Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

- - Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010 (http://forum.oszone.net/showthread.php?t=241438)

Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010

Всем привет!
Я пытаюсь настроить ipsec site-to-site vpn между TMG 2010 и Cisco 2800 series.
И у меня не выходит ничего. Я нарыл в интернете кучу мануалов, сделал по ним, потом переделал, а оно НЕ работает. Отчаяние!
Ниже в посте куски конфиги из Циско и ТМГ. В логах windows – ничего.
Буду очень благодарен за любой совет!!

TMG site-to-site summary

Код:

Local Tunnel Endpoint: 39.59.89.91

Remote Tunnel Endpoint: 78.71.74.8

To allow HTTP proxy or NAT traffic to the remote site, 

the remote site configuration must contain the local 

site tunnel end-point IP address.



IKE Phase I Parameters:

    Mode: Main mode

    Encryption: 3DES

    Integrity: SHA1

    Diffie-Hellman group: Group 2 (1024 bit)

    Authentication Method: Pre-shared secret (Remotekeyagent)

    Security Association Lifetime: 28800 seconds





IKE Phase II Parameters:

    Mode: ESP tunnel mode

    Encryption: 3DES

    Integrity: SHA1

    Perfect Forward Secrecy: ON

    Diffie-Hellman group: Group 2 (1024 bit)

    Time Rekeying: ON

    Security Association Lifetime: 3600 seconds



    Kbyte Rekeying: OFF



Remote Network 'contoso' IP Subnets:

    Subnet: 78.71.74.8/255.255.255.255

    Subnet: 192.168.7.0/255.255.255.0



Local Network 'Internal' IP Subnets:

    Subnet: 10.10.99.0/255.255.255.0

    Subnet: 10.11.99.0/255.255.255.0



VPN Static Pool on Server 'Fabrikam_GW' IP Subnets:

    Subnet: 10.10.199.1/255.255.255.255

    Subnet: 10.10.199.150/255.255.255.255

    Subnet: 10.10.199.2/255.255.255.254

    Subnet: 10.10.199.148/255.255.255.254

    Subnet: 10.10.199.4/255.255.255.252

    Subnet: 10.10.199.144/255.255.255.252

    Subnet: 10.10.199.8/255.255.255.248

    Subnet: 10.10.199.16/255.255.255.240

    Subnet: 10.10.199.128/255.255.255.240

    Subnet: 10.10.199.32/255.255.255.224

    Subnet: 10.10.199.64/255.255.255.192



Routable Local IP Addresses:

    Subnet: 10.10.99.0/255.255.255.0

    Subnet: 10.11.99.0/255.255.255.0

Cisco debug log:

Код:

cisco2800#

Aug 27 11:56:22: IPSEC(key_engine): request timer fired: count = 1,

  (identity) local= 78.71.74.8, remote= 39.59.89.91,

    local_proxy= 78.71.74.8/255.255.255.255/0/0 (type=1),

    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4)

Aug 27 11:56:22: IPSEC(sa_request): ,

  (key eng. msg.) OUTBOUND local= 78.71.74.8, remote= 39.59.89.91,

    local_proxy= 78.71.74.8/255.255.255.255/0/0 (type=1),

    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4),

    protocol= ESP, transform= NONE  (Tunnel),

    lifedur= 3600s and 4608000kb,

    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0

Aug 27 11:56:22: ISAKMP: set new node 0 to QM_IDLE

cisco2800#

Aug 27 11:56:22: ISAKMP:(0):SA is still budding. Attached new ipsec request to it. (local 78.71.74.8, remote 39.59.89.91)

Aug 27 11:56:22: ISAKMP: Error while processing SA request: Failed to initialize SA

Aug 27 11:56:22: ISAKMP: Error while processing KMI message 0, error 2.

cisco2800#

Aug 27 11:56:25: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...

Aug 27 11:56:25: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1

Aug 27 11:56:25: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE

Aug 27 11:56:25: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE

cisco2800#

Aug 27 11:56:35: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...

Aug 27 11:56:35: ISAKMP:(0):peer does not do paranoid keepalives.



Aug 27 11:56:35: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer 39.59.89.91)

Aug 27 11:56:35: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer 39.59.89.91)

Aug 27 11:56:35: ISAKMP: Unlocking peer struct 0x4505C97C for isadb_mark_sa_deleted(), count 0

Aug 27 11:56:35: ISAKMP: Deleting peer node by peer_reap for 39.59.89.91: 4505C97C

Aug 27 11:56:35: ISAKMP:(0):deleting node 1402385507 error FALSE reason "IKE deleted"

Aug 27 11:56:35: ISAKMP:(0):deleting node 201550686 error FALSE reason "IKE deleted"

Aug 27 11:56:35: ISAKMP:(0):deleting node 1605433843 error FALSE reason "IKE deleted"

Aug 27 11:56:35: ISAKMP:(0):deleting node -1482853090 error FALSE reason "IKE deleted"

Aug 27 11:56:35: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL

Aug 27 11:56:35: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_DEST_SA



Aug 27 11:56:35: IPSEC(key_engine): got a queue event with 1 KMI message(s)

Aug 27 11:56:36: IPSEC(key_engine): request timer fired: count = 1,

  (identity) local= 78.71.74.8, remote= 39.59.89.91,

    local_proxy= 192.168.7.0/255.255.255.0/0/0 (type=4),

    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4)

Aug 27 11:56:36: IPSEC(sa_request): ,

  (key eng. msg.) OUTBOUND local= 78.71.74.8, remote= 39.59.89.91,

    local_proxy= 192.168.7.0/255.255.255.0/0/0 (type=4),

    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4),

    protocol= ESP, transform= NONE  (Tunnel),

    lifedur= 3600s and 4608000kb,

    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0

Aug 27 11:56:36: ISAKMP:(0): SA request profile is (NULL)

Aug 27 11:56:36: ISAKMP: Created a peer struct for 39.59.89.91, peer port 500

Aug 27 11:56:36: ISAKMP: New peer created peer = 0x4505C97C peer_handle = 0x8000060D

Aug 27 11:56:36: ISAKMP: Locking peer struct 0x4505C97C, refcount 1 for isakmp_initiator

Aug 27 11:56:36: ISAKMP: local port 500, remote port 500

Aug 27 11:56:36: ISAKMP: set new node 0 to QM_IDLE

Aug 27 11:56:36: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 45D78850

Aug 27 11:56:36: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.

Aug 27 11:56:36: ISAKMP:(0):found peer pre-shared key matching 39.59.89.91

Aug 27 11:56:36: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM

cisco2800#

Aug 27 11:56:36: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1



Aug 27 11:56:36: ISAKMP:(0): beginning Main Mode exchange

Aug 27 11:56:36: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE

Aug 27 11:56:36: ISAKMP (0:0): received packet from 39.59.89.91 dport 500 sport 500 Global (I) MM_NO_STATE

Aug 27 11:56:36: ISAKMP:(0):Couldn't find node: message_id 604531173

Aug 27 11:56:36: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state = IKE_I_MM1

Aug 27 11:56:36: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY

Aug 27 11:56:36: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM1



cisco2800#

Aug 27 11:56:46: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...

Aug 27 11:56:46: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1

Aug 27 11:56:46: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE

Aug 27 11:56:46: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE

Aug 27 11:56:46: ISAKMP (0:0): received packet from 39.59.89.91 dport 500 sport 500 Global (I) MM_NO_STATE

Aug 27 11:56:46: ISAKMP:(0):Couldn't find node: message_id 475017874

Aug 27 11:56:46: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state = IKE_I_MM1

Aug 27 11:56:46: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY

Aug 27 11:56:46: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM1



cisco2800#

Aug 27 11:56:46: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 39.59.89.91

sh crypto isakmp po

Код:

 

Global IKE policy

Protection suite of priority 1

        encryption algorithm:   AES - Advanced Encryption Standard (128 bit keys).

        hash algorithm:         Secure Hash Standard

        authentication method:  Pre-Shared Key

        Diffie-Hellman group:   #2 (1024 bit)

        lifetime:               86400 seconds, no volume limit

Protection suite of priority 10

        encryption algorithm:   Three key triple DES

        hash algorithm:         Message Digest 5

        authentication method:  Pre-Shared Key

        Diffie-Hellman group:   #2 (1024 bit)

        lifetime:               7200 seconds, no volume limit

Protection suite of priority 20

        encryption algorithm:   Three key triple DES

        hash algorithm:         Secure Hash Standard

        authentication method:  Pre-Shared Key

        Diffie-Hellman group:   #2 (1024 bit)

        lifetime:               28800 seconds, no volume limit

Protection suite of priority 21

        encryption algorithm:   Three key triple DES

        hash algorithm:         Secure Hash Standard

        authentication method:  Pre-Shared Key

        Diffie-Hellman group:   #2 (1024 bit)

        lifetime:               3600 seconds, no volume limit

Default protection suite

        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

        hash algorithm:         Secure Hash Standard

        authentication method:  Rivest-Shamir-Adleman Signature

        Diffie-Hellman group:   #1 (768 bit)

        lifetime:               86400 seconds, no volume limit

sh crypto map int fa0/0 (outside int)

Код:

Crypto Map "MTDcryptoMap" 10 ipsec-isakmp

        

        Peer = 91.85.63.1

        Extended IP access list mtd_tunnel

            access-list mtd_tunnel permit ip 192.168.7.0 0.0.0.255 192.168.2.0 0.0.0.255

        Current peer: 91.85.63.52

        Security association lifetime: 4608000 kilobytes/3600 seconds

        PFS (Y/N): Y

        DH group:  group2

        Transform sets={

                AES-LZW,

        }



Crypto Map "MTDcryptoMap" 20 ipsec-isakmp

        Peer = 39.59.89.91

        Extended IP access list fabrikam

            access-list itmain permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255

            access-list itmain permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91

            access-list itmain permit ip host 78.71.74.8 10.10.99.0 0.0.0.255

        Current peer: 39.59.89.91

        Security association lifetime: 4608000 kilobytes/3600 seconds

        PFS (Y/N): Y

        DH group:  group2

        Transform sets={

                fabrikam,

        }

        Interfaces using crypto map MTDcryptoMap:

                FastEthernet0/0

Parts of Cisco config

Код:

crypto isakmp policy 1

 encr aes

 authentication pre-share

 group 2

!

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

 lifetime 7200

!

crypto isakmp policy 20

 encr 3des

 authentication pre-share

 group 2

 lifetime 28800

!

crypto isakmp policy 21

 encr 3des

 authentication pre-share

 group 2

 lifetime 3600

crypto isakmp key Remotekeyagent address 39.59.89.91

crypto isakmp invalid-spi-recovery

!

!

crypto ipsec transform-set AES-LZW esp-3des esp-md5-hmac

crypto ipsec transform-set fabrikam esp-3des esp-sha-hmac

no crypto ipsec nat-transparency udp-encaps

!

crypto ipsec profile MTD

 set transform-set AES-LZW

!

crypto ipsec profile itmain

 set transform-set itmain

!

!

crypto map MTDcryptoMap 10 ipsec-isakmp

 set peer 91.85.63.52

 set peer 91.85.63.1        

 set transform-set AES-LZW

 set pfs group2

 match address mtd_tunnel

crypto map MTDcryptoMap 20 ipsec-isakmp

 set peer 39.59.89.91

 set transform-set fabrikam

 set pfs group2

 match address fabrikam

!

ip access-list extended fabrikam

 permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255

 permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91

 permit ip host 78.71.74.8 10.10.99.0 0.0.0.255

BTW
Может можно как-то иначе получить доступ к удалённым сетям? Я уже вспотел изрядно!

Цитата:

Цитата Gudy

crypto isakmp policy 21
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600 - уберите
crypto isakmp key fcnfkfdbckf address 194.58.68.1
crypto isakmp key fcnfkfdbckf address 194.58.36.25
crypto isakmp key Remotekeyagent address 93.95.98.104
crypto isakmp key Remotekeyagent address 93.95.98.195
crypto isakmp invalid-spi-recovery »

Цитата:

Цитата Gudy

crypto map MTDcryptoMap 20 ipsec-isakmp
set peer 39.59.89.91
set security-association lifetime seconds 28800
set transform-set fabrikam
set pfs group2
match address fabrikam »

Цитата:

Цитата Gudy

permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91
permit ip host 78.711.741.8 10.10.99.0 0.0.0.255 »

Пока уберите. В основных правилах есть запрещающее правило вида:
access-list <номер> deny 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
К интерфейсу crypto map привязали? Настройки сети с TMG скрины покажите.

Туннель, поднялся, но обрисовалась следующая проблема:

MAIL1>>>ISA>>>>>VPN<<<<cisco<<<<MAIL2

Проблемы
1)Если пинговать с Cisco любой адрес из сети за ISA, то пакеты уходят к провайдеру. На лицо проблема с маршрутизацией, но как её в таком случае править? Куда зарулить трафик?
2)С ISA не пингуется Cisco и вся сеть за ней
3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет.
4)Совершенно не очевидный момент. С MAIL1 пинг до MAIL 2 проходит. но трафик - нет! MTU?

Цитата:

Цитата Gudy

1)Если пинговать с Cisco любой адрес из сети за ISA, то пакеты уходят к провайдеру. На лицо проблема с маршрутизацией, но как её в таком случае править? Куда зарулить трафик? »

Для меня данная вещь не является проблеммой т.к. основная задача чтобы трафик ходил из одной подсети в другую, а не возможность пинговать с cisco хосты из другой подсети.

