваершарку с компа затыкается все на запросах от компа: "ISAKMP Quick Mode", ответов по ваершарку от cisco ASA нет. Дебаг выдает: Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, PHASE 1 CO MPLETED Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alive type for this connectio n: None Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alives configured on but peer does not support keep-alives (type = None) Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, Star ting P1 rekey timer: 21600 seconds. Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE RECEIVED Message (msgid =4bab0f43) with payloads : HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5 ) + NONE (0) total length : 291 Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc essing hash payload Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc essing SA payload Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc essing nonce payload Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc essing ID payload Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received r emote Proxy Host FQDN in ID Payload: Host Name: verge-12318352f Address 0.0.0. 0, Protocol 17, Port 1701 Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, proc essing ID payload Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Received l ocal Proxy Host data in ID Payload: Address 87.245.143.140, Protocol 17, Port 1 701 Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Error proc essing payload: Payload ID: 5 Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, QM FSM err or (P2 struct &0x2829b5c8, mess id 0x4bab0f43)! Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE QM Responder FSM error history (struct &0x2829b5c8) <state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, Nu llEvent-->QM_BLD_MSG2, EV_COMP_HASH-->QM_BLD_MSG2, EV_VALIDATE_MSG-->QM_BLD_MSG2 , EV_DECRYPT_OK-->QM_BLD_MSG2, NullEvent Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send ing delete/delete with reason message Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Removing p eer from correlator table failed, no match! Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE SA MM:d26a842d rcv'd Terminate: state MM_ACTIVE flags 0x00000042, refcnt 1, tun cnt 0 Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, IKE SA MM:d26a842d terminating: flags 0x01000002, refcnt 0, tuncnt 0 Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, send ing delete/delete with reason message Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons tructing blank hash payload Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons tructing IKE delete payload Jul 08 00:51:37 [IKEv1 DEBUG]: Group = DefaultRAGroup, IP = 87.245.143.138, cons tructing qm hash payload Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, IKE_DECODE SENDING Message (msgid= 9d64c90c) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 76 Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, Session is being torn down. Reason: Unknown Jul 08 00:51:37 [IKEv1]: Ignoring msg to mark SA with dsID 4096 dead because SA deleted Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no matching SA, dropping Jul 08 00:51:39 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no matching SA, dropping Jul 08 00:51:42 [IKEv1]: IP = 87.245.143.138, Received encrypted packet with no matching SA, dropping Конфиг crypto ipsec transform-set vpn-tran esp-des esp-md5-hmac crypto ipsec transform-set vpn-tran mode transport crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map o-d-m 10 set transform-set vpn-tran crypto map o-map 65000 ipsec-isakmp dynamic o-d-m crypto map o-map interface local-to-inet crypto isakmp identity address crypto isakmp enable local-to-inet crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 1 lifetime 86400 crypto isakmp policy 65535 authentication pre-share encryption des hash sha group 1 lifetime 86400 crypto isakmp nat-traversal 10 group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol IPSec l2tp-ipsec username root password Mu2HvbX9xenLqIVHN2gY1A== nt-encrypted username root attributes service-type admin tunnel-group DefaultRAGroup general-attributes address-pool vpn-pool default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key *** tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentication ms-chap-v2 Нашел информацию, что возможна причина в ACL, но добавление строк: access-list vpn extended permit ip any any log crypto dynamic-map o-d-m 10 match address vpn ситуацию не изменило. Дебаг выдает все тоже самое
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 08-Июл-11, 16:08
	>[оверквотинг удален] > default-group-policy DefaultRAGroup > tunnel-group DefaultRAGroup ipsec-attributes > pre-shared-key ***** > tunnel-group DefaultRAGroup ppp-attributes > no authentication chap > authentication ms-chap-v2 > Нашел информацию, что возможна причина в ACL, но добавление строк: > access-list vpn extended permit ip any any log > crypto dynamic-map o-d-m 10 match address vpn > ситуацию не изменило. Дебаг выдает все тоже самое а без nat работает? ну в смысле напрямую? Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если в вашей железке это не поддерживается, то ... не знаю, что сделать
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 08-Июл-11, 16:11
	>[оверквотинг удален] >> no authentication chap >> authentication ms-chap-v2 >> Нашел информацию, что возможна причина в ACL, но добавление строк: >> access-list vpn extended permit ip any any log >> crypto dynamic-map o-d-m 10 match address vpn >> ситуацию не изменило. Дебаг выдает все тоже самое > а без nat работает? ну в смысле напрямую? > Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если > в вашей железке это не поддерживается, то ... не знаю, что > сделать Напрямую все работает. С group 2 даже напрямую не хочет подключаться, работает только с group 1. На других форумах вычитал, что для win XP group 1 надо ставить...
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 08-Июл-11, 20:48
	>[оверквотинг удален] >>> crypto dynamic-map o-d-m 10 match address vpn >>> ситуацию не изменило. Дебаг выдает все тоже самое >> а без nat работает? ну в смысле напрямую? >> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если >> в вашей железке это не поддерживается, то ... не знаю, что >> сделать > Напрямую все работает. > С group 2 даже напрямую не хочет подключаться, работает только с group > 1. > На других форумах вычитал, что для win XP group 1 надо ставить... Странно, но у меня с XP group 2 отлично работает, так что...не знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 пробрасываете natом наружу?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Aleks305 (ok) on 08-Июл-11, 21:15
	>[оверквотинг удален] >>> Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если >>> в вашей железке это не поддерживается, то ... не знаю, что >>> сделать >> Напрямую все работает. >> С group 2 даже напрямую не хочет подключаться, работает только с group >> 1. >> На других форумах вычитал, что для win XP group 1 надо ставить... > Странно, но у меня с XP group 2 отлично работает, так что...не > знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 > пробрасываете natом наружу? попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Cisco ASA 5550 (8.3). Проблема с VPN L2TP"	+/–
	Сообщение от Desan (ok) on 11-Июл-11, 12:17
	>[оверквотинг удален] >>>> в вашей железке это не поддерживается, то ... не знаю, что >>>> сделать >>> Напрямую все работает. >>> С group 2 даже напрямую не хочет подключаться, работает только с group >>> 1. >>> На других форумах вычитал, что для win XP group 1 надо ставить... >> Странно, но у меня с XP group 2 отлично работает, так что...не >> знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 >> пробрасываете natом наружу? > попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту Удалял - не помогает.... Вот конфиг проброса портов object network dmz-inet subnet 192.168.0.0 255.255.0.0 object network tcp-80 host 192.168.3.3 object network vpn-allow host 192.168.3.2 object network nat-4500 host 192.168.3.2 object network vpn-1701 host 192.168.3.2 object network dmz-inet nat (any,outside) dynamic interface dns object network tcp-80 nat (dmz,outside) static interface service tcp www www object network vpn-allow nat (dmz,outside) static interface service udp isakmp isakmp object network nat-4500 nat (dmz,outside) static interface service udp 4500 4500 object network vpn-1701 nat (dmz,outside) static interface service udp 1701 1701 Еще что-то надо пробросить?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору