The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT + IPSec проблема"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 22-Май-10, 16:58 
Добрый день.

Возникла проблема с подключение cisco3825 и cisco870. Соединение между ними есть, туннель вроде устанавливается, пакеты не бегают. Гляньте свежим взглядом. Заранее спасибо.

Схема подключения

LAN 192.168.100.144/28---Cisco870----INET----Cisco3825-----LAN 10.0.0.0/8
                                                 |_________LAN 172.30.0.0/16

Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.

sh ver c870-advsecurityk9-mz.124-15.T12.bin
sh ver c3825-advipservicesk9-mz.124-9.T6.bin

Cisco3825

crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ************** address ***** no-xauth

crypto ipsec transform-set APT24_AES-SHA esp-aes esp-sha-hmac

crypto map APT24 29 ipsec-isakmp
description tunnel_to_
set peer **********
set transform-set APT24_AES-SHA
match address APT24PL-1

ip nat inside source list al interface GigabitEthernet0/1.40 overload

ip access-list extended APT24PL-1
permit ip 10.0.0.0 0.0.0.255 192.168.100.144 0.0.0.15
permit ip 172.16.0.0 0.0.15.255 192.168.100.144 0.0.0.15
permit ip 192.168.0.0 0.0.255.255 192.168.100.144 0.0.0.15
deny   ip any any

ip access-list extended al
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any host **************
deny   ip any any

Cisco 870

crypto isakmp policy 20
encr aes
authentication pre-share
group 2  
lifetime 28800
crypto isakmp key ***** address ********* no-xauth

crypto ipsec transform-set VPNSET_AES_SHA esp-aes esp-sha-hmac

crypto map APT24MAP 20 ipsec-isakmp
description tunnel_to_cisco
set peer ************
set transform-set VPNSET_AES_SHA
match address IPSEC_TRAFFIC

ip nat inside source list NONAT interface FastEthernet4 overload
!
ip access-list extended IPSEC_TRAFFIC
permit ip 192.168.100.144 0.0.0.15 10.0.0.0 0.255.255.255
permit ip 192.168.100.144 0.0.0.15 172.16.0.0 0.15.255.255
permit ip 192.168.100.144 0.0.0.15 192.168.0.0 0.0.255.255
ip access-list extended NONAT
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 192.168.100.144 0.0.0.15 any


Crypto map висят на правильных интерфейсах.
В дебаге видно что соединение установлено
*May 22 12:27:43.980: ISAKMP (0:1012): received packet from ******* dport 500 sport 500 Global (R) QM_IDLE      
*May 22 12:27:43.980: ISAKMP:(1012):deleting node -864327888 error FALSE reason "QM done (await)"
*May 22 12:27:43.980: ISAKMP:(1012):Node -864327888, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*May 22 12:27:43.980: ISAKMP:(1012):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
*May 22 12:27:43.980: IPSEC(key_engine): got a queue event with 1 KMI message(s)
HeadOffice#
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): enable SA with spi 1489368869/50

sh cry isakmp sa с обоих сторон
показывает наличие активного соединения

sh cry ipsec sa с обоих сторон показывают инкапсулюцию/декапсуляцию пакетов.

Самое главное НО - пакеты не бегают.

Если есть идеи - welcome.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 25-Май-10, 18:05 
Вопрос решен.
Поскольку маршрут по умолчанию уходил на ISA-сервер, маршрут в подсеть 192.168.100.144/28 пришлось прописать таки.

В моей ситуации канал подключенный в Интернет не являлся маршрутом по умолчанию => все пакеты шли на ISA и там рубались. Объяснение довольно сумбурное, но более/менее понятно для меня.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру