Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Прошу помочь в конфигурировании Site-to-Site VPN

Всем добрый день!

Прошу промочь в настройке конфигурации Site-to-Site VPN. Мне необходимо реализовать следующую схему:

1.JPG

На ASA 5510 я составил такую конфигурацию:

:

ASA Version 7.0(8)

!

hostname asa-md

domain-name asa-md.sovmortrans.com

enable password MbuHYQVxp9bQIOFn encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

dns-guard

!

interface Ethernet0/0

nameif inside

security-level 100

ip address 192.168.0.21 255.255.255.0

!

interface Ethernet0/1

nameif outside

security-level 0

ip address 194.186.137.38 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0

management-only

!

ftp mode passive

access-list L2LACL extended permit ip 192.168.0.0 255.255.255.0 10.3.3.0 255.255

.255.0

pager lines 24

logging asdm informational

mtu management 1500

mtu inside 1500

mtu outside 1500

no failover

asdm image disk0:/asdm-508.bin

no asdm history enable

arp timeout 14400

nat (inside) 0 0.0.0.0 0.0.0.0

route outside 0.0.0.0 0.0.0.0 194.186.137.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.1.0 255.255.255.0 management

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map TEST_MAP 10 match address L2LACL

crypto map TEST_MAP 10 set peer 109.74.136.233

crypto map TEST_MAP 10 set transform-set 3DES_SHA

crypto map TEST_MAP 10 set security-association lifetime seconds 28800

crypto map TEST_MAP 10 set security-association lifetime kilobytes 4608000

crypto map TEST_MAP 10 set reverse-route

crypto map TEST_MAP interface outside

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

tunnel-group 109.74.136.233 type ipsec-l2l

tunnel-group 109.74.136.233 ipsec-attributes

pre-shared-key *

telnet 192.168.1.0 255.255.255.0 management

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd enable management

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

  inspect dns maximum-length 512

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

  inspect dns maximum-length 512

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect rsh

  inspect rtsp

  inspect esmtp

  inspect sqlnet

  inspect skinny

  inspect sunrpc

  inspect xdmcp

  inspect sip

  inspect netbios

  inspect tftp

!

service-policy global_policy global

На ASA 5505 я составил такую конфигурацию:

ASA Version 7.2(4)
!
hostname asa-smt
domain-name asa-smt.sovmortrans.com
enable password MbuHYQVxp9bQIOFn encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 10.3.3.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 109.74.136.233 255.255.255.240
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name asa-smt.sovmortrans.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list L2LACL extended permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255
.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 109.74.136.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 10.3.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set 3DES_SHA esp-3des esp-sha-hmac
crypto map TEST_MAP 10 match address L2LACL
crypto map TEST_MAP 10 set peer 194.186.137.38
crypto map TEST_MAP 10 set transform-set 3DES_SHA
crypto map TEST_MAP 10 set reverse-route
crypto map TEST_MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 10.3.3.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 10.3.3.2-10.3.3.254 inside
!

tunnel-group 194.186.137.38 type ipsec-l2l
tunnel-group 194.186.137.38 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global

В результате я не имею соединения VPN между сайтами. Прошу помощи, что у меня не так сконфигурировано?

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Re: Прошу помочь в конфигурировании

Обе строки с "set reverse-route" надо удалить. 

Попробуйте ввести заново preshared key с обеих сторон. Если не поможет, начинаем диагностику. С обеих сторон сделайте "show crypto ipsec sa" и "show crypto isakmp sa". Перед этим надо пустить трафик между 192.168.0.0/24 и 10.3.3.0/24 (можно просто пинги).

Re: Прошу помочь в конфигурировании

Сделайте на 5505:


access-list nat0inside line 1 extended permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255.255.0

nat (inside) 0 access-list nat0inside 

Хотя global отсутствует... Но все равно сделайте. Еще проверьте, что ответчик должен отзываться на трафик (никаких локальных или промежуточных файрволов). И изучите логи на предмет упоминаний данных соединений.

4 ОТВЕТ.

Re: Прошу помочь в конфигурировании

Обе строки с "set reverse-route" надо удалить. 

Попробуйте ввести заново preshared key с обеих сторон. Если не поможет, начинаем диагностику. С обеих сторон сделайте "show crypto ipsec sa" и "show crypto isakmp sa". Перед этим надо пустить трафик между 192.168.0.0/24 и 10.3.3.0/24 (можно просто пинги).

New Member

Re: Прошу помочь в конфигурировании

Огромное спасибо за ответ. На картинке опечатка. Сеть 192.168.0.0.24, а не 192.157.0.0.24. Извиняюсь за ошибку.

После удаления set reverse-route и повторного ввода pre-shared key на обоих концах я вижу, что тунель поднялся между двумя устройствами. Однако пинги между сетями не идут.

Результаты работы команд show.

На ASA 5510:

asa-md# show crypto ipsec sa
interface: outside
    Crypto map tag: TEST_MAP, seq num: 10, local addr: 194.186.137.38

      access-list L2LACL permit ip 192.168.0.0 255.255.255.0 10.3.3.0 255.255.25
5.0
      local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      current_peer: 109.74.136.233

      #pkts encaps: 184, #pkts encrypt: 184, #pkts digest: 184
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 184, #pkts comp failed: 0, #pkts decomp failed: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 194.186.137.38, remote crypto endpt.: 109.74.136.233

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 1F609308

    inbound esp sas:
      spi: 0x2C614FF5 (744574965)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: TEST_MAP
         sa timing: remaining key lifetime (kB/sec): (4275000/27784)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x1F609308 (526422792)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 1, crypto-map: TEST_MAP
         sa timing: remaining key lifetime (kB/sec): (4274988/27705)
         IV size: 8 bytes
         replay detection support: Y

asa-md# show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 109.74.136.233
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

На ASA 5505:

asa-smt# show crypto ipsec sa
interface: outside
    Crypto map tag: TEST_MAP, seq num: 10, local addr: 109.74.136.233

      access-list L2LACL permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255.25
5.0
      local ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
      current_peer: 194.186.137.38

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 61, #pkts decrypt: 61, #pkts verify: 61
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 109.74.136.233, remote crypto endpt.: 194.186.137.38

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 2C614FF5

    inbound esp sas:
      spi: 0x1F609308 (526422792)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 2, crypto-map: TEST_MAP
         sa timing: remaining key lifetime (kB/sec): (3824995/28369)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x2C614FF5 (744574965)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 2, crypto-map: TEST_MAP
         sa timing: remaining key lifetime (kB/sec): (3825000/28369)
         IV size: 8 bytes
         replay detection support: Y

asa-smt# show crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 194.186.137.38
    Type    : L2L             Role    : responder
    Rekey   : no              State   : MM_ACTIVE

Re: Прошу помочь в конфигурировании

Сделайте на 5505:


access-list nat0inside line 1 extended permit ip 10.3.3.0 255.255.255.0 192.168.0.0 255.255.255.0

nat (inside) 0 access-list nat0inside 

Хотя global отсутствует... Но все равно сделайте. Еще проверьте, что ответчик должен отзываться на трафик (никаких локальных или промежуточных файрволов). И изучите логи на предмет упоминаний данных соединений.

New Member

Re: Прошу помочь в конфигурировании

Спасибо большое.

Приведенные команды помогли.

Тунель заработал!

176
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему