The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проблема с IpSec тунелем"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]
Cisco CCNA Routing & Switching версия 3.0 - новые курсы и экзамены
"Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 15-Авг-06, 09:09 
Существует проблема поднятия тунеля IpSec. Нужно что бы с между офисами А и B был поднят тунель. Офис А имел доступ к сети B.
внешний адрес А - 195.162.x.x.
внешний адрес B - 87.103.y.y.
внутренний B - 172.16.z.zНе можем разобраться в проблеме

!This is the running config of the router: 172.16.19.100
!----------------------------------------------------------------------------
!version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname _____--
!
boot-start-marker
boot-end-marker
!

clock timezone OMST 6
clock summer-time OMST recurring last Sun Mar 3:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name ____
ip name-server dns
vpdn enable
!
vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxx address 195.162.x.x.
!
!
crypto ipsec transform-set depfin esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
! Incomplete
set peer 195.162.x.x.
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.z.z 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username adsl____@pppoe password _____
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 permit ip host 172.16.z.z any
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17180772
ntp master 3
ntp server ______ prefer
end

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 15-Авг-06, 09:23 
а чего тут разибраться. оно никогда не заработает пока мапа будет инкомлит.
проверьте - у вас трансформсет правильно указан? в конфиге один, а в мапе другой.

crypto ipsec transform-set depfin esp-3des esp-sha-hmac

crypto map vpn 100 ipsec-isakmp
! Incomplete
set peer 195.162.x.x.
set transform-set vpn
match address 101


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Проблема с IpSec тунелем"  
Сообщение от sh_ email(??) on 15-Авг-06, 09:34 
Пока acl 101 не напишешь - не заработает...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Проблема с IpSec тунелем"  
Сообщение от JK (??) on 15-Авг-06, 09:26 
>!
>crypto map vpn 100 ipsec-isakmp
> ! Incomplete
> set peer 195.162.x.x.
> set transform-set vpn
> match address 101
>!

А где acl 101 ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 15-Авг-06, 20:56 
>>!
>>crypto map vpn 100 ipsec-isakmp
>> ! Incomplete
>> set peer 195.162.x.x.
>> set transform-set vpn
>> match address 101
>>!
>
>А где acl 101 ?

Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо, но с цисками работаю недавно по этому извеняйте. Как мне разделить чтобы трафик из лок. сети В в инет шёл как обычно а в между сетями А и В постоянный  шифрованный канал поднят причем из А полный доступ  к сети В.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Проблема с IpSec тунелем"  
Сообщение от angelweb email(??) on 15-Авг-06, 21:59 
>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо,
>но с цисками работаю недавно по этому извеняйте. Как мне разделить
>чтобы трафик из лок. сети В в инет шёл как обычно
>а в между сетями А и В постоянный  шифрованный канал
>поднят причем из А полный доступ  к сети В.


Изучай ACl

Некоторые основы тут http://www.faq-cisco.ru/page.php?id=5

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 16-Авг-06, 07:18 
>>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо,
>>но с цисками работаю недавно по этому извеняйте. Как мне разделить
>>чтобы трафик из лок. сети В в инет шёл как обычно
>>а в между сетями А и В постоянный  шифрованный канал
>>поднят причем из А полный доступ  к сети В.
>
>
>Изучай ACl
>
>Некоторые основы тут http://www.faq-cisco.ru/page.php?id=5

Так ну с доступом вроде разберусь. А подскажите плиз криптомапа цеплять нада на VLAN или Dialer интерфейс. По докам смотрел везде примеры разные а новичку все таки трудновато пока что. И Ipsec ведь можно же и без tunnel делать это же по умолчанию тунель и есть? Спасибо

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 16-Авг-06, 09:56 
Вот что получилось но не прет все равно
Подскажите в чем косяк. Понимаю что не гений я конечно :)

aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name
ip name-server 195._____
vpdn enable
!
vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key !!!!!!!!!address 195.162.x.x

!
!
crypto ipsec transform-set dep esp-3des esp-sha-hmac

!
crypto map dep 100 ipsec-isakmp
set peer 195.162.x.x
set transform-set dep
match address 101
reverse-route

!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.y.y 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.__.__ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ______ password ______
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny   ip 172.___._.0 0.0.0.255 10.__.__.0 0.0.0.255
access-list 100 permit ip 172.__.__.0 0.0.0.255 any
access-list 101 permit ip 172.__.__.0 0.0.0.255 10.__.__.0 0.0.0.255

no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17180529
ntp master 3
ntp server 80.240.109.1 prefer
end


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 16-Авг-06, 10:57 
а что не получается?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 16-Авг-06, 11:16 
>а что не получается?

не видна лок. сеть за циской и не пингуется пинг идет только на внешний адрес циски похоже что тунель так и не поднят

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Проблема с IpSec тунелем"  
Сообщение от angelweb email(??) on 16-Авг-06, 11:31 
>>а что не получается?
>
>не видна лок. сеть за циской и не пингуется пинг идет только
>на внешний адрес циски похоже что тунель так и не поднят
>

tracert с обоих цисок одинаковый ? (аля зеркало)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 16-Авг-06, 11:45 
>>>а что не получается?
>>
>>не видна лок. сеть за циской и не пингуется пинг идет только
>>на внешний адрес циски похоже что тунель так и не поднят
>>
>
>tracert с обоих цисок одинаковый ? (аля зеркало)


разный совсем идет

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Проблема с IpSec тунелем"  
Сообщение от angelweb email(??) on 16-Авг-06, 12:00 
>>>>а что не получается?
>>>
>>>не видна лок. сеть за циской и не пингуется пинг идет только
>>>на внешний адрес циски похоже что тунель так и не поднят
>>>
>>
>>tracert с обоих цисок одинаковый ? (аля зеркало)
>
>
>разный совсем идет

Значит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 16-Авг-06, 13:17 
>>>>>а что не получается?
>>>>
>>>>не видна лок. сеть за циской и не пингуется пинг идет только
>>>>на внешний адрес циски похоже что тунель так и не поднят
>>>>
>>>
>>>tracert с обоих цисок одинаковый ? (аля зеркало)
>>
>>
>>разный совсем идет
>
>Значит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3


Делаю так сказать по бумажке но что то не выходит не дает поднять тунель ругается на ай пи если ставить другой пропадает выход в инет из сети. Что то совсем уже запутался.....

crypto ipsec transform-set vpn esp-3des esp-sha-hmac

crypto map vpn 100 ipsec-isakmp
set peer 195.162.?.?
set transform-set vpn
match address 101
reverse-route
!
!
interface Tunnel0
ip address 172.16.19.2 255.255.255.0
shutdown (пока down поднять не дает)
tunnel source Dialer1
tunnel destination 195.162.?.?
crypto map vpn
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.?.? 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___________ password ____________
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.10.0.0 0.0.0.255 Tunnel0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Проблема с IpSec тунелем"  
Сообщение от boom email(??) on 16-Авг-06, 14:10 
>crypto ipsec transform-set vpn esp-3des esp-sha-hmac
>
>crypto map vpn 100 ipsec-isakmp
> set peer 195.162.?.?
> set transform-set vpn
> match address 101
> reverse-route
>!
>!
>interface Tunnel0
> ip address 172.16.19.2 255.255.255.0
> shutdown (пока down поднять не дает)
> tunnel source Dialer1
> tunnel destination 195.162.?.?
> crypto map vpn
>interface Vlan1
> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
> ip address 172.16.19.100 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1452
>!
>interface Dialer1
> ip address 87.103.?.? 255.255.255.0
> ip mtu 1492
> ip nat outside
> ip virtual-reassembly
> encapsulation ppp
> dialer pool 1
> ppp authentication pap callin
> ppp pap sent-username ___________ password ____________

Не надо ни каких тунелей, и так все прекрасно работает.
1. Тунель убираем.
2. Где crypto-map на внешнем интерфейсе?
3. Трафик для шифрования должен быть указан одинаковый как на той так и на этой стороне
Тобишь на местной:
ip access-list extended encryption
permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255
на удаленной:
ip access-list extended encryption
permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255
4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip:

ip access-list extended nat
deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255
permit 172.xx.xx.xx 0.0.0.255 any

5. Проверяем что открыты на входящее соединение udp 500,4500 и esp

6. После чего делаем пинг(лучше из сетки, либо с кошака но с source ip лан)
7. Смотрим sh crypto session или sh crypto ses de
8. если down
то включаем debug crypto ipsec debug crypto isakmp terminal monitor
копируем лог и постим сюда ;))
Если up то радуемся жизни ;)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 17-Авг-06, 14:58 
>>crypto ipsec transform-set vpn esp-3des esp-sha-hmac
>>
>>crypto map vpn 100 ipsec-isakmp
>> set peer 195.162.?.?
>> set transform-set vpn
>> match address 101
>> reverse-route
>>!
>>!
>>interface Tunnel0
>> ip address 172.16.19.2 255.255.255.0
>> shutdown (пока down поднять не дает)
>> tunnel source Dialer1
>> tunnel destination 195.162.?.?
>> crypto map vpn
>>interface Vlan1
>> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
>> ip address 172.16.19.100 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> ip tcp adjust-mss 1452
>>!
>>interface Dialer1
>> ip address 87.103.?.? 255.255.255.0
>> ip mtu 1492
>> ip nat outside
>> ip virtual-reassembly
>> encapsulation ppp
>> dialer pool 1
>> ppp authentication pap callin
>> ppp pap sent-username ___________ password ____________
>
>Не надо ни каких тунелей, и так все прекрасно работает.
>1. Тунель убираем.
>2. Где crypto-map на внешнем интерфейсе?
>3. Трафик для шифрования должен быть указан одинаковый как на той так
>и на этой стороне
>Тобишь на местной:
>ip access-list extended encryption
>permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255
>на удаленной:
>ip access-list extended encryption
>permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255
>4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций
>при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а
>потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip:
>
>
>ip access-list extended nat
>deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255
>permit 172.xx.xx.xx 0.0.0.255 any
>
>5. Проверяем что открыты на входящее соединение udp 500,4500 и esp
>
>6. После чего делаем пинг(лучше из сетки, либо с кошака но с
>source ip лан)
>7. Смотрим sh crypto session или sh crypto ses de
>8. если down
>то включаем debug crypto ipsec debug crypto isakmp terminal monitor
>копируем лог и постим сюда ;))
>Если up то радуемся жизни ;)


Вобщем ситуэшен такой пинг не идет но канал вроде поднялся на циске загорелся ВПН
Сети внутренние тож не видны ???

Aug 17 10:38:09.868: ISAKMP (0:0): received packet from 195.162.38.__ dport 500
sport 500 Global (N) NEW SA
Aug 17 10:38:09.868: ISAKMP: Created a peer struct for 195.162.38.__, peer port
500
Aug 17 10:38:09.868: ISAKMP: Locking peer struct 0x82474D20, IKE refcount 1 for
crypto_isakmp_process_block
Aug 17 10:38:09.868: ISAKMP: local port 500, remote port 500
Aug 17 10:38:09.868: insert sa successfully sa = 823A0878
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_R
_MM1

Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123
mismatch
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
Aug 17 10:38:09.872: ISAKMP: Looking for a matching key for 195.162.38.70 in def
ault : success
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 17 10:38:09.872: ISAKMP : Scanning profiles for xauth ...
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 1 policy
Aug 17 10:38:09.872: ISAKMP:      encryption 3DES-CBC
Aug 17 10:38:09.872: ISAKMP:      hash MD5
Aug 17 10:38:09.872: ISAKMP:      default group 2
Aug 17 10:38:09.872: ISAKMP:      auth pre-share
Aug 17 10:38:09.872: ISAKMP:      life type in seconds
Aug 17 10:38:09.872: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123
mismatch
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1  New State = IKE_R_
MM1

Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-03 ID
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) MM_SA_SETUP
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1  New State = IKE_R_
MM2

Aug 17 10:38:09.964: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (R) MM_SA_SETUP
Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2  New State = IKE_R_
MM3

Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0

Aug 17 10:38:09.996: ISAKMP: Looking for a matching key for 195.162.38.70 in def
ault : success
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 195.16
2.38.70
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is Unity
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 17 10:38:10.000: ISAKMP:received payload type 20
Aug 17 10:38:10.000: ISAKMP:received payload type 20
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3  New State = IKE_R_
MM3

Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.__ my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3  New State = IKE_R_
MM4

Aug 17 10:38:10.064: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) MM_KEY_EXCH
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4  New State = IKE_R_
MM5

Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0
Aug 17 10:38:10.064: ISAKMP (0:268435457): ID payload
        next-payload : 8
        type         : 1
        address      : 195.162.38.__
        protocol     : 17
        port         : 500
        length       : 12
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc
ol 1
        spi 0, message ID = 0, sa = 823A0878
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status:
        authenticated
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): Process initial contact,
bring down existing phase 1 and 2 SA's with local 87.103.179.___ remote 195.162.
38.70 remote port 500
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status:
        authenticated
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA has been authenticated with 195.162.38
.__
Aug 17 10:38:10.068: ISAKMP: Trying to insert a peer 87.103.179.178/195.162.38._
0/500/,  and inserted successfully 82474D20.
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5  New State = IKE_R_
MM5

Aug 17 10:38:10.068: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication
using id type ID_IPV4_ADDR
Aug 17 10:38:10.072: ISAKMP (0:268435457): ID payload
        next-payload : 8
        type         : 1
        address      : 87.103.179.__
        protocol     : 17
        port         : 500
        length       : 12
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5  New State = IKE_P1
_COMPLETE

Aug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM
PLETE
Aug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State =
IKE_P1_COMPLETE

Aug 17 10:38:10.132: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) QM_IDLE
Aug 17 10:38:10.132: ISAKMP: set new node 468270712 to QM_IDLE
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 46
8270712
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing SA payload. message ID = 4682
70712
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1
Aug 17 10:38:10.136: ISAKMP: transform 1, ESP_3DES
Aug 17 10:38:10.136: ISAKMP:   attributes in transform:
Aug 17 10:38:10.136: ISAKMP:      encaps is 1 (Tunnel)
Aug 17 10:38:10.136: ISAKMP:      SA life type in seconds
Aug 17 10:38:10.136: ISAKMP:      SA life duration (basic) of 3600
Aug 17 10:38:10.136: ISAKMP:      SA life type in kilobytes
Aug 17 10:38:10.136: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
Aug 17 10:38:10.136: ISAKMP:      authenticator is HMAC-SHA
Aug 17 10:38:10.136: ISAKMP:      group is 2
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):atts are acceptable.
Aug 17 10:38:10.136: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Aug 17 10:38:10.140: Crypto mapdb : proxy_match
        src addr     : 172.16.19.0
        dst addr     : 10.14.9.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 4
68270712
Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE
R, IKE_QM_EXCH
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY  New State = IKE
_QM_SPI_STARVE
Aug 17 10:38:10.200: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.200: IPSEC(spi_response): getting spi 434742837 for SA
        from 87.103.179.__ to 195.162.38.__ for prot 3
Aug 17 10:38:10.204: ISAKMP: received ke message (2/1)
Aug 17 10:38:10.204: ISAKMP: Locking peer struct 0x82474D20, IPSEC refcount 1 fo
r for stuff_ke
Aug 17 10:38:10.204: ISAKMP:(0:1:HW:2): Creating IPSec SAs
Aug 17 10:38:10.204:         inbound SA from 195.162.38.__ to 87.103.179.__ (f/
i)  0/ 0
        (proxy 10.14.9.0 to 172.16.19.0)
Aug 17 10:38:10.204:         has spi 0x19E9A635 and conn_id 0 and flags 23
Aug 17 10:38:10.208:         lifetime of 3600 seconds
Aug 17 10:38:10.208:         lifetime of 4608000 kilobytes
Aug 17 10:38:10.208:         has client flags 0x0
Aug 17 10:38:10.208:         outbound SA from 87.103.179.__ to 195.162.38.__ (f
/i) 0/0
        (proxy 172.16.19.0 to 10.14.9.0)
Aug 17 10:38:10.208:         has spi 2012559701 and conn_id 0 and flags 2B
Aug 17 10:38:10.208:         lifetime of 3600 seconds
Aug 17 10:38:10.208:         lifetime of 4608000 kilobytes
Aug 17 10:38:10.208:         has client flags 0x0
Aug 17 10:38:10.208: IPSEC(key_engine): got a queue event with 2 kei messages
Aug 17 10:38:10.208: IPSEC(initialize_sas): ,
  (key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x19E9A635(434742837), conn_id= 0, keysize= 0, flags= 0x23
Aug 17 10:38:10.208: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= 87.103.179.__, remote= 195.162.38.__,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x77F53955(2012559701), conn_id= 0, keysize= 0, flags= 0x2B
Aug 17 10:38:10.208: Crypto mapdb : proxy_match
        src addr     : 172.16.19.0
        dst addr     : 10.14.9.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Aug 17 10:38:10.212: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t
he same proxies and 130.87.250.76
Aug 17 10:38:10.212: IPSec: Flow_switching Allocated flow for sibling 80000002
Aug 17 10:38:10.212: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 10.14.9.0
, dest_port 0

Aug 17 10:38:10.212: IPSEC(create_sa): sa created,
  (sa) sa_dest= 87.103.179.___, sa_proto= 50,
    sa_spi= 0x19E9A635(434742837),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001
Aug 17 10:38:10.212: IPSEC(create_sa): sa created,
  (sa) sa_dest= 195.162.38.70, sa_proto= 50,
    sa_spi= 0x77F53955(2012559701),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002
Aug 17 10:38:10.212: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) QM_IDLE
Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_IPS
EC, IKE_SPI_REPLY
Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE  New State
= IKE_QM_R_QM2
Aug 17 10:38:10.284: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) QM_IDLE
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):deleting node 468270712 error FALSE reaso
n "QM done (await)"
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE
R, IKE_QM_EXCH
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2  New State = IKE
_QM_PHASE2_COMPLETE
Aug 17 10:38:10.288: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): rec'd enable notify from
ISAKMP
Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): enable SA with spi 20125
59701/50
Aug 17 10:39:00.274: ISAKMP:(0:1:HW:2):purging node 468270712
poltavlka#terminal monitor
% Console already monitors
poltavlka#
poltavlka#
poltavlka#
poltavlka#
poltavlka#
poltavlka#debug crypto isakmp
Crypto ISAKMP debugging is on
poltavlka#debug crypto ipsec
Crypto IPSEC debugging is on
poltavlka#sh cryptoses de
                   ^
% Invalid input detected at '^' marker.

poltavlka#sh crypto ses de
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: Dialer1
Session status: UP-ACTIVE
Peer: 195.162.38.70 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 195.162.38.70
      Desc: (none)
  IKE SA: local 87.103.179.__/500 remote 195.162.38.__/500 Active
          Capabilities:(none) connid:268435457 lifetime:23:43:20
  IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
  IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600
        Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600
  IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
  IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600
        Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "Проблема с IpSec тунелем"  
Сообщение от JK (??) on 17-Авг-06, 15:43 
Так туннельный интерфейс убрал или оставил?

можно и так, и так, конечно, делать

я предпочитаю без туннелей

два аксес-листа - на крипто-мэпе и на интерфейсе

на интерфейсе разрешаешь трафик из удаленной сети

access-list 101 permit ip та_сеть эта_сеть

на мэпе наоборот разрешаешь в удаленную сеть

access-list 102 permit ip эта_сеть та_сеть

ну и наконец выбрасываешь удаленную сеть из ната

access-list NAT deny   ip эта_сеть та сеть
access-list NAT permit ip эта_сеть any


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 18-Авг-06, 08:41 
>Так туннельный интерфейс убрал или оставил?
>
>можно и так, и так, конечно, делать
>
>я предпочитаю без туннелей
>
>два аксес-листа - на крипто-мэпе и на интерфейсе
>
>на интерфейсе разрешаешь трафик из удаленной сети
>
>access-list 101 permit ip та_сеть эта_сеть
>
>на мэпе наоборот разрешаешь в удаленную сеть
>
>access-list 102 permit ip эта_сеть та_сеть
>
>ну и наконец выбрасываешь удаленную сеть из ната
>
>access-list NAT deny   ip эта_сеть та сеть
>access-list NAT permit ip эта_сеть any


Ребят вобщем уже голову свернули. Вобщем вот какой щас конфиг


no ip domain lookup
ip domain name poltavka.local
ip name-server 195.162._._
vpdn enable
!
vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key q1w2e3r4 address 87.103.179.__
crypto isakmp key p0o9i8 address 195.162.38.__ 255.255.255.0
!
!
crypto ipsec transform-set dep esp-3des esp-sha-hmac
!
crypto map dep 100 ipsec-isakmp
set peer 195.162.38.__
set transform-set dep
match address 101
reverse-route
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.179.__ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___ password ___
crypto map dep
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny   ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17175079
ntp master 3
ntp server 80.240.__ prefer
end

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "Проблема с IpSec тунелем"  
Сообщение от boom email(??) on 18-Авг-06, 08:47 
Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок ;))
[quote]
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
[/quote]

Вот как надо:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 10000

трансформ сет остается таким же
crypto ipsec transform-set dep esp-3des esp-sha-hmac

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 18-Авг-06, 12:46 
>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок
>;))
>[quote]
>crypto isakmp policy 1
>encr 3des
>hash md5
>authentication pre-share
>group 2
>[/quote]
>
>Вот как надо:
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
> lifetime 10000
>
>трансформ сет остается таким же
>crypto ipsec transform-set dep esp-3des esp-sha-hmac

странно но почему же другие несколько офисов подключены и работаю с таким шифрованием
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2

а моя 877 хоть убей не хочет может из за разной трассировки?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 18-Авг-06, 12:56 
>>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок
>>;))
>>[quote]
>>crypto isakmp policy 1
>>encr 3des
>>hash md5
>>authentication pre-share
>>group 2
>>[/quote]
>>
>>Вот как надо:
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>> lifetime 10000
>>
>>трансформ сет остается таким же
>>crypto ipsec transform-set dep esp-3des esp-sha-hmac
>
>странно но почему же другие несколько офисов подключены и работаю с таким
>шифрованием
>crypto isakmp policy 1
>encr 3des
>hash md5
>authentication pre-share
>group 2
>
>а моя 877 хоть убей не хочет может из за разной трассировки?
>


Aug 18 08:53:09.268: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x7035A841(1882564673), conn_id= 0, keysize= 0, flags= 0x400A
Aug 18 08:53:09.268: ISAKMP: local port 500, remote port 500
Aug 18 08:53:09.268: ISAKMP: set new node 0 to QM_IDLE
Aug 18 08:53:09.268: insert sa successfully sa = 81DFCDE4
Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Ma
in mode.
Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_
MM
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_I
_MM1

Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_NO_STATE
Aug 18 08:53:09.332: ISAKMP (0:0): received packet from 195.162.38.70 dport 500
sport 500 Global (I) MM_NO_STATE
Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1  New State = IKE_I
_MM2

Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 10 policy
Aug 18 08:53:09.336: ISAKMP:      encryption DES-CBC
Aug 18 08:53:09.336: ISAKMP:      hash SHA
Aug 18 08:53:09.336: ISAKMP:      default group 1
Aug 18 08:53:09.336: ISAKMP:      auth RSA sig
Aug 18 08:53:09.336: ISAKMP:      life type in seconds
Aug 18 08:53:09.336: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not ma
tch policy!
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is
0
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 65535 policy
Aug 18 08:53:09.336: ISAKMP:      encryption DES-CBC
Aug 18 08:53:09.336: ISAKMP:      hash SHA
Aug 18 08:53:09.336: ISAKMP:      default group 1
Aug 18 08:53:09.336: ISAKMP:      auth RSA sig
Aug 18 08:53:09.336: ISAKMP:      life type in seconds
Aug 18 08:53:09.336: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Aug 18 08:53:09.340: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2  New State = IKE_I_
MM2

Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_SA_SETUP
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2  New State = IKE_I_
MM3

Aug 18 08:53:09.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_SA_SETUP
Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM3  New State = IKE_I_
MM4

Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 18 08:53:09.432: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0

Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing CERT_REQ payload. message ID
= 0
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): peer wants an unknown cert, abort.
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 18 08:53:09.436: ISAKMP:received payload type 20
Aug 18 08:53:09.436: ISAKMP:received payload type 20
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4  New State = IKE_I_
MM4

Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Send initial contact
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Unable to get router cert or routerdoes n
ot have a cert: needed to find DN!
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):SA is doing RSA signature authentication
using id type ID_IPV4_ADDR
Aug 18 08:53:09.440: ISAKMP (0:268435457): ID payload
        next-payload : 6
        type         : 1
        address      : 87.103.179.178
        protocol     : 17
        port         : 500
        length       : 12
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): no valid cert found to return
Aug 18 08:53:09.440: ISAKMP: set new node -294688449 to QM_IDLE
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Sending NOTIFY CERTIFICATE_UNAVAILABLE pr
otocol 1
        spi 0, message ID = -294688449
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_KEY_EXCH
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):purging node -294688449
Aug 18 08:53:09.440: ISAKMP (0:268435457): FSM action returned error: 2
Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4  New State = IKE_I_
MM5

Aug 18 08:53:19.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1

Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:29.415: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1

Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:39.260: IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= 87.103.179.178, remote= 195.162.38.70,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4)
Aug 18 08:53:39.260: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0xCB91FC89(3415342217), conn_id= 0, keysize= 0, flags= 0x400A
Aug 18 08:53:39.260: ISAKMP: set new node 0 to QM_IDLE
Aug 18 08:53:39.260: ISAKMP:(0:1:HW:2):SA is still budding. Attached new ipsec r
equest to it. (local 87.103.179.178, remote 195.162.38.70)
Aug 18 08:53:39.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1

Aug 18 08:53:39.420: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:49.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1

Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:54:09.252: IPSEC(key_engine): request timer fired: count = 2,
  (identity) local= 87.103.179.178, remote= 195.162.38.70,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4)
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):peer does not do paranoid keepalives.

Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
on "IKE deleted"
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting node 1723400177 error FALSE reas
on "IKE deleted"
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM5  New State = IKE_DE
ST_SA

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "Проблема с IpSec тунелем"  
Сообщение от angelweb email(ok) on 18-Авг-06, 13:07 
Попробуй связаться с своим провайдером.

В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 21-Авг-06, 07:37 
>Попробуй связаться с своим провайдером.
>
>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>


Связавшись с провайдером выяснил что все таки должно все работать. Есть ли еще какие варианты? может все таки имеет смысл сделать через gre тунель? Если можно подскажите как это организовать.  

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "Проблема с IpSec тунелем"  
Сообщение от Изгой email(??) on 21-Авг-06, 11:05 
>>Попробуй связаться с своим провайдером.
>>
>>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>>
>
>
>Связавшись с провайдером выяснил что все таки должно все работать. Есть ли
>еще какие варианты? может все таки имеет смысл сделать через gre
>тунель? Если можно подскажите как это организовать.


А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 22-Авг-06, 08:03 
>>>Попробуй связаться с своим провайдером.
>>>
>>>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>>>
>>
>>
>>Связавшись с провайдером выяснил что все таки должно все работать. Есть ли
>>еще какие варианты? может все таки имеет смысл сделать через gre
>>тунель? Если можно подскажите как это организовать.
>
>
>А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию?

Вобщем выкладываю полный конфиг
Сдругой стороны соответственно тоже шифрование и такие же правила
Сам уже сдался с настройкой .....:(

aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name poltavka.local
ip name-server 195.162.___
vpdn enable
!
vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key _________  87.103._______
crypto isakmp key ________ 195.162.________
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 195.162._____
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16._______ 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.________ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ________ e password 0 __________
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.14.9.0 255.255.255.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny   ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17175069
ntp master 3
ntp server 80.240.___1 prefer
end

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "Проблема с IpSec тунелем"  
Сообщение от boom email(??) on 22-Авг-06, 12:10 
Все правильно кроме:

crypto map vpn 100 ipsec-isakmp
set peer 195.162._____
set transform-set vpn
match address 101

interface Dialer1
ip address 87.103.________ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ________ e password 0 __________
crypto map depfin
            ^^^^^^^
//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!

У тебя есть crypto map vpn вот его и подставляй

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

26. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 22-Авг-06, 12:30 
>Все правильно кроме:
>
>crypto map vpn 100 ipsec-isakmp
> set peer 195.162._____
> set transform-set vpn
> match address 101
>
>interface Dialer1
> ip address 87.103.________ 255.255.255.0
> ip mtu 1492
> ip nat outside
> ip virtual-reassembly
> encapsulation ppp
> dialer pool 1
> ppp authentication pap callin
> ppp pap sent-username ________ e password 0 __________
> crypto map depfin
>            
>^^^^^^^
>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>
>У тебя есть crypto map vpn вот его и подставляй

я извеняюсь там стоит не crypto map depfin а crypto map vpn эт я не правильно конфу скинул
и все равно не работает

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

27. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 22-Авг-06, 12:34 
>>Все правильно кроме:
>>
>>crypto map vpn 100 ipsec-isakmp
>> set peer 195.162._____
>> set transform-set vpn
>> match address 101
>>
>>interface Dialer1
>> ip address 87.103.________ 255.255.255.0
>> ip mtu 1492
>> ip nat outside
>> ip virtual-reassembly
>> encapsulation ppp
>> dialer pool 1
>> ppp authentication pap callin
>> ppp pap sent-username ________ e password 0 __________
>> crypto map depfin
>>            
>>^^^^^^^
>>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>>
>>У тебя есть crypto map vpn вот его и подставляй
>
>я извеняюсь там стоит не crypto map depfin а crypto map vpn
>эт я не правильно конфу скинул
>и все равно не работает
покажите актуальные конфиги, относящиеся к тунелям и дебаги
debug crypto isakmp
debug crypto ipsec


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

28. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 23-Авг-06, 06:15 
>>>Все правильно кроме:
>>>
>>>crypto map vpn 100 ipsec-isakmp
>>> set peer 195.162._____
>>> set transform-set vpn
>>> match address 101
>>>
>>>interface Dialer1
>>> ip address 87.103.________ 255.255.255.0
>>> ip mtu 1492
>>> ip nat outside
>>> ip virtual-reassembly
>>> encapsulation ppp
>>> dialer pool 1
>>> ppp authentication pap callin
>>> ppp pap sent-username ________ e password 0 __________
>>> crypto map depfin
>>>            
>>>^^^^^^^
>>>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>>>
>>>У тебя есть crypto map vpn вот его и подставляй
>>
>>я извеняюсь там стоит не crypto map depfin а crypto map vpn
>>эт я не правильно конфу скинул
>>и все равно не работает
>покажите актуальные конфиги, относящиеся к тунелям и дебаги
>debug crypto isakmp
>debug crypto ipsec

Итак конфиг 1-й циски


Building configuration...

vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 111 address 87.103.х.х
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 87.103.x.x
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19._ 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.y.y 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___password __
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat translation max-entries 10
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny   ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255
no cdp run
!


              КОНФА ВТОРОЙ ЦИСКИ


!
vpdn-group pppoe
request-dialin
  protocol pppoe
!
no ftp-server write-enable
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key 111 address 87.103.y.y
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 87.103.y.y
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
  pppoe-client dial-pool-number 1
!
!

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.29.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username _______ password ________
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny   ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255
access-list 100 permit ip 172.16.29.0 0.0.0.255 any
access-list 101 permit ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255
no cdp run
!
control-plane
!
!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

29. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 07:37 
Вобщем изменил ситуацию канал поднят но сетки не видны

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key 123 address 87.103.1.1 (с другой стороны 87.103.2.2)
!
!
crypto ipsec transform-set depfin esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map depfin 100 ipsec-isakmp
set peer 87.103.1.1 (с другой стороны 87.103.2.2)
set transform-set depfin
match address 101

(ай пи адреса изменены)


Aug 23 03:23:02.554: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has
invalid spi for
        destaddr=87.103.179.178, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87
.103.179.117
Aug 23 03:23:02.554: ISAKMP: received ke message (3/1)
Aug 23 03:23:02.554: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:08.569: ISAKMP: received ke message (3/1)
Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s
Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s
Aug 23 03:23:15.987: ISAKMP: received ke message (3/1)
Aug 23 03:23:15.987: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:22.029: ISAKMP: received ke message (3/1)
Aug 23 03:23:22.029: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:33.994: ISAKMP: received ke message (3/1)
Aug 23 03:23:33.994: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:43.043: ISAKMP: received ke message (3/1)
Aug 23 03:23:43.043: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:55.016: ISAKMP: received ke message (3/1)
Aug 23 03:23:55.016: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.117 for SPI 0x88A7F2CC
Aug 23 03:24:04.065: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has
invalid spi for
        destaddr=87.103.179.2, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87
.103.179.117
Aug 23 03:24:04.069: ISAKMP: received ke message (3/1)
Aug 23 03:24:04.069: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:24:17.897: ISAKMP: Looking for a matching key for 87.103.179.1 in de
fault

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

30. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 08:38 
И вот еще че пишит

Aug 23 04:31:34.675: ISAKMP (0:0): received packet from 87.103.179.117 dport 500
sport 500 Global (N) NEW SA
Aug 23 04:31:34.675: ISAKMP: Created a peer struct for 87.103.179.117, peer port
500
Aug 23 04:31:34.675: ISAKMP: Locking peer struct 0x81DE746C, IKE refcount 1 for
crypto_isakmp_process_block
Aug 23 04:31:34.679: ISAKMP: local port 500, remote port 500
Aug 23 04:31:34.679: insert sa successfully sa = 81D9AAE0
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_R
_MM1

Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245
mismatch
Aug 23 04:31:34.679: ISAKMP (0:0): vendor ID is NAT-T v7
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123
mismatch
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
Aug 23 04:31:34.679: ISAKMP: Looking for a matching key for 87.103.179.117 in de
fault : success
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 87.10
3.179.117
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 23 04:31:34.683: ISAKMP : Scanning profiles for xauth ...
Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 10 policy
Aug 23 04:31:34.683: ISAKMP:      encryption 3DES-CBC
Aug 23 04:31:34.683: ISAKMP:      hash SHA
Aug 23 04:31:34.683: ISAKMP:      default group 2
Aug 23 04:31:34.683: ISAKMP:      auth pre-share
Aug 23 04:31:34.683: ISAKMP:      life type in seconds
Aug 23 04:31:34.683: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 245
mismatch
Aug 23 04:31:34.715: ISAKMP (0:268435457): vendor ID is NAT-T v7
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123
mismatch
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1  New State = IKE_R_
MM1

Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-07 ID
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_SA_SETUP
Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1  New State = IKE_R_
MM2

Aug 23 04:31:34.839: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) MM_SA_SETUP
Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2  New State = IKE_R_
MM3

Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 23 04:31:34.867: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0

Aug 23 04:31:34.871: ISAKMP: Looking for a matching key for 87.103.179.117 in de
fault : success
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 87.103
.179.117
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is Unity
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3  New State = IKE_R_
MM3

Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3  New State = IKE_R_
MM4

Aug 23 04:31:34.995: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) MM_KEY_EXCH
Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4  New State = IKE_R_
MM5

Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0
Aug 23 04:31:34.999: ISAKMP (0:268435457): ID payload
        next-payload : 8
        type         : 1
        address      : 87.103.179.117
        protocol     : 17
        port         : 500
        length       : 12
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc
ol 1
        spi 0, message ID = 0, sa = 81D9AAE0
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status:
        authenticated
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): Process initial contact,
bring down existing phase 1 and 2 SA's with local 87.103.179.178 remote 87.103.1
79.117 remote port 500
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status:
        authenticated
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA has been authenticated with 87.103.179
.117
Aug 23 04:31:34.999: ISAKMP: Trying to insert a peer 87.103.179.178/87.103.179.1
17/500/,  and inserted successfully 81DE746C.
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5  New State = IKE_R_
MM5

Aug 23 04:31:34.999: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication
using id type ID_IPV4_ADDR
Aug 23 04:31:35.003: ISAKMP (0:268435457): ID payload
        next-payload : 8
        type         : 1
        address      : 87.103.179.178
        protocol     : 17
        port         : 500
        length       : 12
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5  New State = IKE_P1
_COMPLETE

Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM
PLETE
Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE  New State =
IKE_P1_COMPLETE

Aug 23 04:31:35.095: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) QM_IDLE
Aug 23 04:31:35.095: ISAKMP: set new node -825314852 to QM_IDLE
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = -8
25314852
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing SA payload. message ID = -825
314852
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1
Aug 23 04:31:35.099: ISAKMP: transform 1, ESP_3DES
Aug 23 04:31:35.099: ISAKMP:   attributes in transform:
Aug 23 04:31:35.099: ISAKMP:      encaps is 1 (Tunnel)
Aug 23 04:31:35.099: ISAKMP:      SA life type in seconds
Aug 23 04:31:35.099: ISAKMP:      SA life duration (basic) of 3600
Aug 23 04:31:35.099: ISAKMP:      SA life type in kilobytes
Aug 23 04:31:35.099: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
Aug 23 04:31:35.099: ISAKMP:      authenticator is HMAC-SHA
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):atts are acceptable.
Aug 23 04:31:35.099: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
Aug 23 04:31:35.099: Crypto mapdb : proxy_match
        src addr     : 172.16.19.0
        dst addr     : 172.16.29.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = -
825314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825
314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825
314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE
ER, IKE_QM_EXCH
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY  New State = IKE
_QM_SPI_STARVE
Aug 23 04:31:35.103: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.103: IPSEC(spi_response): getting spi 4141340935 for SA
        from 87.103.179.178 to 87.103.179.117 for prot 3
Aug 23 04:31:35.107: ISAKMP: received ke message (2/1)
Aug 23 04:31:35.107: ISAKMP: Locking peer struct 0x81DE746C, IPSEC refcount 1 fo
r for stuff_ke
Aug 23 04:31:35.107: ISAKMP:(0:1:HW:2): Creating IPSec SAs
Aug 23 04:31:35.107:         inbound SA from 87.103.179.117 to 87.103.179.178 (f
/i)  0/ 0
        (proxy 172.16.29.0 to 172.16.19.0)
Aug 23 04:31:35.107:         has spi 0xF6D7D907 and conn_id 0 and flags 2
Aug 23 04:31:35.107:         lifetime of 3600 seconds
Aug 23 04:31:35.107:         lifetime of 4608000 kilobytes
Aug 23 04:31:35.111:         has client flags 0x0
Aug 23 04:31:35.111:         outbound SA from 87.103.179.178 to 87.103.179.117 (
f/i) 0/0
        (proxy 172.16.19.0 to 172.16.29.0)
Aug 23 04:31:35.111:         has spi 61249941 and conn_id 0 and flags A
Aug 23 04:31:35.111:         lifetime of 3600 seconds
Aug 23 04:31:35.111:         lifetime of 4608000 kilobytes
Aug 23 04:31:35.111:         has client flags 0x0
Aug 23 04:31:35.111: IPSEC(key_engine): got a queue event with 2 kei messages
Aug 23 04:31:35.111: IPSEC(initialize_sas): ,
  (key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0xF6D7D907(4141340935), conn_id= 0, keysize= 0, flags= 0x2
Aug 23 04:31:35.111: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 87.103.179.117,
    local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x3A69995(61249941), conn_id= 0, keysize= 0, flags= 0xA
Aug 23 04:31:35.111: Crypto mapdb : proxy_match
        src addr     : 172.16.19.0
        dst addr     : 172.16.29.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Aug 23 04:31:35.111: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t
he same proxies and 130.87.2.12
Aug 23 04:31:35.111: IPSec: Flow_switching Allocated flow for sibling 80000002
Aug 23 04:31:35.115: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 172.16.29
.0, dest_port 0

Aug 23 04:31:35.115: IPSEC(create_sa): sa created,
  (sa) sa_dest= 87.103.179.178, sa_proto= 50,
    sa_spi= 0xF6D7D907(4141340935),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001
Aug 23 04:31:35.115: IPSEC(create_sa): sa created,
  (sa) sa_dest= 87.103.179.117, sa_proto= 50,
    sa_spi= 0x3A69995(61249941),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) QM_IDLE
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_IP
SEC, IKE_SPI_REPLY
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE  New State
= IKE_QM_R_QM2
Aug 23 04:31:35.211: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) QM_IDLE
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):deleting node -825314852 error FALSE reas
on "QM done (await)"
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE
ER, IKE_QM_EXCH
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2  New State = IKE
_QM_PHASE2_COMPLETE
Aug 23 04:31:35.215: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): rec'd enable notify from
ISAKMP
Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): enable SA with spi 61249
941/50
Aug 23 04:32:25.201: ISAKMP:(0:1:HW:2):purging node -825314852

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

31. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 23-Авг-06, 08:50 
OK
покажите  sh crypto ipsec sa


и как проверяете что трафик в тунеле не ходит?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

32. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 09:16 
>OK
>покажите  sh crypto ipsec sa
>
>
>и как проверяете что трафик в тунеле не ходит?

другой админ пытается в мою сеть попасть я в его и пингум в обе стороны - ничего....


nterface: Dialer1
    Crypto map tag: depfin, local addr 87.103.179.178

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0)
   current_peer 87.103.179.117 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117
     path mtu 1492, ip mtu 1492
     current outbound spi: 0xCC53FCDB(3428056283)

     inbound esp sas:
      spi: 0x927CEFE(153603838)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin
        sa timing: remaining key lifetime (k/sec): (4454236/2177)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xCC53FCDB(3428056283)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin
        sa timing: remaining key lifetime (k/sec): (4454237/2176)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Virtual-Access1
    Crypto map tag: depfin, local addr 87.103.179.178

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0)
   current_peer 87.103.179.117 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117
     path mtu 1492, ip mtu 1492
     current outbound spi: 0xCC53FCDB(3428056283)

     inbound esp sas:
      spi: 0x927CEFE(153603838)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin
        sa timing: remaining key lifetime (k/sec): (4454236/2173)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xCC53FCDB(3428056283)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin
        sa timing: remaining key lifetime (k/sec): (4454237/2172)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

33. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 23-Авг-06, 09:22 
странно
а если с циски напрямую?
ping 172.16.29.2 so 172.16.19._
и наоборот
?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

34. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 09:28 
>странно
>а если с циски напрямую?
>ping 172.16.29.2 so 172.16.19._
>и наоборот
>?


