Cisco ASA, отваливается Site-to-Site VPN

@jlevistk · Регистрация: 05.05.2011

Добрый день. Предыстория:
На бранч офисе был установлен роутер D-link, который держал Site-to-Site VPN с мэин офисом.
Сотрудники бранча жаловались на то, что пропадает связь с мэин офиса и им приходится перезагружать роутер раза 3-4 за рабочий день.
Т.к. D-link был стар, заменил его на лежащую без дела Cisco ASA 5505, в надежде, что это решит проблему.

Когда вместо D-Link поставили Cisco ASA - ничего не заработало. Позвонил провайдеру, они ребутнули свое оборудование и все заработало(это была не привязка к маку, я уточнил).

На следующий день, тобишь сегодня мне позвонили и сообщили что опять дропнулся VPN.

Как видна ситуация со стороны D-link'а - Site-to-Site поднят, время тикает - все хорошо.
Со стороны ASA - тоже все хорошо.

На D-link'e дропнул сессию и понял по новой - поднялась, время затикало, но пакетики не заходили.

На Cisco произвел то же самое - не помогло. Она пингует локальные ПК, но ПК за туннелем не видит.

Полез на ASA в лог реального времени в режиме Debug - ничего не увидел подозрительного (только кто-то левый пытался подрубиться по SSH).

Перезагрузил ASA - все заработало.

Вот лог с ASA на момент повисона, в нем как раз видно запуск Packet Tracer'а, который прошел кстати удачно.

Кликните здесь для просмотра всего текста

C

3|Sep 07 2008|01:40:38|710003|115.113.48.78|38179|1.2.3.4|22|TCP access denied by ACL from 115.113.48.78/38179 to outside:1.2.3.4/22
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|725007|2.4.6.8|60333|||SSL session with client outside:2.4.6.8/60333 terminated.
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|302014|2.4.6.8|60333|1.2.3.4|443|Teardown TCP connection 958 for outside:2.4.6.8/60333 to identity:1.2.3.4/443 duration 0:00:00 bytes 6352 TCP Reset-I
6|Sep 07 2008|01:40:08|725002|2.4.6.8|60333|||Device completed SSL handshake with client outside:2.4.6.8/60333
6|Sep 07 2008|01:40:08|725001|2.4.6.8|60333|||Starting SSL handshake with client outside:2.4.6.8/60333 for TLSv1 session.
6|Sep 07 2008|01:40:08|302013|2.4.6.8|60333|1.2.3.4|443|Built inbound TCP connection 958 for outside:2.4.6.8/60333 (2.4.6.8/60333) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:40:07|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags ACK  on interface outside
6|Sep 07 2008|01:40:05|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:40:02|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:57|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:57|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:55|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|302013|192.168.30.8|57553|192.168.3.146|3389|Built outbound TCP connection 950 for outside:192.168.3.146/3389 (192.168.3.146/3389) to inside:192.168.30.8/57553 (192.168.30.8/57553)
6|Sep 07 2008|01:39:53|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|302013|192.168.30.3|59003|192.168.3.146|3389|Built outbound TCP connection 947 for outside:192.168.3.146/3389 (192.168.3.146/3389) to inside:192.168.30.3/59003 (192.168.30.3/59003)
6|Sep 07 2008|01:39:52|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
5|Sep 07 2008|01:39:51|713120|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 2 COMPLETED (msgid=0912f20b)
6|Sep 07 2008|01:39:51|602303|||||IPSEC: An inbound LAN-to-LAN SA (SPI= 0xC553CF69) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been created.
6|Sep 07 2008|01:39:51|602303|||||IPSEC: An outbound LAN-to-LAN SA (SPI= 0x160242A6) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been created.
5|Sep 07 2008|01:39:51|713049|||||Group = 2.4.6.8, IP = 2.4.6.8, Security negotiation complete for LAN-to-LAN Group (2.4.6.8)  Responder, Inbound SPI = 0xc553cf69, Outbound SPI = 0x160242a6
3|Sep 07 2008|01:39:50|713122|||||IP = 2.4.6.8, Keep-alives configured on but peer does not support keep-alives (type = None)
5|Sep 07 2008|01:39:50|713119|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 1 COMPLETED
6|Sep 07 2008|01:39:50|113009|||||AAA retrieved default group policy (GroupPolicy_2.4.6.8) for user = 2.4.6.8
6|Sep 07 2008|01:39:49|106015|192.168.30.3|59002|192.168.3.146|3389|Deny TCP (no connection) from 192.168.30.3/59002 to 192.168.3.146/3389 flags PSH ACK  on interface inside
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|750001|||||Local:1.2.3.4:500 Remote:2.4.6.8:500 Username:Unknown Received request to establish an IPsec tunnel; local traffic selector = Address Range: 192.168.30.8-192.168.30.8 Protocol: 0 Port Range: 0-65535; remote traffic selector = Address Range: 192.168.3.146-192.168.3.146 Protocol: 0 Port Range: 0-65535
6|Sep 07 2008|01:39:49|302014|192.168.3.146|3389|192.168.30.3|59002|Teardown TCP connection 830 for outside:192.168.3.146/3389 to inside:192.168.30.3/59002 duration 0:06:47 bytes 7011746 Tunnel has been torn down
5|Sep 07 2008|01:39:49|752003|||||Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2.  Map Tag = outside_map.  Map Sequence Number = 1.
6|Sep 07 2008|01:39:49|106015|192.168.30.8|57552|192.168.3.146|3389|Deny TCP (no connection) from 192.168.30.8/57552 to 192.168.3.146/3389 flags PSH ACK  on interface inside
6|Sep 07 2008|01:39:49|302014|192.168.3.146|3389|192.168.30.8|57552|Teardown TCP connection 780 for outside:192.168.3.146/3389 to inside:192.168.30.8/57552 duration 0:07:02 bytes 5548340 Tunnel has been torn down
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
4|Sep 07 2008|01:39:49|113019|||||Group = 2.4.6.8, Username = 2.4.6.8, IP = 28.244.180.204, Session disconnected. Session Type: LAN-to-LAN, Duration: 6h:40m:59s, Bytes xmt: 85103289, Bytes rcv: 506595307, Reason: User Requested
5|Sep 07 2008|01:39:49|713259|||||Group = 2.4.6.8, IP = 2.4.6.8, Session is being torn down. Reason: Unknown
6|Sep 07 2008|01:39:49|602304|||||IPSEC: An inbound LAN-to-LAN SA (SPI= 0xAA810FBA) between 2.4.6.8 and 1.2.3.4 (user= 2.4.6.8) has been deleted.
6|Sep 07 2008|01:39:49|602304|||||IPSEC: An outbound LAN-to-LAN SA (SPI= 0x0802B533) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been deleted.
5|Sep 07 2008|01:39:49|713050|||||Group = 2.4.6.8, IP = 2.4.6.8, Connection terminated for peer 2.4.6.8.  Reason: Peer Terminate  Remote Proxy 192.168.30.0, Local Proxy 192.168.3.0
6|Sep 07 2008|01:39:45|302016|192.168.3.112|138|192.168.30.15|138|Teardown UDP connection 927 for outside:192.168.3.112/138 to inside:192.168.30.15/138 duration 0:02:01 bytes 201
6|Sep 07 2008|01:39:40|106015|2.4.6.8|60161|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60161 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:40|302014|2.4.6.8|60161|1.2.3.4|443|Teardown TCP connection 938 for outside:2.4.6.8/60161 to identity:1.2.3.4/443 duration 0:00:00 bytes 802 TCP Reset-O
6|Sep 07 2008|01:39:40|725007|2.4.6.8|60161|||SSL session with client outside:2.4.6.8/60161 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|60161|||Device completed SSL handshake with client outside:2.4.6.8/60161
6|Sep 07 2008|01:39:39|725001|2.4.6.8|60161|||Starting SSL handshake with client outside:2.4.6.8/60161 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|60161|1.2.3.4|443|Built inbound TCP connection 938 for outside:2.4.6.8/60161 (2.4.6.8/60161) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:39:39|106015|2.4.6.8|62341|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/62341 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:39|302014|2.4.6.8|62341|1.2.3.4|443|Teardown TCP connection 936 for outside:2.4.6.8/62341 to identity:1.2.3.4/443 duration 0:00:00 bytes 1126 TCP Reset-O
6|Sep 07 2008|01:39:39|725007|2.4.6.8|62341|||SSL session with client outside:2.4.6.8/62341 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|62341|||Device completed SSL handshake with client outside:2.4.6.8/62341
6|Sep 07 2008|01:39:39|725001|2.4.6.8|62341|||Starting SSL handshake with client outside:2.4.6.8/62341 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|62341|1.2.3.4|443|Built inbound TCP connection 936 for outside:2.4.6.8/62341 (2.4.6.8/62341) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:39:39|106015|2.4.6.8|60471|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60471 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:39|302014|2.4.6.8|60471|1.2.3.4|443|Teardown TCP connection 934 for outside:2.4.6.8/60471 to identity:1.2.3.4/443 duration 0:00:00 bytes 881 TCP Reset-O
6|Sep 07 2008|01:39:39|725007|2.4.6.8|60471|||SSL session with client outside:2.4.6.8/60471 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|60471|||Device completed SSL handshake with client outside:2.4.6.8/60471
6|Sep 07 2008|01:39:39|725001|2.4.6.8|60471|||Starting SSL handshake with client outside:2.4.6.8/60471 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|60471|1.2.3.4|443|Built inbound TCP connection 934 for outside:2.4.6.8/60471 (2.4.6.8/60471) to identity:1.2.3.4/443 (1.2.3.4/443)
3|Sep 07 2008|01:39:23|713122|||||IP = 2.4.6.8, Keep-alives configured on but peer does not support keep-alives (type = None)
5|Sep 07 2008|01:39:23|713119|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 1 COMPLETED
6|Sep 07 2008|01:39:22|302015|1.2.3.4|500|2.4.6.8|500|Built outbound UDP connection 933 for outside:2.4.6.8/500 (2.4.6.8/500) to identity:1.2.3.4/500 (1.2.3.4/500)
5|Sep 07 2008|01:39:22|713041|||||IP = 2.4.6.8, IKE Initiator: Rekeying Phase 1, Intf outside, IKE Peer 2.4.6.8  local Proxy Address 0.0.0.0, remote Proxy Address 0.0.0.0,  Crypto map (N/A)
6|Sep 07 2008|01:39:21|302015|192.168.3.152|138|192.168.30.15|138|Built inbound UDP connection 932 for outside:192.168.3.152/138 (192.168.3.152/138) to inside:192.168.30.15/138 (192.168.30.15/138)
6|Sep 07 2008|01:39:17|302015|192.168.3.156|137|192.168.30.15|137|Built inbound UDP connection 931 for outside:192.168.3.156/137 (192.168.3.156/137) to inside:192.168.30.15/137 (192.168.30.15/137)
6|Sep 07 2008|01:38:52|106015|2.4.6.8|58019|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/58019 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:38:52|302014|2.4.6.8|58019|1.2.3.4|443|Teardown TCP connection 928 for outside:2.4.6.8/58019 to identity:1.2.3.4/443 duration 0:00:00 bytes 4710 TCP Reset-O
6|Sep 07 2008|01:38:52|725007|2.4.6.8|58019|||SSL session with client outside:2.4.6.8/58019 terminated.
6|Sep 07 2008|01:38:52|302014|192.168.3.146|22|192.168.30.3|22|Teardown TCP connection 929 for outside:192.168.3.146/22 to inside:192.168.30.3/22 duration 0:00:00 bytes 0 Free the flow created as result of packet injection
5|Sep 07 2008|01:38:52|111010|||||User 'administrator', running 'N/A' from IP 2.4.6.8, executed 'packet-tracer input inside tcp 192.168.30.3 22 192.168.3.146 22 xml'
5|Sep 07 2008|01:38:52|111008|||||User 'administrator' executed the 'packet-tracer input inside tcp 192.168.30.3 22 192.168.3.146 22 xml' command.
6|Sep 07 2008|01:38:52|302013|192.168.30.3|22|192.168.3.146|22|Built outbound TCP connection 929 for outside:192.168.3.146/22 (192.168.3.146/22) to inside:192.168.30.3/22 (192.168.30.3/22)
5|Sep 07 2008|01:38:52|111007|||||Begin configuration: 2.4.6.8 reading from http [POST]
6|Sep 07 2008|01:38:52|725002|2.4.6.8|58019|||Device completed SSL handshake with client outside:2.4.6.8/58019
6|Sep 07 2008|01:38:52|725001|2.4.6.8|58019|||Starting SSL handshake with client outside:2.4.6.8/58019 for TLSv1 session.
6|Sep 07 2008|01:38:52|302013|2.4.6.8|58019|1.2.3.4|443|Built inbound TCP connection 928 for outside:2.4.6.8/58019 (2.4.6.8/58019) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:38:47|302016|192.168.3.210|138|192.168.30.15|138|Teardown UDP connection 909 for outside:192.168.3.210/138 to inside:192.168.30.15/138 duration 0:02:01 bytes 201
6|Sep 07 2008|01:38:37|302016|2.4.6.8|500|1.2.3.4|500|Teardown UDP connection 858 for outside:2.4.6.8/500 to identity:1.2.3.4/500 duration 0:02:30 bytes 1776
6|Sep 07 2008|01:37:43|302015|192.168.3.112|138|192.168.30.15|138|Built inbound UDP connection 927 for outside:192.168.3.112/138 (192.168.3.112/138) to inside:192.168.30.15/138 (192.168.30.15/138)

В чем может быть дело? ASA не на UPS висит, может из-за скачка напряжения такое быть?

Jabbson · 22.06.2013, 01:34

как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside?
что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?

Jabbson · 22.06.2013, 01:34

как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside?
что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?

@jlevistk · 22.06.2013, 01:38 **[ТС]**

Сообщение от Jabbson

как поднимается соединение на асе со стороны outside?

в смысле?

Сообщение от Jabbson

пакеты, которые идут вне туннеля продолжают ходить через outside?

да, я к ней на outside через asdm и зашел.

Сообщение от Jabbson

что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?

поймаю на буднях..

Jabbson · 22.06.2013, 11:04

Сообщение от jlevistk

в смысле?

в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe?

Сообщение от jlevistk

поймаю на буднях..

хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу.

@jlevistk · 22.06.2013, 11:56 **[ТС]**

Сообщение от Jabbson

в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe?

уже готовый интернет)

Сообщение от Jabbson

хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу.

Да, хорошо)

Jabbson · 22.06.2013, 13:02

Не по теме:

Сообщение от jlevistk

Да, хорошо)

тогда ждем)

@jlevistk · 22.06.2013, 14:27 **[ТС]**

Не по теме:

Вопрос может быть немного не в эту сторону, но как разрешить ASA пинговать с себя сеть за туннелем? Или отвечать на пинги на inside интерфейс, пришедшие из туннеля. Там нет ни одного ПК в выходные, не с чем тестить=(

Jabbson · 22.06.2013, 14:33

аса не разрешит пинговать т.н. far-end интерфейс. by design. только интерфейс, на который пришел пакет.

For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network.

@jlevistk · 22.06.2013, 14:40 **[ТС]**

И тоесть на tftf: который по ту сторону туннеля конфиг тоже скинуть не выйдет?

Jabbson · 22.06.2013, 16:01

почему? нельзя только к асе обращаться по "не своему" интерфейсу. остальные коммуникации не запрещены.

@jlevistk · 23.06.2013, 00:42 **[ТС]**

ээээм.. Тогда я пожалуй вечером конфиг приложу, что то я видимо не доделал, раз это у меня не получается сделать(

Добавлено через 8 часов 21 минуту

Кликните здесь для просмотра всего текста

ASA Version 9.1(1)
!
hostname asaasaasa
domain-name domain.com
enable password password encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd password encrypted
names
!
interface Ethernet0/0
description outside
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.30.1 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
ip address 115.116.117.118 255.255.255.252
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name domain.com
object network =inside=
subnet 192.168.30.0 255.255.255.240
object network Site-A-Subnet
subnet 192.168.30.0 255.255.255.240
object network Site-B-Firewall
host 222.223.224.225
object network Site-B-Subnet
subnet 192.168.10.0 255.255.255.0
access-list outside_cryptomap extended permit ip object Site-A-Subnet object Site-B-Subnet
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static Site-A-Subnet Site-A-Subnet destination static Site-B-Subnet Site-B-Subnet no-proxy-arp route-lookup
!
object network =inside=
nat (inside,outside) dynamic interface dns
route outside 0.0.0.0 0.0.0.0 115.116.117.117 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 1.2.3.4 255.255.255.255 outside
http 222.223.224.225 255.255.255.255 outside
http 192.168.30.0 255.255.255.240 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 222.223.224.225
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.30.0 255.255.255.240 inside
ssh 1.2.3.4 255.255.255.255 outside
ssh 222.223.224.225 255.255.255.255 outside
ssh timeout 5
console timeout 0

dhcpd address 192.168.30.2-192.168.30.12 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd option 3 ip 192.168.30.1 interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 91.226.136.136 source outside
ntp server 88.147.254.232 source outside
group-policy GroupPolicy_222.223.224.225 internal
group-policy GroupPolicy_222.223.224.225 attributes
vpn-tunnel-protocol ikev1 ikev2
username admin password password encrypted
tunnel-group 222.223.224.225 type ipsec-l2l
tunnel-group 222.223.224.225 general-attributes
default-group-policy GroupPolicy_222.223.224.225
tunnel-group 222.223.224.225 ipsec-attributes
ikev1 pre-shared-key *******
ikev2 remote-authentication pre-shared-key *******
ikev2 local-authentication pre-shared-key *******
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:dc11a12225876123cb84d419dc471ca2
: end
asdm image disk0:/asdm-711.bin
no asdm history enable

Вот конфиг. Не подскажите, где косяк? Хочу скопировать конфиг на сервер который находится по ту сторону туннеля, для тестирования - идет ли что-нить через туннель. Но мне это не удается. Чего я тут не сделал?(

Комментарий модератора

Уважаемые модераторы, не проставляйте теги под спойлером - вызывает внутреннюю ошибку

Jabbson · 23.06.2013, 02:11

а как пытаетесь скопировать?

@jlevistk · 23.06.2013, 11:25 **[ТС]**

copy startup-config tftp: жму Enter
пишу 192.168.10.33 (ip машины в site-B на котором tftpd32 запущен) Enter
и еще раз Enter

Jabbson · 23.06.2013, 12:09

и это точно попадает в список интересного трафика?

@jlevistk · 23.06.2013, 12:14 **[ТС]**

Сообщение от Jabbson

интересного трафика

В смысле?

В ACL прописано IP, т.е. все пускать должно.. или не это имеете ввиду?

Jabbson · 23.06.2013, 12:44

через туннель ходит трафик, описаный "интересным трафиком" в ACL:

access-list outside_cryptomap extended permit ip 192.168.30.0 255.255.255.240 192.168.10.0 255.255.255.0

когда Вы делаете свой copy start tftp - это точно подпадает под 192.168.30.0/28 --> 192.168.10.0/24

@jlevistk · 23.06.2013, 12:50 **[ТС]**

Так да, но я получаю time-out.. Т.е. надо смотреть не эту ASA, а вторую сторону?

Jabbson · 23.06.2013, 12:57

а как Вы знаете какой адрес подставляет аса в графу source ip address?

@jlevistk · 23.06.2013, 13:06 **[ТС]**

Source, тобишь источник, тобишь она подставляется IP своего интерфейса inside.. нет?)
или же она пытается подставить outside и поэтому у меня ничего не выходит?(

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	22.06.2013, 01:34	2
	как поднимается соединение на асе со стороны outside? пакеты, которые идут вне туннеля продолжают ходить через outside? что в момент обрыва с crypto isakmp и crypto ipsec? пример packet-tracer во время обрыва? 1

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	22.06.2013, 01:38 [ТС]	4
	Сообщение от Jabbson как поднимается соединение на асе со стороны outside? в смысле? Сообщение от Jabbson пакеты, которые идут вне туннеля продолжают ходить через outside? да, я к ней на outside через asdm и зашел. Сообщение от Jabbson что в момент обрыва с crypto isakmp и crypto ipsec? пример packet-tracer во время обрыва? поймаю на буднях.. 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	22.06.2013, 11:04	5
	Сообщение от jlevistk в смысле? в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe? Сообщение от jlevistk поймаю на буднях.. хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу. 1

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	22.06.2013, 11:56 [ТС]	6
	Сообщение от Jabbson в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe? уже готовый интернет) Сообщение от Jabbson хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу. Да, хорошо) 0

Jabbson
	22.06.2013, 13:02 #7
	Не по теме: Сообщение от jlevistk Да, хорошо) тогда ждем) 1

@jlevistk
	22.06.2013, 14:27 [ТС] #8
	Не по теме: Вопрос может быть немного не в эту сторону, но как разрешить ASA пинговать с себя сеть за туннелем? Или отвечать на пинги на inside интерфейс, пришедшие из туннеля. Там нет ни одного ПК в выходные, не с чем тестить=( 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	22.06.2013, 14:33	9
	аса не разрешит пинговать т.н. far-end интерфейс. by design. только интерфейс, на который пришел пакет. For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network. 1

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	22.06.2013, 14:40 [ТС]	10
	И тоесть на tftf: который по ту сторону туннеля конфиг тоже скинуть не выйдет? 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	22.06.2013, 16:01	11
	почему? нельзя только к асе обращаться по "не своему" интерфейсу. остальные коммуникации не запрещены. 1

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	23.06.2013, 02:11	13
	а как пытаетесь скопировать? 0

	23.06.2013, 13:06

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.06.2013, 11:25 [ТС]	14
	copy startup-config tftp: жму Enter пишу 192.168.10.33 (ip машины в site-B на котором tftpd32 запущен) Enter и еще раз Enter 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	23.06.2013, 12:09	15
	и это точно попадает в список интересного трафика? 1

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.06.2013, 12:14 [ТС]	16
	Сообщение от Jabbson интересного трафика В смысле? В ACL прописано IP, т.е. все пускать должно.. или не это имеете ввиду? 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	23.06.2013, 12:44	17
	через туннель ходит трафик, описаный "интересным трафиком" в ACL: access-list outside_cryptomap extended permit ip 192.168.30.0 255.255.255.240 192.168.10.0 255.255.255.0 когда Вы делаете свой copy start tftp - это точно подпадает под 192.168.30.0/28 --> 192.168.10.0/24 0

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.06.2013, 12:50 [ТС]	18
	Так да, но я получаю time-out.. Т.е. надо смотреть не эту ASA, а вторую сторону? 0

Jabbson 3467 / 2508 / 776 Регистрация: 03.11.2009 Сообщений: 7,945 Записей в блоге: 3
	23.06.2013, 12:57	19
	а как Вы знаете какой адрес подставляет аса в графу source ip address? 0

@jlevistk 236 / 231 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.06.2013, 13:06 [ТС]	20
	Source, тобишь источник, тобишь она подставляется IP своего интерфейса inside.. нет?) или же она пытается подставить outside и поэтому у меня ничего не выходит?( 0