Добрый день, коллеги.
Поставлена интересная задача построения тоннеля между Vyatta и Cisco ASA Используя разные алгоритмы шифрования.
со стороны Vyatta
Код:
esp-group VPN1 {
compression disable
lifetime 3600
mode tunnel
pfs dh-group2
proposal 1 {
encryption aes256
hash sha1
}
}
ike-group VPN1 {
key-exchange ikev1
lifetime 86400
proposal 1 {
dh-group 2
encryption 3des
hash md5
}
}
site-to-site {
peer 4.4.4.4 {
authentication {
mode pre-shared-secret
pre-shared-secret ****************
}
connection-type initiate
ike-group VPN1
ikev2-reauth inherit
local-address 3.3.3.3
tunnel 1 {
allow-nat-networks disable
allow-public-networks disable
esp-group VPN1
local {
prefix 192.168.1.1/32
}
remote {
prefix 192.168.2.2/32
}
}
}
конфигурация на ASA 5515-X
Код:
( PHASE 1 )
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ipsec ikev1 transform-set ESPAES256 esp-aes-256 esp-sha-hmac
( PHASE 2 )
crypto map remoute_map 20 match address asa-router-vpn
crypto map remoute_map 20 set peer 3.3.3.3
crypto map remoute_map 20 set ikev1 transform-set ESPAES256
crypto map remoute_map 20 set pfs group2
crypto map remoute_map 20 set nat-t-disable
crypto map remoute_map 20 set security-association lifetime seconds 3600
crypto map remoute_map 20 set security-association lifetime kilobytes 4608000
crypto map fujisu_map interface outside
В логах видно что тоннель на первой фазе соединяется, а вот вторая фаза не поднимается.
Корректны ли данные настройки для такого типа соединения?
Для инициации построения второй фазы запущены пинги с конечного устройства
с той стороной связи нет
В логах видно следующее:
[IKEv1]IP = 3.3.3.3, Received encrypted packet with no matching SA, dropping