Цитата:

Цитата Gudy

2)С ISA не пингуется Cisco и вся сеть за ней »

А Вам это нужно?

Цитата:

Цитата Gudy

3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет. »

Странно это должно работать. До установления туннеля проблем с публикацией не было?

Цитата:

Цитата Gudy

4)Совершенно не очевидный момент. С MAIL1 пинг до MAIL 2 проходит. но трафик - нет! MTU? »

Попробуйте пропинговать пакетами большого размера и посмотрите результат. И правило на ISA было бы неплохо увидеть которое разрешает прохождение трафика между подсетями.

1) Для меня важно чтобы трафик от Cisco мог достучаться до парочки хостов за ISA(TMG)
2)Нет, вот это действительно не критичный момент, мне просто ИНТЕРЕСНО почему так происходит и как этого избежать?
3)Да. Работало, из любого другого места работает и сейчас.
4)Пропинговал. Пинги большими пакетами проходят нормально. ping 192.168.7.18 -l 23670 больше уже не проходит.

Тут ещё:
с MAIL1 доступен MAIL2 только по ВНЕШНЕМУ адресу, по внутреннему - нет.

*лицоладонь*

Снизу скрины.
Я попробовал прокинуть порты для удалённой сети отдельно - толку ноль. На скрине это есть.

Цитата:

Цитата Gudy

3)Да. Работало, из любого другого места работает и сейчас. »

Какие ACL у Вас в конфиге cisco, я думаю что в ней проблема.

Цитата:

Цитата Gudy

4)Пропинговал. Пинги большими пакетами проходят нормально. ping 192.168.7.18 -l 23670 больше уже не проходит. »

Значит не в MTU дело.

ACL который НАТ:

ACL который отбирает трафик в туннель

Цитата:

ip access-list extended fabrikam
permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255

Вот и все ACL

Цитата:

Цитата Gudy

3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет. »

ОС на серверах MAIL1 и MAIL2 какая? Вывод ipconfig /all с этих серверов покажите. Покажите вывод команды tracert <внешний ip ISA> с сервера MAIL2.

Пинг от MAIL1 to MAIL2

Код:

C:\Users\rgudkov>ping 192.168.7.18



Pinging 192.168.7.18 with 32 bytes of data:

Reply from 192.168.7.18: bytes=32 time=5ms TTL=126

Reply from 192.168.7.18: bytes=32 time=4ms TTL=126

Reply from 192.168.7.18: bytes=32 time=4ms TTL=126

Reply from 192.168.7.18: bytes=32 time=4ms TTL=126

tracert

Код:

C:\Users\gudy>tracert 192.168.7.18





Tracing route to MI-SR-MAIL-003 [192.168.7.18]

over a maximum of 30 hops:



  1    <1 ms     *       <1 ms  Itmain_GW [10.10.99.254]

  2     *        *        *     Request timed out.

  3     *        *        *     Request timed out.

  4     *        *        *     Request timed out.

  5     *        *        *     Request timed out.

  6     *        *        *     Request timed out.

  7     *        *        *     Request timed out.

  8     *        *        *     Request timed out.

  9     *        *        *     Request timed out.

 10     *        *        *     Request timed out.

 11     *        *        *     Request timed out.

 12     5 ms     5 ms     5 ms  MI-SR-MAIL-003 [192.168.7.18]



Trace complete.

от MAIL2 к MAIL1

Код:

C:\Documents and Settings\Adm1>tracert 10.10.99.4



Tracing route to MAIL [10.10.99.4]

over a maximum of 30 hops:



  1     1 ms     1 ms     1 ms  192.168.7.254

  2     *        *        *     Request timed out.

  3     4 ms     4 ms     3 ms  MAIL [10.10.99.4]



Trace complete.

Telepuzik,
У mail1 шлюз - ЕЬП
У mail2 шлюз - Cisco

Маршрут ОДИН дефолтный: всё через гейт

Трассировка от MAIL2 к MAIL1 идёт через инет и приходит на внешний адрес TMG

На текущий момент есть две актуальные проблемы:

1)Из сети за TMG пингуются ВСЕ внутренние адреса, но получить доступ хоть к какому-то сервисунереально (25, 3389, 443,80).

2)С Cisco не пингуются адреса за TMG, а мне хотелось бы чтобы они пинговались.

Из сети за CISCO всё пингуется, всё заходит, как по внутренним адресам, так и по внешним.

Из сети за TMG всё работает только, если обращаться к внешним адресам.