IPSEC Cisco 852 PFSense

Unanswered Question
May 16th, 2017
User Badges:

Коллеги, добрый день.

Потребовалось подключить удаленный офис. В удаленном офисе в наследство досталась в наследство циска, ранее с этими маршрутизаторами не работал, посему просьба сильно не пинать. В головном офисе в качестве основного шлюза сервер с PFSense.  После курения мануалов (http://www.cisco.com/c/ru_ru/support/docs/ip/internet-key-exchange-ike/1...) и (https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS) туннель поднялся. Но пинги из одной сети в другую не проходят. Вывод команды show crypto session показывает, что соединение UP-ACTIVE, но пакеты дропаются. Понимаю, что дело в ACL, но компетенций не хватает. Прошу помочь. Конфиг циски прикладываю.

Сеть за PFSense 192.168.16.0/22 внешний адрес yyy.yyy.yyy.yyy
Сеть за Cisco 192.168.0.0/23 внешний адрес xxx.xxx.xxx.xxx

Attachment: 
  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 0 (0 ratings)
Loading.
Hitesh Vinzoda Tue, 05/16/2017 - 02:17
User Badges:
  • Silver, 250 points or more

Удалить этот маршрут, поскольку он не нужен

no ip route 192.168.16.0 255.255.252.0 yyy.yyy.yyy.yyy

Если это не решит проблему, измените свой ACL NAT, чтобы запретить трафик VPN, используя расширенный ACL

ip access-list extended NAT_ACL
deny ip 192.168.0.0 0.0.1.255 192.168.16.0 0.0.3.255
permit ip 192.168.0.0 0.0.1.255 any

ip nat inside source list NAT_ACL interface fastethernet8 overload

HTH
Hitesh

kuznetzov1 Tue, 05/16/2017 - 02:38
User Badges:

Спасибо за ответ. Маршрут удалил - не помогло. Расширенный список создал - все равно дропает входящие пакеты.

kuznetzov1 Tue, 05/16/2017 - 02:45
User Badges:

show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: FastEthernet8
Uptime: 15:25:13
Session status: UP-ACTIVE
Peer: yyy.yyy.yyy.yyy port 500 fvrf: (none) ivrf: (none)
      Phase1_id: yyy.yyy.yyy.yyy
      Desc: (none)
  IKEv1 SA: local xxx.xxx.xxx.xxx/500 remote yyy.yyy.yyy.yyy/500 Active
          Capabilities:(none) connid:2007 lifetime:00:19:59
  IPSEC FLOW: permit ip 192.168.0.0/255.255.254.0 192.168.16.0/255.255.252.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 188 drop 0 life (KB/Sec) 4540519/1890
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4540521/1890

Actions

This Discussion

Related Content