forum.opennet.ru - "Access-list блокирует IPSEC" (9)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Access-list блокирует IPSEC"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Access-list блокирует IPSEC"	+/–
Сообщение от daemon80 (ok) on 30-Ноя-16, 13:05
Есть две Cisco 2651XM между ними организован IPSEC туннель. При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя адресация сетей. *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200 (0/0), 3 packets Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает. Вопрос: как запретить access-list'у смотреть внутрь канала?
Ответить \| Правка \| Cообщить модератору

Оглавление

Access-list блокирует IPSEC, Andrey, 13:23 , 30-Ноя-16, (1)

Access-list блокирует IPSEC, daemon80, 14:03 , 30-Ноя-16, (2)

Access-list блокирует IPSEC, Roman, 17:58 , 30-Ноя-16, (3)
Access-list блокирует IPSEC, Andrey, 21:17 , 30-Ноя-16, (4)

Access-list блокирует IPSEC, daemon80, 08:24 , 01-Дек-16, (5)

Access-list блокирует IPSEC, Andrey, 09:49 , 01-Дек-16, (6)

Access-list блокирует IPSEC, daemon80, 10:00 , 01-Дек-16, (7)

Access-list блокирует IPSEC, Andrey, 11:34 , 01-Дек-16, (8)

Access-list блокирует IPSEC, daemon80, 13:56 , 01-Дек-16, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Access-list блокирует IPSEC" +/–

Сообщение от Andrey (??) on 30-Ноя-16, 13:23

> Есть две Cisco 2651XM между ними организован IPSEC туннель.
> При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя
> адресация сетей.
> *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200
> (0/0), 3 packets
> Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
> Вопрос: как запретить access-list'у смотреть внутрь канала?
Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec.
Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Access-list блокирует IPSEC" +/–

Сообщение от daemon80 (ok) on 30-Ноя-16, 14:03

> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения
> для протоколов входящих в группу IPSec.
> Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.
ip access-list extended FIREWALL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
permit tcp any any eq 22
permit ip host "Встречная-Cicso" any
permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда.
deny ip any any log
interface FastEthernet0/0
ip address XX.XX.XX.XX 255.255.255.248
ip access-group FIREWALL in
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map aesmap

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Access-list блокирует IPSEC" +/–

Сообщение от Roman (??) on 30-Ноя-16, 17:58

gre over ipsec?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Access-list блокирует IPSEC" +/–

Сообщение от Andrey (??) on 30-Ноя-16, 21:17

>[оверквотинг удален]
> без нее выше указанная беда.
>  deny ip any any log
> interface FastEthernet0/0
>  ip address XX.XX.XX.XX 255.255.255.248
>  ip access-group FIREWALL in
>  no ip mroute-cache
>  duplex auto
>  speed auto
>  no cdp enable
>  crypto map aesmap
Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Access-list блокирует IPSEC" +/–

Сообщение от daemon80 (ok) on 01-Дек-16, 08:24

>[оверквотинг удален]
>> interface FastEthernet0/0
>>  ip address XX.XX.XX.XX 255.255.255.248
>>  ip access-group FIREWALL in
>>  no ip mroute-cache
>>  duplex auto
>>  speed auto
>>  no cdp enable
>>  crypto map aesmap
> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
> из документа можно понять почему у вас так происходит.
Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует.
Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Access-list блокирует IPSEC" +/–

Сообщение от Andrey (??) on 01-Дек-16, 09:49

>[оверквотинг удален]
>>>  no ip mroute-cache
>>>  duplex auto
>>>  speed auto
>>>  no cdp enable
>>>  crypto map aesmap
>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>> из документа можно понять почему у вас так происходит.
> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
> блокирует.
> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
Табличку из cisco document id 6209 поняли полностью?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Access-list блокирует IPSEC" +/–

Сообщение от daemon80 (ok) on 01-Дек-16, 10:00

>[оверквотинг удален]
>>>>  duplex auto
>>>>  speed auto
>>>>  no cdp enable
>>>>  crypto map aesmap
>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>> из документа можно понять почему у вас так происходит.
>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>> блокирует.
>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
> Табличку из cisco document id 6209 поняли полностью?
Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Access-list блокирует IPSEC" +/–

Сообщение от Andrey (??) on 01-Дек-16, 11:34

>[оверквотинг удален]
>>>>>  no cdp enable
>>>>>  crypto map aesmap
>>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>>> из документа можно понять почему у вас так происходит.
>>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>>> блокирует.
>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>> Табличку из cisco document id 6209 поняли полностью?
> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
> ЧЕК который как раз и блокирует?
Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
interface Tunnel <num>
...
tunnel protection ipsec profile <IPSec_Profile>
Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Access-list блокирует IPSEC" +/–

Сообщение от daemon80 (ok) on 01-Дек-16, 13:56

>[оверквотинг удален]
>>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>>> Табличку из cisco document id 6209 поняли полностью?
>> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
>> ЧЕК который как раз и блокирует?
> Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
> interface Tunnel <num>
>  ...
>  tunnel protection ipsec profile <IPSec_Profile>
> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать
> crypto-map на физическом интерфейсе.
А вот это интересная мысль! Спасибо. Буду пробовать.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Access-list блокирует IPSEC"	+/–
Сообщение от Andrey (??) on 30-Ноя-16, 13:23
> Есть две Cisco 2651XM между ними организован IPSEC туннель. > При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя > адресация сетей. > *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200 > (0/0), 3 packets > Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает. > Вопрос: как запретить access-list'у смотреть внутрь канала? Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec. Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Access-list блокирует IPSEC"	+/–
	Сообщение от daemon80 (ok) on 30-Ноя-16, 14:03
	> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения > для протоколов входящих в группу IPSec. > Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно. ip access-list extended FIREWALL permit udp any any eq isakmp permit udp any any eq non500-isakmp permit esp any any permit ahp any any permit tcp any any eq 22 permit ip host "Встречная-Cicso" any permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда. deny ip any any log interface FastEthernet0/0 ip address XX.XX.XX.XX 255.255.255.248 ip access-group FIREWALL in no ip mroute-cache duplex auto speed auto no cdp enable crypto map aesmap
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Access-list блокирует IPSEC"	+/–
	Сообщение от Roman (??) on 30-Ноя-16, 17:58
	gre over ipsec?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Access-list блокирует IPSEC"	+/–
	Сообщение от Andrey (??) on 30-Ноя-16, 21:17
	>[оверквотинг удален] > без нее выше указанная беда. > deny ip any any log > interface FastEthernet0/0 > ip address XX.XX.XX.XX 255.255.255.248 > ip access-group FIREWALL in > no ip mroute-cache > duplex auto > speed auto > no cdp enable > crypto map aesmap Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Access-list блокирует IPSEC"	+/–
	Сообщение от daemon80 (ok) on 01-Дек-16, 08:24
	>[оверквотинг удален] >> interface FastEthernet0/0 >> ip address XX.XX.XX.XX 255.255.255.248 >> ip access-group FIREWALL in >> no ip mroute-cache >> duplex auto >> speed auto >> no cdp enable >> crypto map aesmap > Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но > из документа можно понять почему у вас так происходит. Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует. Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Access-list блокирует IPSEC"	+/–
	Сообщение от Andrey (??) on 01-Дек-16, 09:49
	>[оверквотинг удален] >>> no ip mroute-cache >>> duplex auto >>> speed auto >>> no cdp enable >>> crypto map aesmap >> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >> из документа можно понять почему у вас так происходит. > Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и > блокирует. > Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? Табличку из cisco document id 6209 поняли полностью?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Access-list блокирует IPSEC"	+/–
	Сообщение от daemon80 (ok) on 01-Дек-16, 10:00
	>[оверквотинг удален] >>>> duplex auto >>>> speed auto >>>> no cdp enable >>>> crypto map aesmap >>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >>> из документа можно понять почему у вас так происходит. >> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и >> блокирует. >> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? > Табличку из cisco document id 6209 поняли полностью? Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Access-list блокирует IPSEC"	+/–
	Сообщение от Andrey (??) on 01-Дек-16, 11:34
	>[оверквотинг удален] >>>>> no cdp enable >>>>> crypto map aesmap >>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но >>>> из документа можно понять почему у вас так происходит. >>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и >>> блокирует. >>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? >> Табличку из cisco document id 6209 поняли полностью? > Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз > ЧЕК который как раз и блокирует? Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию: interface Tunnel <num> ... tunnel protection ipsec profile <IPSec_Profile> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Access-list блокирует IPSEC"	+/–
	Сообщение от daemon80 (ok) on 01-Дек-16, 13:56
	>[оверквотинг удален] >>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить? >>> Табличку из cisco document id 6209 поняли полностью? >> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз >> ЧЕК который как раз и блокирует? > Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию: > interface Tunnel <num> > ... > tunnel protection ipsec profile <IPSec_Profile> > Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать > crypto-map на физическом интерфейсе. А вот это интересная мысль! Спасибо. Буду пробовать.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору