О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
debug IPSec
-
- Сообщения: 5
- Зарегистрирован: 27 мар 2018 20:52
- Reputation: 0
debug IPSec
Добрый день! Подскажите, есть ли возможность включить отладку установки IPSec - соединения? Имеется ESR-100 1.2.0 build 59. Пытаюсь настроить второй туннель в сторону Cisco ASA. Туннель не поднимается, дебаг на стороне ASA не даёт понимания, хотелось бы увидеть отладочную информацию на стороне ESR
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: debug IPSec
Добрый день!
Реализация debug для IPSec запланирована в версии ПО 1.6.0 - конец 2018 года.
В сторону Cisco необходимо настроить Policy-based IPSec, пример c md5 и aes128 (можно подставить и другие варианты):
Вышлите конфигурации Cisco и ESR в личку, если не получиться настроить.
Реализация debug для IPSec запланирована в версии ПО 1.6.0 - конец 2018 года.
В сторону Cisco необходимо настроить Policy-based IPSec, пример c md5 и aes128 (можно подставить и другие варианты):
Код: Выделить всё
object-group service ISAKMP
port-range 500
port-range 4500
exit
bridge 1
vlan 1
security-zone xx
ip address 192.0.2.254/24
qos enable
service-policy output POLiCY
enable
exit
interface gigabitethernet 1/0/1
security-zone xx
ip address 192.168.16.147/23
exit
security ike proposal IKEPROP
authentication algorithm md5
encryption algorithm aes128
dh-group 2
exit
security ike policy IKEPOLICY
pre-shared-key ascii-text password
proposal IKEPROP
exit
security ike gateway IKEGW
ike-policy IKEPOLICY
local address 192.168.16.147
local network 192.0.2.0/24
remote address 192.168.17.222
remote network 10.0.0.0/16
mode policy-based
exit
security ipsec proposal IPSECPROP
authentication algorithm md5
encryption algorithm aes128
exit
security ipsec policy IPSECPOLICY
proposal IPSECPROP
exit
security ipsec vpn IPSECVPN
mode ike
ike establish-tunnel immediate
ike gateway IKEGW
ike ipsec-policy IPSECPOLICY
enable
exit
security zone-pair xx self
rule 10
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port ISAKMP
enable
exit
exit
Вышлите конфигурации Cisco и ESR в личку, если не получиться настроить.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
-
- Сообщения: 5
- Зарегистрирован: 27 мар 2018 20:52
- Reputation: 0
Re: debug IPSec
Добрый день! Спасибо за информацию.
На рассматриваемом ESR уже есть один рабочий IPSec в сторону ASA1. Необходимо настроить в сторону ASA2. ASA1 и ASA2 чуть отличаются в версии прошивки и конфигурации, относящейся к IPSec:
на ASA1 явно выключен NAT-T: no crypto isakmp nat-traversal
на ASA2 явно задано: crypto isakmp identity hostname
Дебаг на стороне ASA2 показывает прохождение фазы1, далее соединение сбрасывается:
SPB02-WASA01# Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 152
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Oakley proposal is acceptable
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received xauth V6 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received DPD VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal RFC VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal ver 02 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing IKE SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 4
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ISAKMP SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Traversal VID ver RFC payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Fragmentation VID + extended capabilities payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 236
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ISA_KE payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Cisco Unity VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing xauth V6 VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send IOS VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Generating keys for Responder...
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 296
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NOTIFY (11) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing ID payload
Mar 28 09:53:38 [IKEv1 DECODE]Group = x.x.x.x, IP = x.x.x.x, ID_IPV4_ADDR ID received
x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing notify payload
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing ID payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing dpd vid payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, PHASE 1 COMPLETED
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Keep-alive type for this connection: DPD
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Starting P1 rekey timer: 32400 seconds.
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=3bcfcec5) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 76
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing delete
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Connection terminated for peer x.x.x.x. Reason: Peer Terminate Remote Proxy 0.0.0.0, Local Proxy 0.0.0.0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 Tunnel Table succeeded for SA with logicalId 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:9dc65c67 terminating: flags 0x01018802, refcnt 0, tuncnt 0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Warning: Ignoring IKE SA (src) without VM bit set
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Session is being torn down. Reason: User Requested
На рассматриваемом ESR уже есть один рабочий IPSec в сторону ASA1. Необходимо настроить в сторону ASA2. ASA1 и ASA2 чуть отличаются в версии прошивки и конфигурации, относящейся к IPSec:
на ASA1 явно выключен NAT-T: no crypto isakmp nat-traversal
на ASA2 явно задано: crypto isakmp identity hostname
Дебаг на стороне ASA2 показывает прохождение фазы1, далее соединение сбрасывается:
SPB02-WASA01# Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 152
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Oakley proposal is acceptable
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received xauth V6 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received DPD VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal RFC VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Received NAT-Traversal ver 02 VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing IKE SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 4
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ISAKMP SA payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Traversal VID ver RFC payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Fragmentation VID + extended capabilities payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 236
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing ISA_KE payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, processing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing ke payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing nonce payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing Cisco Unity VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing xauth V6 VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send IOS VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Constructing ASA spoofing IOS Vendor ID payload (version: 1.0.0, capabilities: 20000001)
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing VID payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, Send Altiga/Cisco VPN3000/Cisco ASA GW VID
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, constructing NAT-Discovery payload
Mar 28 09:53:38 [IKEv1 DEBUG]IP = x.x.x.x, computing NAT Discovery hash
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Generating keys for Responder...
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 296
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + NOTIFY (11) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing ID payload
Mar 28 09:53:38 [IKEv1 DECODE]Group = x.x.x.x, IP = x.x.x.x, ID_IPV4_ADDR ID received
x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing notify payload
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Connection landed on tunnel_group x.x.x.x
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing ID payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Computing hash for ISAKMP
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, constructing dpd vid payload
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + ID (5) + HASH (8) + VENDOR (13) + NONE (0) total length : 88
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, PHASE 1 COMPLETED
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, Keep-alive type for this connection: DPD
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, Starting P1 rekey timer: 32400 seconds.
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Add to IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1]IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=3bcfcec5) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 76
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing hash payload
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, processing delete
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Connection terminated for peer x.x.x.x. Reason: Peer Terminate Remote Proxy 0.0.0.0, Local Proxy 0.0.0.0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 Tunnel Table succeeded for SA with logicalId 1413120
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Remove from IKEv1 MIB Table succeeded for SA with logical ID 1413120
Mar 28 09:53:38 [IKEv1 DEBUG]Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:9dc65c67 terminating: flags 0x01018802, refcnt 0, tuncnt 0
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Warning: Ignoring IKE SA (src) without VM bit set
Mar 28 09:53:38 [IKEv1]Group = x.x.x.x, IP = x.x.x.x, Session is being torn down. Reason: User Requested
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: debug IPSec
Конфигурацию ASA2 можно увидеть?
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
-
- Сообщения: 5
- Зарегистрирован: 27 мар 2018 20:52
- Reputation: 0
Re: debug IPSec
leonid_zarkov писал(а):Конфигурацию ASA2 можно увидеть?
Добрый день! Удалось разобраться. Первая фаза заканчивалась на состоянии MM_WAIT_MSG6 в случае, если инициатор - ASA2. В интернетах пишут, что вероятней всего это несовпадение PSK на обоих концах, но PSK совершенно очевидно совпадал. В моём случае оказалось, что необходимо на ASA2 убрать явным образом определенное identity. Я сделал crypto isakmp identity auto, первая фаза стала проходить успешно, но начались проблемы со второй. Но там все было проще - NO PROPOSAL CHOSEN. Все перепроверил 10 раз, пока не вспомнил, что пока ковырялся с первой фазой накрутил в криптомап, относящийся к туннелю в сторону ESR разных дополнительных параметров, в частности PFS, что приводило к веселой записи в дебаггинге, типа ALL PROPOSAL UNACCEPTABLE, при том, что с виду все совпадало
-
- Сообщения: 5
- Зарегистрирован: 27 мар 2018 20:52
- Reputation: 0
Re: debug IPSec
fon_yurgen писал(а):...В моём случае оказалось, что необходимо на ASA2 убрать явным образом определенное identity. Я сделал crypto isakmp identity auto...
Имеется ввиду, конечно crypto isakmp identity hostname - при такой конфигурации на стороне ASA2 фаза1 не переходила в сотояние MM_ACTIVE.
Хотя, если инициатором выступал ESR, то в дебаггинге пролетала сообщение типа PHASE 1 COMPLETED, что смущало.
Короче, при траблшутинге, по возможности нужно инициировать туннели с обоих сторон и по возможности включать дебаг с обоих сторон.
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: debug IPSec
fon_yurgen писал(а):fon_yurgen писал(а):Короче, при траблшутинге, по возможности нужно инициировать туннели с обоих сторон и по возможности включать дебаг с обоих сторон.
DEBUG режим в roadmap внесен на разработку, как писал выше, в 1.6.0.
По crypto isakmp identity hostname - проверим на стенде данную схему, по необходимости/возможности внесем корректировки.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 18 гостей