Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.74/35: Рейтинг темы: голосов - 35, средняя оценка - 4.74
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
1

Cisco ASA, отваливается Site-to-Site VPN

21.06.2013, 23:54. Просмотров 6657. Ответов 53
Метки нет (Все метки)

Добрый день. Предыстория:
На бранч офисе был установлен роутер D-link, который держал Site-to-Site VPN с мэин офисом.
Сотрудники бранча жаловались на то, что пропадает связь с мэин офиса и им приходится перезагружать роутер раза 3-4 за рабочий день.
Т.к. D-link был стар, заменил его на лежащую без дела Cisco ASA 5505, в надежде, что это решит проблему.

Когда вместо D-Link поставили Cisco ASA - ничего не заработало. Позвонил провайдеру, они ребутнули свое оборудование и все заработало(это была не привязка к маку, я уточнил).

На следующий день, тобишь сегодня мне позвонили и сообщили что опять дропнулся VPN.

Как видна ситуация со стороны D-link'а - Site-to-Site поднят, время тикает - все хорошо.
Со стороны ASA - тоже все хорошо.

На D-link'e дропнул сессию и понял по новой - поднялась, время затикало, но пакетики не заходили.

На Cisco произвел то же самое - не помогло. Она пингует локальные ПК, но ПК за туннелем не видит.

Полез на ASA в лог реального времени в режиме Debug - ничего не увидел подозрительного (только кто-то левый пытался подрубиться по SSH).

Перезагрузил ASA - все заработало.

Вот лог с ASA на момент повисона, в нем как раз видно запуск Packet Tracer'а, который прошел кстати удачно.

Кликните здесь для просмотра всего текста

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
3|Sep 07 2008|01:40:38|710003|115.113.48.78|38179|1.2.3.4|22|TCP access denied by ACL from 115.113.48.78/38179 to outside:1.2.3.4/22
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|725007|2.4.6.8|60333|||SSL session with client outside:2.4.6.8/60333 terminated.
6|Sep 07 2008|01:40:08|106015|2.4.6.8|60333|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60333 to 1.2.3.4/443 flags RST  on interface outside
6|Sep 07 2008|01:40:08|302014|2.4.6.8|60333|1.2.3.4|443|Teardown TCP connection 958 for outside:2.4.6.8/60333 to identity:1.2.3.4/443 duration 0:00:00 bytes 6352 TCP Reset-I
6|Sep 07 2008|01:40:08|725002|2.4.6.8|60333|||Device completed SSL handshake with client outside:2.4.6.8/60333
6|Sep 07 2008|01:40:08|725001|2.4.6.8|60333|||Starting SSL handshake with client outside:2.4.6.8/60333 for TLSv1 session.
6|Sep 07 2008|01:40:08|302013|2.4.6.8|60333|1.2.3.4|443|Built inbound TCP connection 958 for outside:2.4.6.8/60333 (2.4.6.8/60333) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:40:07|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags ACK  on interface outside
6|Sep 07 2008|01:40:05|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:40:02|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:57|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:57|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:55|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|302013|192.168.30.8|57553|192.168.3.146|3389|Built outbound TCP connection 950 for outside:192.168.3.146/3389 (192.168.3.146/3389) to inside:192.168.30.8/57553 (192.168.30.8/57553)
6|Sep 07 2008|01:39:53|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:53|302013|192.168.30.3|59003|192.168.3.146|3389|Built outbound TCP connection 947 for outside:192.168.3.146/3389 (192.168.3.146/3389) to inside:192.168.30.3/59003 (192.168.30.3/59003)
6|Sep 07 2008|01:39:52|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.8|57552|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.8/57552 flags PSH ACK  on interface outside
6|Sep 07 2008|01:39:51|106015|192.168.3.146|3389|192.168.30.3|59002|Deny TCP (no connection) from 192.168.3.146/3389 to 192.168.30.3/59002 flags PSH ACK  on interface outside
5|Sep 07 2008|01:39:51|713120|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 2 COMPLETED (msgid=0912f20b)
6|Sep 07 2008|01:39:51|602303|||||IPSEC: An inbound LAN-to-LAN SA (SPI= 0xC553CF69) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been created.
6|Sep 07 2008|01:39:51|602303|||||IPSEC: An outbound LAN-to-LAN SA (SPI= 0x160242A6) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been created.
5|Sep 07 2008|01:39:51|713049|||||Group = 2.4.6.8, IP = 2.4.6.8, Security negotiation complete for LAN-to-LAN Group (2.4.6.8)  Responder, Inbound SPI = 0xc553cf69, Outbound SPI = 0x160242a6
3|Sep 07 2008|01:39:50|713122|||||IP = 2.4.6.8, Keep-alives configured on but peer does not support keep-alives (type = None)
5|Sep 07 2008|01:39:50|713119|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 1 COMPLETED
6|Sep 07 2008|01:39:50|113009|||||AAA retrieved default group policy (GroupPolicy_2.4.6.8) for user = 2.4.6.8
6|Sep 07 2008|01:39:49|106015|192.168.30.3|59002|192.168.3.146|3389|Deny TCP (no connection) from 192.168.30.3/59002 to 192.168.3.146/3389 flags PSH ACK  on interface inside
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
5|Sep 07 2008|01:39:49|750001|||||Local:1.2.3.4:500 Remote:2.4.6.8:500 Username:Unknown Received request to establish an IPsec tunnel; local traffic selector = Address Range: 192.168.30.8-192.168.30.8 Protocol: 0 Port Range: 0-65535; remote traffic selector = Address Range: 192.168.3.146-192.168.3.146 Protocol: 0 Port Range: 0-65535
6|Sep 07 2008|01:39:49|302014|192.168.3.146|3389|192.168.30.3|59002|Teardown TCP connection 830 for outside:192.168.3.146/3389 to inside:192.168.30.3/59002 duration 0:06:47 bytes 7011746 Tunnel has been torn down
5|Sep 07 2008|01:39:49|752003|||||Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2.  Map Tag = outside_map.  Map Sequence Number = 1.
6|Sep 07 2008|01:39:49|106015|192.168.30.8|57552|192.168.3.146|3389|Deny TCP (no connection) from 192.168.30.8/57552 to 192.168.3.146/3389 flags PSH ACK  on interface inside
6|Sep 07 2008|01:39:49|302014|192.168.3.146|3389|192.168.30.8|57552|Teardown TCP connection 780 for outside:192.168.3.146/3389 to inside:192.168.30.8/57552 duration 0:07:02 bytes 5548340 Tunnel has been torn down
5|Sep 07 2008|01:39:49|713904|||||IP = 2.4.6.8, Received encrypted packet with no matching SA, dropping
4|Sep 07 2008|01:39:49|113019|||||Group = 2.4.6.8, Username = 2.4.6.8, IP = 28.244.180.204, Session disconnected. Session Type: LAN-to-LAN, Duration: 6h:40m:59s, Bytes xmt: 85103289, Bytes rcv: 506595307, Reason: User Requested
5|Sep 07 2008|01:39:49|713259|||||Group = 2.4.6.8, IP = 2.4.6.8, Session is being torn down. Reason: Unknown
6|Sep 07 2008|01:39:49|602304|||||IPSEC: An inbound LAN-to-LAN SA (SPI= 0xAA810FBA) between 2.4.6.8 and 1.2.3.4 (user= 2.4.6.8) has been deleted.
6|Sep 07 2008|01:39:49|602304|||||IPSEC: An outbound LAN-to-LAN SA (SPI= 0x0802B533) between 1.2.3.4 and 2.4.6.8 (user= 2.4.6.8) has been deleted.
5|Sep 07 2008|01:39:49|713050|||||Group = 2.4.6.8, IP = 2.4.6.8, Connection terminated for peer 2.4.6.8.  Reason: Peer Terminate  Remote Proxy 192.168.30.0, Local Proxy 192.168.3.0
6|Sep 07 2008|01:39:45|302016|192.168.3.112|138|192.168.30.15|138|Teardown UDP connection 927 for outside:192.168.3.112/138 to inside:192.168.30.15/138 duration 0:02:01 bytes 201
6|Sep 07 2008|01:39:40|106015|2.4.6.8|60161|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60161 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:40|302014|2.4.6.8|60161|1.2.3.4|443|Teardown TCP connection 938 for outside:2.4.6.8/60161 to identity:1.2.3.4/443 duration 0:00:00 bytes 802 TCP Reset-O
6|Sep 07 2008|01:39:40|725007|2.4.6.8|60161|||SSL session with client outside:2.4.6.8/60161 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|60161|||Device completed SSL handshake with client outside:2.4.6.8/60161
6|Sep 07 2008|01:39:39|725001|2.4.6.8|60161|||Starting SSL handshake with client outside:2.4.6.8/60161 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|60161|1.2.3.4|443|Built inbound TCP connection 938 for outside:2.4.6.8/60161 (2.4.6.8/60161) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:39:39|106015|2.4.6.8|62341|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/62341 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:39|302014|2.4.6.8|62341|1.2.3.4|443|Teardown TCP connection 936 for outside:2.4.6.8/62341 to identity:1.2.3.4/443 duration 0:00:00 bytes 1126 TCP Reset-O
6|Sep 07 2008|01:39:39|725007|2.4.6.8|62341|||SSL session with client outside:2.4.6.8/62341 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|62341|||Device completed SSL handshake with client outside:2.4.6.8/62341
6|Sep 07 2008|01:39:39|725001|2.4.6.8|62341|||Starting SSL handshake with client outside:2.4.6.8/62341 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|62341|1.2.3.4|443|Built inbound TCP connection 936 for outside:2.4.6.8/62341 (2.4.6.8/62341) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:39:39|106015|2.4.6.8|60471|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/60471 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:39:39|302014|2.4.6.8|60471|1.2.3.4|443|Teardown TCP connection 934 for outside:2.4.6.8/60471 to identity:1.2.3.4/443 duration 0:00:00 bytes 881 TCP Reset-O
6|Sep 07 2008|01:39:39|725007|2.4.6.8|60471|||SSL session with client outside:2.4.6.8/60471 terminated.
6|Sep 07 2008|01:39:39|725002|2.4.6.8|60471|||Device completed SSL handshake with client outside:2.4.6.8/60471
6|Sep 07 2008|01:39:39|725001|2.4.6.8|60471|||Starting SSL handshake with client outside:2.4.6.8/60471 for TLSv1 session.
6|Sep 07 2008|01:39:39|302013|2.4.6.8|60471|1.2.3.4|443|Built inbound TCP connection 934 for outside:2.4.6.8/60471 (2.4.6.8/60471) to identity:1.2.3.4/443 (1.2.3.4/443)
3|Sep 07 2008|01:39:23|713122|||||IP = 2.4.6.8, Keep-alives configured on but peer does not support keep-alives (type = None)
5|Sep 07 2008|01:39:23|713119|||||Group = 2.4.6.8, IP = 2.4.6.8, PHASE 1 COMPLETED
6|Sep 07 2008|01:39:22|302015|1.2.3.4|500|2.4.6.8|500|Built outbound UDP connection 933 for outside:2.4.6.8/500 (2.4.6.8/500) to identity:1.2.3.4/500 (1.2.3.4/500)
5|Sep 07 2008|01:39:22|713041|||||IP = 2.4.6.8, IKE Initiator: Rekeying Phase 1, Intf outside, IKE Peer 2.4.6.8  local Proxy Address 0.0.0.0, remote Proxy Address 0.0.0.0,  Crypto map (N/A)
6|Sep 07 2008|01:39:21|302015|192.168.3.152|138|192.168.30.15|138|Built inbound UDP connection 932 for outside:192.168.3.152/138 (192.168.3.152/138) to inside:192.168.30.15/138 (192.168.30.15/138)
6|Sep 07 2008|01:39:17|302015|192.168.3.156|137|192.168.30.15|137|Built inbound UDP connection 931 for outside:192.168.3.156/137 (192.168.3.156/137) to inside:192.168.30.15/137 (192.168.30.15/137)
6|Sep 07 2008|01:38:52|106015|2.4.6.8|58019|1.2.3.4|443|Deny TCP (no connection) from 2.4.6.8/58019 to 1.2.3.4/443 flags FIN ACK  on interface outside
6|Sep 07 2008|01:38:52|302014|2.4.6.8|58019|1.2.3.4|443|Teardown TCP connection 928 for outside:2.4.6.8/58019 to identity:1.2.3.4/443 duration 0:00:00 bytes 4710 TCP Reset-O
6|Sep 07 2008|01:38:52|725007|2.4.6.8|58019|||SSL session with client outside:2.4.6.8/58019 terminated.
6|Sep 07 2008|01:38:52|302014|192.168.3.146|22|192.168.30.3|22|Teardown TCP connection 929 for outside:192.168.3.146/22 to inside:192.168.30.3/22 duration 0:00:00 bytes 0 Free the flow created as result of packet injection
5|Sep 07 2008|01:38:52|111010|||||User 'administrator', running 'N/A' from IP 2.4.6.8, executed 'packet-tracer input inside tcp 192.168.30.3 22 192.168.3.146 22 xml'
5|Sep 07 2008|01:38:52|111008|||||User 'administrator' executed the 'packet-tracer input inside tcp 192.168.30.3 22 192.168.3.146 22 xml' command.
6|Sep 07 2008|01:38:52|302013|192.168.30.3|22|192.168.3.146|22|Built outbound TCP connection 929 for outside:192.168.3.146/22 (192.168.3.146/22) to inside:192.168.30.3/22 (192.168.30.3/22)
5|Sep 07 2008|01:38:52|111007|||||Begin configuration: 2.4.6.8 reading from http [POST]
6|Sep 07 2008|01:38:52|725002|2.4.6.8|58019|||Device completed SSL handshake with client outside:2.4.6.8/58019
6|Sep 07 2008|01:38:52|725001|2.4.6.8|58019|||Starting SSL handshake with client outside:2.4.6.8/58019 for TLSv1 session.
6|Sep 07 2008|01:38:52|302013|2.4.6.8|58019|1.2.3.4|443|Built inbound TCP connection 928 for outside:2.4.6.8/58019 (2.4.6.8/58019) to identity:1.2.3.4/443 (1.2.3.4/443)
6|Sep 07 2008|01:38:47|302016|192.168.3.210|138|192.168.30.15|138|Teardown UDP connection 909 for outside:192.168.3.210/138 to inside:192.168.30.15/138 duration 0:02:01 bytes 201
6|Sep 07 2008|01:38:37|302016|2.4.6.8|500|1.2.3.4|500|Teardown UDP connection 858 for outside:2.4.6.8/500 to identity:1.2.3.4/500 duration 0:02:30 bytes 1776
6|Sep 07 2008|01:37:43|302015|192.168.3.112|138|192.168.30.15|138|Built inbound UDP connection 927 for outside:192.168.3.112/138 (192.168.3.112/138) to inside:192.168.30.15/138 (192.168.30.15/138)


В чем может быть дело? ASA не на UPS висит, может из-за скачка напряжения такое быть?
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
21.06.2013, 23:54
Ответы с готовыми решениями:

Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом,...

Cisco ASA, 2 site-to-site vpn
Здравствуйте! У меня вопросик.. А можно ли будет сделать так, чтобы между двумя ASA держалось 2...

Пересекающиеся сети туннеля site-to-site между Cisco ASA и TMG
Всем добрый день! Необходимо реализовать следующую схему. Есть главный и удаленный офис, связь...

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же...

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на...

53
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
22.06.2013, 01:34 2
как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside?
что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?
1
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
22.06.2013, 01:34 3
как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside?
что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
22.06.2013, 01:38  [ТС] 4
Цитата Сообщение от Jabbson Посмотреть сообщение
как поднимается соединение на асе со стороны outside?
в смысле?
Цитата Сообщение от Jabbson Посмотреть сообщение
пакеты, которые идут вне туннеля продолжают ходить через outside?
да, я к ней на outside через asdm и зашел.
Цитата Сообщение от Jabbson Посмотреть сообщение
что в момент обрыва с crypto isakmp и crypto ipsec?
пример packet-tracer во время обрыва?
поймаю на буднях..
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
22.06.2013, 11:04 5
Цитата Сообщение от jlevistk Посмотреть сообщение
в смысле?
в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe?
Цитата Сообщение от jlevistk Посмотреть сообщение
поймаю на буднях..
хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
22.06.2013, 11:56  [ТС] 6
Цитата Сообщение от Jabbson Посмотреть сообщение
в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe?
уже готовый интернет)

Цитата Сообщение от Jabbson Посмотреть сообщение
хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу.
Да, хорошо)
0
Jabbson
22.06.2013, 13:02
  #7

Не по теме:

Цитата Сообщение от jlevistk Посмотреть сообщение
Да, хорошо)
тогда ждем)

1
jlevistk
22.06.2013, 14:27  [ТС]
  #8

Не по теме:

Вопрос может быть немного не в эту сторону, но как разрешить ASA пинговать с себя сеть за туннелем? Или отвечать на пинги на inside интерфейс, пришедшие из туннеля. Там нет ни одного ПК в выходные, не с чем тестить=(

0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
22.06.2013, 14:33 9
аса не разрешит пинговать т.н. far-end интерфейс. by design. только интерфейс, на который пришел пакет.

For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
22.06.2013, 14:40  [ТС] 10
И тоесть на tftf: который по ту сторону туннеля конфиг тоже скинуть не выйдет?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
22.06.2013, 16:01 11
почему? нельзя только к асе обращаться по "не своему" интерфейсу. остальные коммуникации не запрещены.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.06.2013, 00:42  [ТС] 12
ээээм.. Тогда я пожалуй вечером конфиг приложу, что то я видимо не доделал, раз это у меня не получается сделать(

Добавлено через 8 часов 21 минуту


Кликните здесь для просмотра всего текста
ASA Version 9.1(1)
!
hostname asaasaasa
domain-name domain.com
enable password password encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd password encrypted
names
!
interface Ethernet0/0
description outside
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.30.1 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
ip address 115.116.117.118 255.255.255.252
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name domain.com
object network =inside=
subnet 192.168.30.0 255.255.255.240
object network Site-A-Subnet
subnet 192.168.30.0 255.255.255.240
object network Site-B-Firewall
host 222.223.224.225
object network Site-B-Subnet
subnet 192.168.10.0 255.255.255.0
access-list outside_cryptomap extended permit ip object Site-A-Subnet object Site-B-Subnet
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static Site-A-Subnet Site-A-Subnet destination static Site-B-Subnet Site-B-Subnet no-proxy-arp route-lookup
!
object network =inside=
nat (inside,outside) dynamic interface dns
route outside 0.0.0.0 0.0.0.0 115.116.117.117 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 1.2.3.4 255.255.255.255 outside
http 222.223.224.225 255.255.255.255 outside
http 192.168.30.0 255.255.255.240 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 222.223.224.225
crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.30.0 255.255.255.240 inside
ssh 1.2.3.4 255.255.255.255 outside
ssh 222.223.224.225 255.255.255.255 outside
ssh timeout 5
console timeout 0

dhcpd address 192.168.30.2-192.168.30.12 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd option 3 ip 192.168.30.1 interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 91.226.136.136 source outside
ntp server 88.147.254.232 source outside
group-policy GroupPolicy_222.223.224.225 internal
group-policy GroupPolicy_222.223.224.225 attributes
vpn-tunnel-protocol ikev1 ikev2
username admin password password encrypted
tunnel-group 222.223.224.225 type ipsec-l2l
tunnel-group 222.223.224.225 general-attributes
default-group-policy GroupPolicy_222.223.224.225
tunnel-group 222.223.224.225 ipsec-attributes
ikev1 pre-shared-key *******
ikev2 remote-authentication pre-shared-key *******
ikev2 local-authentication pre-shared-key *******
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:dc11a12225876123cb84d419dc471ca2
: end
asdm image disk0:/asdm-711.bin
no asdm history enable



Вот конфиг. Не подскажите, где косяк? Хочу скопировать конфиг на сервер который находится по ту сторону туннеля, для тестирования - идет ли что-нить через туннель. Но мне это не удается. Чего я тут не сделал?(

 Комментарий модератора 
Уважаемые модераторы, не проставляйте теги под спойлером - вызывает внутреннюю ошибку
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
23.06.2013, 02:11 13
а как пытаетесь скопировать?
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.06.2013, 11:25  [ТС] 14
copy startup-config tftp: жму Enter
пишу 192.168.10.33 (ip машины в site-B на котором tftpd32 запущен) Enter
и еще раз Enter
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
23.06.2013, 12:09 15
и это точно попадает в список интересного трафика?
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.06.2013, 12:14  [ТС] 16
Цитата Сообщение от Jabbson Посмотреть сообщение
интересного трафика
В смысле?

В ACL прописано IP, т.е. все пускать должно.. или не это имеете ввиду?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
23.06.2013, 12:44 17
через туннель ходит трафик, описаный "интересным трафиком" в ACL:

access-list outside_cryptomap extended permit ip 192.168.30.0 255.255.255.240 192.168.10.0 255.255.255.0

когда Вы делаете свой copy start tftp - это точно подпадает под 192.168.30.0/28 --> 192.168.10.0/24
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.06.2013, 12:50  [ТС] 18
Так да, но я получаю time-out.. Т.е. надо смотреть не эту ASA, а вторую сторону?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
23.06.2013, 12:57 19
а как Вы знаете какой адрес подставляет аса в графу source ip address?
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.06.2013, 13:06  [ТС] 20
Source, тобишь источник, тобишь она подставляется IP своего интерфейса inside.. нет?)
или же она пытается подставить outside и поэтому у меня ничего не выходит?(
0
23.06.2013, 13:06
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.06.2013, 13:06

Site to site VPN ASA
День добрый 10.10.10.0\24 в Организации А 10.10.10.0\24 в Организации Б Между ними, нужно...

CISCO Site-to-Site VPN по сертификатам
Здравствуйте. Пытаюсь разобраться с VPN на CISCO ASA, который мне достался в наследство. Ни как не...

Cisco VPN Site-to-Site
Всем доброго вечера! Возникла проблема с настройкой VPN SitetoSite! Схема, ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru