IPSEC VPN проблема

From

Alex Trokhin (2:5020/400)

To

All (2:5054/37.63)

Date

2005-04-07T19:42:12Z

Area

RU.CISCO

From: "Alex Trokhin" <avt@appm.ru>

Hello, All!

железка 3662.
Стоит на ней 12.2(2)T4 IPSEC 3DES
Поднимаю VPN до другой кошки. Делаю как по учебнику.
Две приватные сети соединяю через Inet.
access-list ловит нужный траффик, поднимает туннель c внешнего интерфейса
(tunnel mode).
Статистика есть по ESP sh cry ipsec sa. Все нормально.
Но при этом пинги не ходят. Смотрю исходящий интерфейс (на котором crypto
map прикручен), а там исходящий access-list блокирует пакеты из моей
приватной сети в другую приватную сеть. Которые ломятся напрямую через
интерфейс.

Apr  6 21:31:01 cisco 5500: *Mar  1 05:11:38 MSK: %SEC-6-IPACCESSLOGDP: list
122
denied icmp 10.0.0.25 -> 172.16.100.100 (8/0), 4 packets
При этом не идет обмен по ESP.

Собирал на стенде похожую схему на 2-х 1760. Была такая же ситуация. Листы
на внешних интерфейсах резали пакеты с приватными src и dst. Убил конфиги на
обеих рутерах и заново все скофигурил - заработало как надо. Только ESP
бегал между рутерами, приватные адреса не ломились наружу из кошек, а
инкапсулировались в VPN.


crypto isakmp policy 11
encr 3des
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key address aaa.aaa.aaa.aaa

crypto ipsec transform-set  transformset esp-3des esp-md5-hmac

crypto map vpnmap 100 ipsec-isakmp
set peer aaa.aaa.aaa.aaa
set transform-set transformset
match address 104

interface FastEthernet3/0
description Internet Service Provider con
ip address bbb.bbb.bbb.bbb 255.255.255.252
ip access-group 121 in
ip access-group 122 out
no ip proxy-arp
ip nat outside
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map vpnmap

access-list 121 permit udp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb eq
isakmp log
access-list 121 permit ahp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb log
access-list 121 permit esp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb log
access-list 122 deny   ip 10.0.0.0 0.255.255.255 any (этот ловит)
access-list 104 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255

Открыл в "наружных" листах дырки для приватных адресов - все забегало и
именно через туннель.

Мне вот интересно, это баг какой и сталкивался кто с этим? Или все таки
руки?


With best regards, Alex Trokhin 1695950969.  E-mail: avt@appm.ru


--- ifmail v.2.15dev5.3
 * Origin: Artelecom-Internet News Server (2:5020/400)
SEEN-BY: 46/50 50/203 520 400/814 450/159 186 247 1024 451/30 457/64 461/43
SEEN-BY: 461/640 465/11 469/999 4625/8 4626/6 4627/10 5000/76 5000 5001/5001
SEEN-BY: 5002/79 5003/19 5006/1 5007/1 5010/70 5011/13 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 175 400 545 639 715 758 937 1042 1057 1523 1604 1630 1909
SEEN-BY: 5020/1922 2020 2238 4441 8383 5021/29 5022/128 5025/3 750 5026/14 45
SEEN-BY: 5026/49 5027/16 5030/115 473 500 966 1063 1900 5031/70 5036/1 34
SEEN-BY: 5042/13 5047/43 5049/1 36 5051/15 5054/1 4 8 9 18 28 30 35 36 37 67
SEEN-BY: 5054/72 81 5057/1 5060/88 5061/15 5062/1 10 5063/3 5066/18 5069/7
SEEN-BY: 5070/1222 5075/5 35 5080/80 1003 5081/2 5082/6 5083/21 5085/13
SEEN-BY: 5090/108 5093/57 5095/20 5096/18 5099/4 6000/12 254 6001/3 6009/1
SEEN-BY: 6096/10

PATH: 5020/400 4441 545 5054/1 37