Я пытаюсь настроить туннель ipsec между ASA 5505 и Juniper ssg5. Туннель запущен и работает, но я не могу получить через него никаких данных.
Моя локальная сеть - 172.16.1.0, а удаленная - 192.168.70.0. Но я ничего не могу пинговать в их сети. Я получаю сообщение «Phase 2 OK», когда настраиваю ipsec.
Я думаю, что это применимая часть конфига. Похоже, что данные не проходят через туннель, но я не уверен ...
object network our-network
subnet 172.16.1.0 255.255.255.0
object network their-network
subnet 192.168.70.0 255.255.255.0
access-list outside_cryptomap extended permit ip object our-network object their-network
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer THEIR_IP
crypto map outside_map 1 set ikev1 phase1-mode aggressive
crypto map outside_map 1 set ikev1 transform-set ESP-3DES-MD5
crypto map outside_map 1 set ikev2 pre-shared-key *****
crypto map outside_map 1 set reverse-route
crypto map outside_map interface outside
webvpn
group-policy GroupPolicy_THEIR_IP internal
group-policy GroupPolicy_THEIR_IP attributes
vpn-filter value outside_cryptomap
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1
tunnel-group THEIR_IP type ipsec-l2l
tunnel-group THEIR_IP general-attributes
default-group-policy GroupPolicy_THEIR_IP
tunnel-group THEIR_IP ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
Tihis - это результат трассировки пакетов. Я использую свой ip как источник, их брандмауэр как место назначения и IP с протоколом 0 на интерфейсе НАШ
ROUTE-LOOKUP
Type -ROUTE-LOOKUP Action -ALLOW
Info
in 0.0.0.0 0.0.0.0 outsied
IT-OPTIONS
Type -IP-OPtions Action -ALLOW
NAT
Tyope -NAT Action -DROP Show rule in NAT Rules table.
Config
object network obj_any
nat (any,outside) dynamic interface
RESULT - The packet is dropped
Input Interface: OUR
Output Interface:outside
Info: (acl-drop) Flow is denied by configured rule
На первый взгляд ваша конфигурация выглядит разумной, хотя я не вижу необходимости в обратном маршруте. Вы забыли добавить политику isakmp, которая начинается с «крипто-политики isakmp», хотя переход на Фазу 2, очевидно, означает завершение Фазы 1.
1) Вы позволяете ему обходить обычный ACL (по config: sysopt connection permission-vpn)?
2) А можно сделать трассировщик пакетов и наклеить результат?
Итак, мне нужно было исправить две вещи:
1) UN-NAT трафик, проходящий через туннель nat (any,any) source static their-network their-network no-proxy-arp
2) Обновите ACL, чтобы он пошел в обе стороны:
access-list outside_cryptomap extended permit ip object our-network object their-network
access-list outside_cryptomap extended permit ip object their-network object our-network
Теперь все работает нормально.