jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
||||||
1 | ||||||
Cisco ASA, отваливается Site-to-Site VPN21.06.2013, 23:54. Просмотров 7419. Ответов 53
Метки нет Все метки)
(
Добрый день. Предыстория:
На бранч офисе был установлен роутер D-link, который держал Site-to-Site VPN с мэин офисом. Сотрудники бранча жаловались на то, что пропадает связь с мэин офиса и им приходится перезагружать роутер раза 3-4 за рабочий день. Т.к. D-link был стар, заменил его на лежащую без дела Cisco ASA 5505, в надежде, что это решит проблему. Когда вместо D-Link поставили Cisco ASA - ничего не заработало. Позвонил провайдеру, они ребутнули свое оборудование и все заработало(это была не привязка к маку, я уточнил). На следующий день, тобишь сегодня мне позвонили и сообщили что опять дропнулся VPN. Как видна ситуация со стороны D-link'а - Site-to-Site поднят, время тикает - все хорошо. Со стороны ASA - тоже все хорошо. На D-link'e дропнул сессию и понял по новой - поднялась, время затикало, но пакетики не заходили. На Cisco произвел то же самое - не помогло. Она пингует локальные ПК, но ПК за туннелем не видит. Полез на ASA в лог реального времени в режиме Debug - ничего не увидел подозрительного (только кто-то левый пытался подрубиться по SSH). Перезагрузил ASA - все заработало. Вот лог с ASA на момент повисона, в нем как раз видно запуск Packet Tracer'а, который прошел кстати удачно. Кликните здесь для просмотра всего текста
В чем может быть дело? ASA не на UPS висит, может из-за скачка напряжения такое быть?
0
|
|
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
|
21.06.2013, 23:54 |
Ответы с готовыми решениями:
53
Не могу создать vpn site to site на cisco asa 5506-x Cisco ASA, 2 site-to-site vpn Пересекающиеся сети туннеля site-to-site между Cisco ASA и TMG Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series |
Jabbson
![]() |
|
22.06.2013, 01:34 | 2 |
как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside? что в момент обрыва с crypto isakmp и crypto ipsec? пример packet-tracer во время обрыва?
1
|
Jabbson
![]() |
|
22.06.2013, 01:34 | 3 |
как поднимается соединение на асе со стороны outside?
пакеты, которые идут вне туннеля продолжают ходить через outside? что в момент обрыва с crypto isakmp и crypto ipsec? пример packet-tracer во время обрыва?
1
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
22.06.2013, 01:38 [ТС] | 4 |
в смысле?
![]() да, я к ней на outside через asdm и зашел. поймаю на буднях..
0
|
22.06.2013, 01:38 | |
Jabbson
![]() |
|
22.06.2013, 11:04 | 5 |
в смысле там просто кабель ethernet с уже готовым интернетом или поднимается какое-нить pppoe?
хорошо, и лог нужно будет смотреть - минимизировать остальной трафик или отфильтровать вывод лога и посмотреть что происходит с пакетом, в момент его прохода через асу.
1
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
22.06.2013, 11:56 [ТС] | 6 |
0
|
Jabbson
|
22.06.2013, 13:02
#7
|
1
|
jlevistk
|
22.06.2013, 14:27
[ТС]
#8
|
Не по теме: Вопрос может быть немного не в эту сторону, но как разрешить ASA пинговать с себя сеть за туннелем? Или отвечать на пинги на inside интерфейс, пришедшие из туннеля. Там нет ни одного ПК в выходные, не с чем тестить=(
0
|
Jabbson
![]() |
|
22.06.2013, 14:33 | 9 |
аса не разрешит пинговать т.н. far-end интерфейс. by design. только интерфейс, на который пришел пакет.
For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network.
1
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
22.06.2013, 14:40 [ТС] | 10 |
И тоесть на tftf: который по ту сторону туннеля конфиг тоже скинуть не выйдет?
0
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|||||||
23.06.2013, 00:42 [ТС] | 12 | ||||||
ээээм.. Тогда я пожалуй вечером конфиг приложу, что то я видимо не доделал, раз это у меня не получается сделать(
Добавлено через 8 часов 21 минуту Кликните здесь для просмотра всего текста
ASA Version 9.1(1)
! hostname asaasaasa domain-name domain.com enable password password encrypted xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain passwd password encrypted names ! interface Ethernet0/0 description outside switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.30.1 255.255.255.240 ! interface Vlan2 nameif outside security-level 0 ip address 115.116.117.118 255.255.255.252 ! ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns server-group DefaultDNS domain-name domain.com object network =inside= subnet 192.168.30.0 255.255.255.240 object network Site-A-Subnet subnet 192.168.30.0 255.255.255.240 object network Site-B-Firewall host 222.223.224.225 object network Site-B-Subnet subnet 192.168.10.0 255.255.255.0 access-list outside_cryptomap extended permit ip object Site-A-Subnet object Site-B-Subnet pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-711.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source static Site-A-Subnet Site-A-Subnet destination static Site-B-Subnet Site-B-Subnet no-proxy-arp route-lookup ! object network =inside= nat (inside,outside) dynamic interface dns route outside 0.0.0.0 0.0.0.0 115.116.117.117 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL http server enable http 1.2.3.4 255.255.255.255 outside http 222.223.224.225 255.255.255.255 outside http 192.168.30.0 255.255.255.240 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto ipsec security-association pmtu-aging infinite crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set peer 222.223.224.225 crypto map outside_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map interface outside crypto ca trustpool policy crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside crypto ikev1 enable outside crypto ikev1 policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 40 authentication crack encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 60 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 70 authentication crack encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 90 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 100 authentication crack encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 130 authentication crack encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 150 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh 192.168.30.0 255.255.255.240 inside ssh 1.2.3.4 255.255.255.255 outside ssh 222.223.224.225 255.255.255.255 outside ssh timeout 5 console timeout 0 dhcpd address 192.168.30.2-192.168.30.12 inside dhcpd dns 8.8.8.8 interface inside dhcpd option 3 ip 192.168.30.1 interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 91.226.136.136 source outside ntp server 88.147.254.232 source outside group-policy GroupPolicy_222.223.224.225 internal group-policy GroupPolicy_222.223.224.225 attributes vpn-tunnel-protocol ikev1 ikev2 username admin password password encrypted tunnel-group 222.223.224.225 type ipsec-l2l tunnel-group 222.223.224.225 general-attributes default-group-policy GroupPolicy_222.223.224.225 tunnel-group 222.223.224.225 ipsec-attributes ikev1 pre-shared-key ******* ikev2 remote-authentication pre-shared-key ******* ikev2 local-authentication pre-shared-key ******* ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:dc11a12225876123cb84d419dc471ca2 : end asdm image disk0:/asdm-711.bin no asdm history enable Вот конфиг. Не подскажите, где косяк? Хочу скопировать конфиг на сервер который находится по ту сторону туннеля, для тестирования - идет ли что-нить через туннель. Но мне это не удается. Чего я тут не сделал?(
0
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.06.2013, 11:25 [ТС] | 14 |
copy startup-config tftp: жму Enter
пишу 192.168.10.33 (ip машины в site-B на котором tftpd32 запущен) Enter и еще раз Enter
0
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.06.2013, 12:14 [ТС] | 16 |
В смысле?
В ACL прописано IP, т.е. все пускать должно.. или не это имеете ввиду?
0
|
Jabbson
![]() |
|
23.06.2013, 12:44 | 17 |
через туннель ходит трафик, описаный "интересным трафиком" в ACL:
access-list outside_cryptomap extended permit ip 192.168.30.0 255.255.255.240 192.168.10.0 255.255.255.0 когда Вы делаете свой copy start tftp - это точно подпадает под 192.168.30.0/28 --> 192.168.10.0/24
0
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.06.2013, 12:50 [ТС] | 18 |
Так да, но я получаю time-out.. Т.е. надо смотреть не эту ASA, а вторую сторону?
0
|
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.06.2013, 13:06 [ТС] | 20 |
Source, тобишь источник, тобишь она подставляется IP своего интерфейса inside.. нет?)
или же она пытается подставить outside и поэтому у меня ничего не выходит?(
0
|
23.06.2013, 13:06 | |
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
|
23.06.2013, 13:06 |
Site to site VPN ASA
Cisco VPN Site-to-Site Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |