IPSEC VPN проблема

From

Alekseev Aleksey (2:5020/400)

To

Alex Trokhin (2:5054/37.63)

Date

2005-04-07T20:28:28Z

Area

RU.CISCO

From: "Alekseev Aleksey" <A.Alekseev@chatcom.cjb.net>

Thu Apr 07 2005 20:42, Alex Trokhin wrote to All:

 AT> From: "Alex Trokhin" <avt@appm.ru>

 AT> Hello, All!

 AT> железка 3662.
 AT> Стоит на ней 12.2(2)T4 IPSEC 3DES
 AT> Поднимаю VPN до другой кошки. Делаю как по учебнику.
 AT> Две приватные сети соединяю через Inet.
 AT> access-list ловит нужный траффик, поднимает туннель c внешнего интерфейса
 AT> (tunnel mode).
 AT> Статистика есть по ESP sh cry ipsec sa. Все нормально.
 AT> Но при этом пинги не ходят. Смотрю исходящий интерфейс (на котором crypto
 AT> map прикручен), а там исходящий access-list блокирует пакеты из моей
 AT> приватной сети в другую приватную сеть. Которые ломятся напрямую через
 AT> интерфейс.

 AT> Apr  6 21:31:01 cisco 5500: *Mar  1 05:11:38 MSK: %SEC-6-IPACCESSLOGDP:
 AT> list 122
 AT> denied icmp 10.0.0.25 -> 172.16.100.100 (8/0), 4 packets
 AT> При этом не идет обмен по ESP.

 AT> Собирал на стенде похожую схему на 2-х 1760. Была такая же ситуация.
 AT> Листы
 AT> на внешних интерфейсах резали пакеты с приватными src и dst. Убил конфиги
 AT> на обеих рутерах и заново все скофигурил - заработало как надо. Только
 AT> ESP
 AT> бегал между рутерами, приватные адреса не ломились наружу из кошек, а
 AT> инкапсулировались в VPN.

 AT> crypto isakmp policy 11
 AT> encr 3des
 AT> hash md5
 AT> authentication pre-share
 AT> group 2
 AT> lifetime 7200
 AT> crypto isakmp key address aaa.aaa.aaa.aaa

 AT> crypto ipsec transform-set  transformset esp-3des esp-md5-hmac

 AT> crypto map vpnmap 100 ipsec-isakmp
 AT> set peer aaa.aaa.aaa.aaa
 AT> set transform-set transformset
 AT> match address 104

 AT> interface FastEthernet3/0
 AT> description Internet Service Provider con
 AT> ip address bbb.bbb.bbb.bbb 255.255.255.252
 AT> ip access-group 121 in
 AT> ip access-group 122 out
 AT> no ip proxy-arp
 AT> ip nat outside
 AT> no ip mroute-cache
 AT> duplex auto
 AT> speed auto
 AT> no cdp enable
 AT> crypto map vpnmap

 AT> access-list 121 permit udp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb eq
 AT> isakmp log
 AT> access-list 121 permit ahp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb log
 AT> access-list 121 permit esp host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb log
 AT> access-list 122 deny   ip 10.0.0.0 0.255.255.255 any (этот ловит)
 AT> access-list 104 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255

 AT> Открыл в "наружных" листах дырки для приватных адресов - все забегало и
 AT> именно через туннель.

 AT> Мне вот интересно, это баг какой и сталкивался кто с этим? Или все таки
 AT> руки?
'это фича такая
ip access-group 121 in проверяется два раза,
до и после расшифрования..

ВОЛКА

--- ifmail v.2.15dev5.3
 * Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
SEEN-BY: 46/50 50/203 520 400/814 450/159 186 247 1024 451/30 457/64 461/43
SEEN-BY: 461/640 465/11 469/999 4625/8 4626/6 4627/10 5000/76 5000 5001/5001
SEEN-BY: 5002/79 5003/19 5006/1 5007/1 5010/70 5011/13 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 175 400 545 639 715 758 937 1042 1057 1523 1604 1630 1909
SEEN-BY: 5020/1922 2020 2238 4441 8383 5021/29 5022/128 5025/3 750 5026/14 45
SEEN-BY: 5026/49 5027/16 5030/115 473 500 966 1063 1900 5031/70 5036/1 34
SEEN-BY: 5042/13 5047/43 5049/1 36 5051/15 5054/1 4 8 9 18 28 30 35 36 37 67
SEEN-BY: 5054/72 81 5057/1 5060/88 5061/15 5062/1 10 5063/3 5066/18 5069/7
SEEN-BY: 5070/1222 5075/5 35 5080/80 1003 5081/2 5082/6 5083/21 5085/13
SEEN-BY: 5090/108 5093/57 5095/20 5096/18 5099/4 6000/12 254 6001/3 6009/1
SEEN-BY: 6096/10

PATH: 5020/400 4441 545 5054/1 37