Buy or Renew
Buy or Renew
Duo Security forums now LIVE! Get answers to all your Duo Security questions. Learn more
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation
1690
Views
0
Helpful
3
Replies

IPSEC Cisco 852 PFSense

kuznetzov1
Level 1
Level 1

‎05-16-2017 02:05 AM - edited ‎02-21-2020 09:17 PM

Коллеги, добрый день.

Потребовалось подключить удаленный офис. В удаленном офисе в наследство досталась в наследство циска, ранее с этими маршрутизаторами не работал, посему просьба сильно не пинать. В головном офисе в качестве основного шлюза сервер с PFSense.  После курения мануалов (http://www.cisco.com/c/ru_ru/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html) и (https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS) туннель поднялся. Но пинги из одной сети в другую не проходят. Вывод команды show crypto session показывает, что соединение UP-ACTIVE, но пакеты дропаются. Понимаю, что дело в ACL, но компетенций не хватает. Прошу помочь. Конфиг циски прикладываю.

Сеть за PFSense 192.168.16.0/22 внешний адрес yyy.yyy.yyy.yyy
Сеть за Cisco 192.168.0.0/23 внешний адрес xxx.xxx.xxx.xxx

Labels:
Preview file
5 KB
0 Helpful
3 Replies 3

Hitesh Vinzoda
Level 4
Level 4

‎05-16-2017 02:17 AM

Удалить этот маршрут, поскольку он не нужен

no ip route 192.168.16.0 255.255.252.0 yyy.yyy.yyy.yyy

Если это не решит проблему, измените свой ACL NAT, чтобы запретить трафик VPN, используя расширенный ACL

ip access-list extended NAT_ACL
deny ip 192.168.0.0 0.0.1.255 192.168.16.0 0.0.3.255
permit ip 192.168.0.0 0.0.1.255 any

ip nat inside source list NAT_ACL interface fastethernet8 overload

HTH
Hitesh

0 Helpful

kuznetzov1
Level 1
Level 1
In response to Hitesh Vinzoda

‎05-16-2017 02:38 AM

Спасибо за ответ. Маршрут удалил - не помогло. Расширенный список создал - все равно дропает входящие пакеты.

0 Helpful

kuznetzov1
Level 1
Level 1
In response to Hitesh Vinzoda

‎05-16-2017 02:45 AM

show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: FastEthernet8
Uptime: 15:25:13
Session status: UP-ACTIVE
Peer: yyy.yyy.yyy.yyy port 500 fvrf: (none) ivrf: (none)
      Phase1_id: yyy.yyy.yyy.yyy
      Desc: (none)
  IKEv1 SA: local xxx.xxx.xxx.xxx/500 remote yyy.yyy.yyy.yyy/500 Active
          Capabilities:(none) connid:2007 lifetime:00:19:59
  IPSEC FLOW: permit ip 192.168.0.0/255.255.254.0 192.168.16.0/255.255.252.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 188 drop 0 life (KB/Sec) 4540519/1890
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4540521/1890

0 Helpful
Getting Started

Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community:

Customers Also Viewed These Support Documents