|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - ISA 2004 не хочет дружить с cisco 851 через IPsec |
|
|||||
|
|
Cisco - ISA 2004 не хочет дружить с cisco 851 через IPsec
|
Пользователь Сообщения: 98 |
Имеем
Cisco 851 и isa 2004 (ИМХО косяк в исе) Туннель. Работает с циски пингую локальный адрес ISA, но не пингую дальше. Из сети за циско не пингую вообще ничего. Из сети за ISA пинги не идут, а с сервака на котором стоит ISA дело обстоит так: Код Превышен интервал ожидания для запроса. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. ....... Согласование используемого уровня безопастности IP. Кто нить сталкивался? Статус туннеля в циске гласит что тунель is OK. Что может значяить это согласование |
|
|
------- Отправлено: 20:03, 25-10-2007 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Gudy,
1) Есть схема сети - есть предметный разговор 2 Ознакомтесь с нашим типовым опросником http://forum.oszone.net/announcement-31-75.html |
|
------- Отправлено: 08:22, 26-10-2007 | #2 |
|
Пользователь Сообщения: 98
|
Профиль | Сайт | Отправить PM | Цитировать Вот схема.
Нарисовал как умею, если понятно перерисую. Итак излагаю. Делаю туннель от Cisco до ISA. Далее имеем: Из сети 10.0.0.0 /24 Пингую только ISA, и НЕ пингую НИЧЕГО за ней. Из сети 192.168.168.0/24 Не пингую сеть 10.0.0.0/24 С ISA "пингую" только 10.0.0.1 (Cisco) но при это получаю: Код:
 Превышен интервал ожидания для запроса. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. Согласование используемого уровня безопастности IP. ....... Согласование используемого уровня безопастности IP. Заранее спасибо. |
|
------- Отправлено: 12:06, 26-10-2007 | #3 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Gudy,
ipconfig /all для сервера с ISA приведите show run для cisco приведите |
|
------- Отправлено: 12:14, 26-10-2007 | #4 |
|
Ветеран Сообщения: 666
|
Профиль | Отправить PM | Цитировать Пингуются ли подсети, т.е. с клиента одной подсети пустить пинг на клиент другой подсети
а. если пинг идет. Значит в настройках ИСЫ нужно в ВПН тунеле указать оба адресных пространства для удаленной сети, например: -192.168.0.0 192.168.0.255 -87.87.87.87 87.87.87.87 б. если пинг не идет, значит не верно указаны настройки протоколов для VPN |
|
|
------- Отправлено: 15:51, 26-10-2007 | #5 |
|
Пользователь Сообщения: 98
|
Профиль | Сайт | Отправить PM | Цитировать Cisco:
crypto isakmp policy 1 authentication pre-share group 2 lifetime 28800 crypto isakmp key КЛЮЧЕВОЕ СЛОВО address ВНЕШНИЙ АДРЕС ISA no-xauth ! crypto ipsec transform-set set1 esp-3des esp-sha-hmac mode transport ! crypto map map1 1 ipsec-isakmp description test tunnel set peer ВНЕШНИЙ АДРЕС ISA set transform-set set1 match address 144 ! interface FastEthernet4 ..... crypto map map1 ! access-list 144 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255 ! !чтобы трафик адресованный в тонель не натился: ! access-list 115 permit ip 10.0.0.0 0.0.0.255 any access-list 115 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255 route-map mainroute permit 1 match ip address 115 Теперь с ISA Vpn>>Remote Site>>Add Genrela: имя: test1 Address: start address: 10.0.0.1 end address: 10.0.0.255 Connection: remote gateway Внешний адрес cisco local gateway Внутренний адрес ISA аутентификация pre-share IpSec Summary: Local Tunnel Endpoint: 192.168.0.167 Remote Tunnel Endpoint: 89.*.*.67 (внешний циски) To allow HTTP proxy or NAT traffic to the remote site, the remote site configuration must contain the local site tunnel end-point IP address. IKE Phase I Parameters: Mode: Main mode Encryption: 3DES Integrity: SHA1 Diffie-Hellman group: Group 2 (1024 bit) Authentication method: Pre-shared secret (СЛОВО) Security Association lifetime: 28800 seconds IKE Phase II Parameters: Mode: ESP tunnel mode Encryption: 3DES Integrity: SHA1 Perfect Forward Secrecy: ON Diffie-Hellman group: Group 2 (1024 bit) Time rekeying: OFF Kbyte rekeying: OFF Remote Network 'plg' IP Subnets: Subnet: 10.0.0.0/255.255.255.0 Local Network 'Internal' IP Subnets: Subnet: 192.168.0.0/255.255.255.0 Local Network 'VPN Clients' IP Subnets: Subnet: 192.168.1.220/255.255.255.255 Subnet: 192.168.1.216/255.255.255.252 Subnet: 192.168.1.200/255.255.255.248 Subnet: 192.168.1.208/255.255.255.248 Далее в NetWorks Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24) Не пашет. Вообще не пашет. никак не пашет. |
|
------- Отправлено: 14:24, 30-10-2007 | #6 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Gudy,
Вы понимаете что для нормальной работы у вас должна функционировать маршрутизация на обоих гейтах? Т. е. - на cisco должен быть маршрут типа 192.168.168.0 255.255.255.0 _виртуальный_интерфейс_ISA - на ISA должен быть маршрут 10.0.00 mask 255.255.255.0 _виртуальный_интерфейс_cisco ----------------------------- еще раз повторяю ipconfig /all для сервера с ISA приведите route print для сервера с ISA приведите show run - для cisco приведите ------------- Меня интересуют: - виртуальные интерфейсы внутри тунеля - таблица маршрутизации т.к. судя по Цитата Gudy:
ЗЫ. Проверка правильности маршрутизации такова. Как только ISA пропингует (лучше использовать tracert) интерфейс Cisco в локальной сети, а cisco, в свою очередь пропингует интерфейс ISA в ее локальной сети - то все заработало. Единственное на клиентах могут быть не прописаны шлюзы по умолчанию или прописаны не те. |
|
|
------- Отправлено: 15:23, 30-10-2007 | #7 |
|
Пользователь Сообщения: 98
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
А можно на ты? Цитата:
Я наверно даже перефразирую вопрос свой: Кто нить может мне объяснить как это делается? Между Cisco И Cisco я туннели уже поднимал и поднимать умею, но вот между циской и ИСой не получается, хотя бы потому что я не могу создать в исе виртуальный интерфейс. Наверно я туплю есть где нить мануал? C:\Documents and Settings\Administrator>route print IPv4 таблица маршрута =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 89.xx.xx.1 89.xx.xx.66 20 89.xx.xx.0 255.255.255.0 89.xx.xx.66 89.xx.xx.66 20 89.xx.xx.66 255.255.255.255 127.0.0.1 127.0.0.1 20 89.255.255.255 255.255.255.255 89.xx.xx.66 89.xx.xx.66 20 90.154.0.196 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20 91.76.226.240 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.167 192.168.0.167 20 192.168.0.16 255.255.255.255 192.168.0.22 192.168.0.22 1 192.168.0.17 255.255.255.255 192.168.0.22 192.168.0.22 1 192.168.0.18 255.255.255.255 192.168.0.22 192.168.0.22 1 192.168.0.19 255.255.255.255 192.168.0.22 192.168.0.22 1 192.168.0.22 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.0.167 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.255 255.255.255.255 192.168.0.167 192.168.0.167 20 213.171.43.155 255.255.255.255 89.xx.xx.1 89.xx.xx.66 20 224.0.0.0 240.0.0.0 89.xx.xx.66 89.xx.xx.66 20 224.0.0.0 240.0.0.0 192.168.0.167 192.168.0.167 20 255.255.255.255 255.255.255.255 89.xx.xx.66 89.xx.xx.66 1 255.255.255.255 255.255.255.255 192.168.0.167 192.168.0.167 1 Основной шлюз: 89.xx.xx.1 =========================================================================== Постоянные маршруты: Отсутствует C:\Documents and Settings\Administrator>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : ********** Основной DNS-суффикс . . . . . . : ****.local Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Порядок просмотра суффиксов DNS . : ****.local LAN - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC Физический адрес. . . . . . . . . : 80-0D-67-90-58-FD DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.167 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 192.168.0.1 192.168.0.2 WAN - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2 Физический адрес. . . . . . . . . : 00-B0-48-F7-5D-28 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 89.xx.xx.66 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 89.xx.xx.1 DNS-серверы . . . . . . . . . . . : 89.xx.xx.254 89.xx.xx.254 NetBIOS через TCP/IP. . . . . . . : отключен Интерфейс RAS-сервера - PPP адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-a0-80-20 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.22 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : |
|||
|
------- Отправлено: 15:58, 31-10-2007 | #8 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать 1)
Цитата Gudy:
VPN интерфейс должен быть PPP-по идее. 2) Я ISA-не пользовался, ибо извращение это. может ему требуется запущенная служба Маршрутизации и RAS? Для cisco список активных интерфейсов приведи show int если мне память не изменяет |
|
|
------- Последний раз редактировалось kim-aa, 31-10-2007 в 16:35. Причина: На "ты" -по просьбе :) Отправлено: 16:32, 31-10-2007 | #9 |
|
Пользователь Сообщения: 98
|
Профиль | Сайт | Отправить PM | Цитировать На самом деле это и правда странный интерфейс.
Его нету негде, но у него странная маска. router#show interfaces FastEthernet0 is up, line protocol is up Hardware is Fast Ethernet, address is 0017.94f2.b539 (bia 0017.94f2.b539) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input 1w0d, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 12000 bits/sec, 9 packets/sec 5 minute output rate 62000 bits/sec, 13 packets/sec 7238953 packets input, 1853133011 bytes, 0 no buffer Received 152656 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 7131350 packets output, 3831338997 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet1 is up, line protocol is down Hardware is Fast Ethernet, address is 0017.94f2.b53a (bia 0017.94f2.b53a) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet2 is up, line protocol is down Hardware is Fast Ethernet, address is 0017.94f2.b53b (bia 0017.94f2.b53b) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet3 is up, line protocol is down Hardware is Fast Ethernet, address is 0017.94f2.b53c (bia 0017.94f2.b53c) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet4 is up, line protocol is up Hardware is PQUICC_FEC, address is 0017.94f2.b543 (bia 0017.94f2.b543) Internet address is 89.xx.xx.67/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:02, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 0/75/39/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 57000 bits/sec, 8 packets/sec 5 minute output rate 8000 bits/sec, 7 packets/sec 7210773 packets input, 3803601989 bytes Received 410213 broadcasts, 0 runts, 0 giants, 38 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 7082208 packets output, 1784932403 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 0017.94f2.b539 (bia 0017.94f2.b539) Internet address is 10.0.0.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 10000 bits/sec, 11 packets/sec 5 minute output rate 56000 bits/sec, 11 packets/sec 7238494 packets input, 1824091161 bytes, 0 no buffer Received 153404 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 6810700 packets output, 3769792535 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out NVI0 is up, line protocol is up Hardware is NVI MTU 1514 bytes, BW 10000000 Kbit, DLY 0 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation UNKNOWN, loopback not set Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out |
|
------- Отправлено: 17:05, 31-10-2007 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Cisco - Cisco - ipsec vpn - ISA | Aleksey Potapov | Сетевое оборудование | 15 | 27-10-2009 13:16 | |
| Доступ к Mysql через ISA 2004 | ZAAB | ISA Server / Microsoft Forefront TMG | 2 | 12-06-2009 20:30 | |
| Cisco - Cisco 851 - проблема с паролем | Облезлый кот | Сетевое оборудование | 0 | 09-10-2008 18:35 | |
| Cisco - PPTP Server on Cisco 851 | Gudy | Сетевое оборудование | 5 | 07-06-2008 00:11 | |
| Cisco - Cisco 851 | Anderchek | Сетевое оборудование | 0 | 06-04-2008 15:56 | |
|
|
Время: 00:03. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