таже ситуэйшен нет ответа :((

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

35. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 09:30 
>странно
>а если с циски напрямую?
>ping 172.16.29.2 so 172.16.19._
>и наоборот
>?


таже ситуэйшен нет ответа :((
Sending 5, 100-byte ICMP Echos to 172.16.19.26, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

на внешний конечно же идет

ну как ни странно один раз смог пробиться и все на этом
Системы Windows Xp Cisco 877

И еще вот что выдает cisco SDM при тестировании тунеля может в этом что то

VPN Troubleshooting Report Details

Router Details

Attribute Value
Router Model  877  
Image Name  c870-advsecurityk9-mz.123-8.YI2.bin  
IOS Version  12.3(8)YI2  
Hostname  poltavlka  


Test Activity Summary

Activity Status
Checking the tunnel status...  Up  


Test Activity Details

Activity Status
Checking the tunnel status...  Up  
    Encapsulation :0  
    Decapsulation :99  
    Send Error :0  
    Received Error :0  


Troubleshooting Results Failure Reason(s) Recommended Action(s)

A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets.  1)Contact your ISP/Administrator to resolve this issue. 2)Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.  

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

36. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 23-Авг-06, 10:05 
очень странно.

MTU скорее не при чем, будет проявляться на больших пакетах...


единственно, что могу посоветовать - попробовать построить другую схему
1. организуете GRE-туннель между цисками.
2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

37. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 10:08 
>очень странно.
>
>MTU скорее не при чем, будет проявляться на больших пакетах...
>
>
>единственно, что могу посоветовать - попробовать построить другую схему
>1. организуете GRE-туннель между цисками.
>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).


Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным пингом у меня отпингавались адреса удаленной сети ???  

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

38. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 23-Авг-06, 10:18 
>>очень странно.
>>
>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>
>>
>>единственно, что могу посоветовать - попробовать построить другую схему
>>1. организуете GRE-туннель между цисками.
>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>
>
>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>пингом у меня отпингавались адреса удаленной сети ???


а как пинговали с командной строки?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

39. "Проблема с IpSec тунелем"  
Сообщение от Fiser (ok) on 23-Авг-06, 11:12 
>>>очень странно.
>>>
>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>
>>>
>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>1. организуете GRE-туннель между цисками.
>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>
>>
>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>пингом у меня отпингавались адреса удаленной сети ???
>
>
>а как пинговали с командной строки?

Я ни чо не могу понять. Теперь ситуация значит такая. Я с другой машины (сервер) все пропинговал все работает и даже открыл ресурс на удаленной тоже только на одной. С моей ничего не пингуется и не открывается и с других. Файрвол и прочее отключено. Далее когда я добавил еще аксскс лист т.е. нужно что бы еще с другой сети ко мне имели доступ снова все пропадает т.е. ничего не открывается хотя пинг по прежнему идет. Ничего не менял просто добавил еще ай пи адреса. Может на моем сервере какой то порт открыт а на других он закрыт? по умолчанию
Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за помощь

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

40. "Проблема с IpSec тунелем"  
Сообщение от ilya email(ok) on 23-Авг-06, 14:16 
>>>>очень странно.
>>>>
>>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>>
>>>>
>>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>>1. организуете GRE-туннель между цисками.
>>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>>
>>>
>>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>>пингом у меня отпингавались адреса удаленной сети ???
>>
>>
>>а как пинговали с командной строки?
>
>Я ни чо не могу понять. Теперь ситуация значит такая. Я с
>другой машины (сервер) все пропинговал все работает и даже открыл ресурс
>на удаленной тоже только на одной. С моей ничего не пингуется
>и не открывается и с других. Файрвол и прочее отключено. Далее
>когда я добавил еще аксскс лист т.е. нужно что бы еще
>с другой сети ко мне имели доступ снова все пропадает т.е.
>ничего не открывается хотя пинг по прежнему идет. Ничего не менял
>просто добавил еще ай пи адреса. Может на моем сервере какой
>то порт открыт а на других он закрыт? по умолчанию
>Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за
>помощь

1. что добавили
2. как все таки пинговали с консоли?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

41. "Проблема с IpSec тунелем"  
Сообщение от sas (??) on 23-Авг-06, 15:48 
конфиги обоих железок покажите включая acl и маршруты


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

42. "Проблема с IpSec тунелем"  
Сообщение от Fiser (??) on 28-Авг-06, 13:07 
>>>>>очень странно.
>>>>>
>>>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>>>
>>>>>
>>>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>>>1. организуете GRE-туннель между цисками.
>>>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>>>
>>>>
>>>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>>>пингом у меня отпингавались адреса удаленной сети ???
>>>
>>>
>>>а как пинговали с командной строки?
>>
>>Я ни чо не могу понять. Теперь ситуация значит такая. Я с
>>другой машины (сервер) все пропинговал все работает и даже открыл ресурс
>>на удаленной тоже только на одной. С моей ничего не пингуется
>>и не открывается и с других. Файрвол и прочее отключено. Далее
>>когда я добавил еще аксскс лист т.е. нужно что бы еще
>>с другой сети ко мне имели доступ снова все пропадает т.е.
>>ничего не открывается хотя пинг по прежнему идет. Ничего не менял
>>просто добавил еще ай пи адреса. Может на моем сервере какой
>>то порт открыт а на других он закрыт? по умолчанию
>>Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за
>>помощь
>
>1. что добавили
>2. как все таки пинговали с консоли?


извеняюсь что пропал
вобщем проблема была
1.сразу с шифрованием
2.с аксес листом на другой стороне
Конфигурировали циски вдвоем поэтому расхождения.
То что мне рекомендовали заработало.
Пинговал с командной строки.
Вот 100 % рабочий конфиг мож кому пргодиться еще чтоб уже не донимали всех:)
Сделал правда на конкретную машину
Всем огромное Спасибо за помощь
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key ------ address 195.162.__.__ 255.255.255.0
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map depfin 100 ipsec-isakmp
set peer 195.162.__.__
set transform-set vpn
set pfs group2
match address 101
!
!
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.___.___ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username adsl----------- password -----------
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 100 deny   ip host 172.16.19.1 10.14.2.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip host 172.16.19.1 10.14.2.0 0.0.0.255
no cdp run
!
!
!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру