О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

debug IPSec

MES, ESR
fon_yurgen
Сообщения: 5
Зарегистрирован: 27 мар 2018 20:52
Reputation: 0

debug IPSec

Сообщение fon_yurgen » 27 мар 2018 20:59

Добрый день! Подскажите, есть ли возможность включить отладку установки IPSec - соединения? Имеется ESR-100 1.2.0 build 59. Пытаюсь настроить второй туннель в сторону Cisco ASA. Туннель не поднимается, дебаг на стороне ASA не даёт понимания, хотелось бы увидеть отладочную информацию на стороне ESR

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: debug IPSec

Сообщение leonid_zarkov » 28 мар 2018 13:17

Добрый день!
Реализация debug для IPSec запланирована в версии ПО 1.6.0 - конец 2018 года.

В сторону Cisco необходимо настроить Policy-based IPSec, пример c md5 и aes128 (можно подставить и другие варианты):

Код: Выделить всё

object-group service ISAKMP
  port-range 500
  port-range 4500
exit

bridge 1
  vlan 1
  security-zone xx
  ip address 192.0.2.254/24
  qos enable
  service-policy output POLiCY
  enable
exit

interface gigabitethernet 1/0/1
  security-zone xx
  ip address 192.168.16.147/23
exit


security ike proposal IKEPROP
  authentication algorithm md5
  encryption algorithm aes128
  dh-group 2
exit

security ike policy IKEPOLICY
  pre-shared-key ascii-text password
  proposal IKEPROP
exit

security ike gateway IKEGW
  ike-policy IKEPOLICY
  local address 192.168.16.147
  local network 192.0.2.0/24
  remote address 192.168.17.222
  remote network 10.0.0.0/16
  mode policy-based
exit

security ipsec proposal IPSECPROP
  authentication algorithm md5
  encryption algorithm aes128
exit

security ipsec policy IPSECPOLICY
  proposal IPSECPROP
exit

security ipsec vpn IPSECVPN
  mode ike
  ike establish-tunnel immediate
  ike gateway IKEGW
  ike ipsec-policy IPSECPOLICY
  enable
exit

security zone-pair xx self
  rule 10
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port ISAKMP
    enable
  exit
exit


Вышлите конфигурации Cisco и ESR в личку, если не получиться настроить.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

fon_yurgen
Сообщения: 5
Зарегистрирован: 27 мар 2018 20:52
Reputation: 0

Re: debug IPSec

Сообщение fon_yurgen » 28 мар 2018 14:16

Добрый день! Спасибо за информацию.
На рассматриваемом ESR уже есть один рабочий IPSec в сторону ASA1. Необходимо настроить в сторону ASA2. ASA1 и ASA2 чуть отличаются в версии прошивки и конфигурации, относящейся к IPSec:
на ASA1 явно выключен NAT-T: no crypto isakmp nat-traversal
на ASA2 явно задано: crypto isakmp identity hostname
Дебаг на стороне ASA2 показывает прохождение фазы1, далее соединение сбрасывается:

SPB02-WASA01# Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 152
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Oakley proposal is acceptable
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received xauth V6 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received DPD VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal RFC VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal ver 02 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing IKE SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 4
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ISAKMP SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Traversal VID ver RFC payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Fragmentation VID + extended capabilities payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 236
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ISA_KE payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Cisco Unity VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing xauth V6 VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send IOS VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Generating keys for Responder...
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 296
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NOTIFY (11) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing ID payload
Mar 28 09:53:38 [IKEv1 DECODE]Group = x.x.x.x, IP = x.x.x.x, ID_IPV4_ADDR ID received
x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing notify payload
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing ID payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing dpd vid payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, PHASE 1 COMPLETED
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Keep-alive type for this connection: DPD
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Starting P1 rekey timer: 32400 seconds.
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=3bcfcec5) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 76
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing delete
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Connection terminated for peer x.x.x.x. Reason: Peer Terminate Remote Proxy 0.0.0.0, Local Proxy 0.0.0.0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 Tunnel Table succeeded for SA with logicalId 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:9dc65c67 terminating: flags 0x01018802, refcnt 0, tuncnt 0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Warning: Ignoring IKE SA (src) without VM bit set
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Session is being torn down. Reason: User Requested

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: debug IPSec

Сообщение leonid_zarkov » 28 мар 2018 16:45

Конфигурацию ASA2 можно увидеть?
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

fon_yurgen
Сообщения: 5
Зарегистрирован: 27 мар 2018 20:52
Reputation: 0

Re: debug IPSec

Сообщение fon_yurgen » 29 мар 2018 13:11

leonid_zarkov писал(а):Конфигурацию ASA2 можно увидеть?

Добрый день! Удалось разобраться. Первая фаза заканчивалась на состоянии MM_WAIT_MSG6 в случае, если инициатор - ASA2. В интернетах пишут, что вероятней всего это несовпадение PSK на обоих концах, но PSK совершенно очевидно совпадал. В моём случае оказалось, что необходимо на ASA2 убрать явным образом определенное identity. Я сделал crypto isakmp identity auto, первая фаза стала проходить успешно, но начались проблемы со второй. Но там все было проще - NO PROPOSAL CHOSEN. Все перепроверил 10 раз, пока не вспомнил, что пока ковырялся с первой фазой накрутил в криптомап, относящийся к туннелю в сторону ESR разных дополнительных параметров, в частности PFS, что приводило к веселой записи в дебаггинге, типа ALL PROPOSAL UNACCEPTABLE, при том, что с виду все совпадало :)

fon_yurgen
Сообщения: 5
Зарегистрирован: 27 мар 2018 20:52
Reputation: 0

Re: debug IPSec

Сообщение fon_yurgen » 29 мар 2018 13:32

fon_yurgen писал(а):...В моём случае оказалось, что необходимо на ASA2 убрать явным образом определенное identity. Я сделал crypto isakmp identity auto...

Имеется ввиду, конечно crypto isakmp identity hostname - при такой конфигурации на стороне ASA2 фаза1 не переходила в сотояние MM_ACTIVE.
Хотя, если инициатором выступал ESR, то в дебаггинге пролетала сообщение типа PHASE 1 COMPLETED, что смущало.
Короче, при траблшутинге, по возможности нужно инициировать туннели с обоих сторон и по возможности включать дебаг с обоих сторон.

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: debug IPSec

Сообщение leonid_zarkov » 29 мар 2018 17:10

fon_yurgen писал(а):
fon_yurgen писал(а):Короче, при траблшутинге, по возможности нужно инициировать туннели с обоих сторон и по возможности включать дебаг с обоих сторон.


DEBUG режим в roadmap внесен на разработку, как писал выше, в 1.6.0.
По crypto isakmp identity hostname - проверим на стенде данную схему, по необходимости/возможности внесем корректировки.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей