@linkmeup_chat
Roman04.10.2017
07:30:43
07:30:43
кто то тут проходил экзамен HCNA?
Evgeniy04.10.2017
07:32:25
07:32:25
Google
Vladislav04.10.2017
07:34:02
07:34:02
именно с шифрованием
Evgeniy04.10.2017
07:34:36
07:34:36
там на другом конце не циска, а iRZ RUH2 с линухом и ракуном
Ilya04.10.2017
07:50:00
07:50:00
sh crypto ipsec sa int g0/0
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
а если на ракуне рестартануть вторую фазу, начинает работать?
если да то возможно тут проблема в DPD
у меня была похожая фигня с циской и ракуном, там циска рестартила вторую фазу, а ракун считал что еще старая сессия живая
в итоге покрутил тайминги на DPDIlya04.10.2017
07:54:34
07:54:34
значит какая-то другая фигня 8)
Evgeniy04.10.2017
07:55:09
07:55:09
логично
||||04.10.2017
09:11:14
09:11:14
там на другом конце не циска, а iRZ RUH2 с линухом и ракуном
Тогда смотрите в сторону 2ой фазы. У меня похожая история была при стыке Cisco - Checkpoint. Давно дело было, насколько помню суть была в используемых ACL интересущего трафика. Они должны были совпадать.Тогда смотрите в сторону 2ой фазы. У меня похожая история была при стыке Cisco - Checkpoint. Давно дело было, насколько помню суть была в используемых ACL интересущего трафика. Они должны были совпадать.
дополнение: совпадать по маске ) к сожалению прямо сходу не укажу доку где описан данный ньюанс
Pavel04.10.2017
09:13:20
09:13:20
Если бы не совпадали, то 2 фаза бы вообще не срослась
Если туннель срастается, но счётчики неравномерные, то где-то маршрутов не хватает
||||04.10.2017
09:16:44
09:16:44
Если туннель срастается, но счётчики неравномерные, то где-то маршрутов не хватает
По тексту не увидел что есть подтверждение что 2 фаза срастается. Я почему написал, поведение было аналогичным. Так же на отправку были пакеты а входящие каунтеры были по 0. Фаза 2 при этом постоянно флапала.GoogleAnton04.10.2017
09:17:38
09:17:38
неравномерные счётчики ваще ниче не значат
тупо пакетов меньше ходит в одну сторону больше чем в другую
а вот нулевые - это надо ковырять
Evgeniy04.10.2017
09:18:32
09:18:32
Если туннель срастается, но счётчики неравномерные, то где-то маршрутов не хватает
я воообще мечтаю на динамических криптомапах сделать))но практика показала, что хоть динамика, хоть статика с acl - все равно симптомы одни и те же
Anton04.10.2017
09:20:57
09:20:57
у тебя мало инфы в вопросе, я хз чё ты ждёшь, экстрасенсов наверное как обычно
show crypto isa sa
debug crypto ipsec
конфиг
Evgeniy04.10.2017
09:23:21
09:23:21
не вопрос
sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
a.b.c.d e.f.g.h QM_IDLE 4306 ACTIVE
a.b.c.d e.f.g.h MM_NO_STATE 4305 ACTIVE (deleted)
IPv6 Crypto ISAKMP SA
Pavel04.10.2017
09:24:45
09:24:45
debug crypto isakmp
Evgeniy04.10.2017
09:27:11
09:27:11
a.b.c.d e.f.g.h QM_IDLE 4306 ACTIVE
GoogleAnton04.10.2017
09:28:17
09:28:17
потому что нижняя строка как раз говорит, что рвётся постоянно
Anton04.10.2017
09:31:42
09:31:42
да там тоже должны быть какие нить ерроры
Илья04.10.2017
09:31:47
09:31:47
На аса было подобное с нулевыми счётчиками с одной стороны из за отсутствия НАТ
Evgeniy04.10.2017
09:32:15
09:32:15
crypto isakmp profile RUH2-isapr
keyring default
self-identity address
match identity user-fqdn test1.local
local-address GigabitEthernet0/0
crypto ipsec transform-set RUH2-ts esp-aes esp-sha-hmac
crypto dynamic-map RUH2-dyncm 1000
set transform-set RUH2-ts
set isakmp-profile RUH2-isapr
reverse-route
crypto map RUH2-statcm 500 ipsec-isakmp dynamic RUH2-dyncm
interface GigabitEthernet0/0
...
crypto map RUH2-statcm1
тьфу
чет не то
crypto map RUH2-statcm
в конце
это я тестю разные варианты, со статическими и динамическими crypto map
ну и
crypto isakmp policy 20
encr 3des
authentication pre-share
lifetime 600
GoogleEvgeniy04.10.2017
09:36:26
09:36:26
сейчас дебаг кину
мда
походу
Oct 4 2017 12:36:53: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Oct 4 2017 12:36:53: IPSEC(validate_proposal_request): proposal part #1
Oct 4 2017 12:36:53: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= a.b.c.d:0, remote= 188.170.82.142:0,
local_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.0.0/255.255.255.128/0/0 (type=4),
protocol= ESP, transform= NONE (Tunnel-UDP),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 128, flags= 0x0
Oct 4 2017 12:36:53: map_db_check_isakmp_profile profile did not match
Oct 4 2017 12:36:53: map_db_check_isakmp_profile profile did not match
Oct 4 2017 12:36:53: map_db_find_best did not find matching map
Oct 4 2017 12:36:53: map_db_check_isakmp_profile profile did not match
вот так
что isa профилю не нравится
не понятно
Anton04.10.2017
09:45:58
09:45:58
ну кстати, в крипто полиси по дефолту дифихельман группа 2 в циска-доках написано.
а с другой стороны настроено 1
AdminERROR: S client not available
Evgeniy04.10.2017
09:47:36
09:47:36
Посмотреть бы какие они передают друг другу id
Anton04.10.2017
09:48:06
09:48:06
в дебаге это видно должно быть
в ммоент установки первой фазы
включить дебаг и сделать clear crypto isakmp
ну и debug crypto ipsec тоже посмотреть не помешает, да
вот тут про дефолтные параметры посмотреть можно
https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/ike.html#wp1066879
Pavel04.10.2017
09:52:37
09:52:37
Предварительно сделать debug crypto condition peer ipv4 <адрес пира>, чтобы в дебаг сыпало не все подряд. Потом уже debug crypto isakmp и debug crypto ipsec
GoogleEvgeniy04.10.2017
10:00:37
10:00:37
ща глянем дефолтные
хм
sh run all | s isakmp policy не выдает дефолтные
ща попробуем поменять
Pavel04.10.2017
10:04:16
10:04:16
В дебаге было бы видно, что согласовывается
Evgeniy04.10.2017
10:17:42
10:17:42
после игр с dh group стало писать Oct 4 2017 13:17:18: ISAKMP:(4350):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE
это значит все хорошо?
с 1й фазой?
во 2й фазе пишет
Oct 4 2017 13:19:16: map_db_check_isakmp_profile profile did not match
Oct 4 2017 13:19:16: map_db_check_isakmp_profile profile did not match
Oct 4 2017 13:19:16: map_db_find_best did not find matching map
Oct 4 2017 13:19:16: map_db_check_isakmp_profile profile did not match
Oct 4 2017 13:19:16: Crypto mapdb : proxy_match
src addr : 192.168.1.0
dst addr : 172.16.0.0
protocol : 0
src port : 0
dst port : 0
Oct 4 2017 13:19:16: map_db_check_isakmp_profile profile did not match
Oct 4 2017 13:19:16: Crypto mapdb : proxy_match
src addr : 192.168.1.0
dst addr : 172.16.0.0
protocol : 0
src port : 0
dst port : 0
Pavel04.10.2017
10:23:23
10:23:23
IKE_QM_PHASE2_COMPLETE - это значит 2 фаза уже срослась, а если срослась 2-я, то и с 1-й все ок
а эти сообщения о том, что profile did not match - это возможно последствия игры с динамическими криптомапами и прочих изменений конфигурации
я бы удалил всё лишнее для верности
Evgeniy04.10.2017
10:25:08
10:25:08
например что?
crypto isakmp profile RUH2-isapr
keyring default
self-identity address
match identity user-fqdn test1.local
local-address GigabitEthernet0/0
Pavel04.10.2017
10:27:47
10:27:47
так этот isakmp профайл относится же к dynamic-map RUH2-dyncm, а на интерфейсе висит RUH2-statcm, не?
Evgeniy04.10.2017
10:28:26
10:28:26
так этот isakmp профайл относится же к dynamic-map RUH2-dyncm, а на интерфейсе висит RUH2-statcm, не?
а как на интерфейс повесить динамическую крипто-мапу?только через статическую
Pavel04.10.2017
10:28:52
10:28:52
хз, честно говоря не имел с динамическими мапами дело, поэтому не буду здесь умничать
Anton04.10.2017
10:33:27
10:33:27
а в чём проблема?
Открыть в Telegram