Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 12:34



Ответить на тему  [ 1 сообщение ] 
Vyatta to cisco ASA 
Автор Сообщение

Зарегистрирован: 08 ноя 2017, 17:36
Сообщения: 1
Добрый день, коллеги.
Поставлена интересная задача построения тоннеля между Vyatta и Cisco ASA Используя разные алгоритмы шифрования.
со стороны Vyatta
Код:
 esp-group VPN1 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs dh-group2
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }
        ike-group VPN1 {
            key-exchange ikev1
            lifetime 86400
            proposal 1 {
                dh-group 2
                encryption 3des
                hash md5
            }
        }
        site-to-site {
            peer 4.4.4.4 {               
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
                connection-type initiate
                ike-group VPN1
                ikev2-reauth inherit
                local-address 3.3.3.3     
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group VPN1
                    local {
                        prefix 192.168.1.1/32   
                    }
                    remote {
                        prefix 192.168.2.2/32   
                    }
                }
            }
 

конфигурация на ASA 5515-X
Код:
( PHASE 1 )
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400

crypto ipsec ikev1 transform-set ESPAES256 esp-aes-256 esp-sha-hmac
( PHASE 2 )
crypto map remoute_map 20 match address asa-router-vpn
crypto map remoute_map 20 set peer 3.3.3.3
crypto map remoute_map 20 set ikev1 transform-set ESPAES256
crypto map remoute_map 20 set pfs group2
crypto map remoute_map 20 set nat-t-disable
crypto map remoute_map 20 set security-association lifetime seconds 3600
crypto map remoute_map 20 set security-association lifetime kilobytes 4608000
crypto map fujisu_map interface outside

В логах видно что тоннель на первой фазе соединяется, а вот вторая фаза не поднимается.
Корректны ли данные настройки для такого типа соединения?
Для инициации построения второй фазы запущены пинги с конечного устройства
с той стороной связи нет :lol:
В логах видно следующее:
[IKEv1]IP = 3.3.3.3, Received encrypted packet with no matching SA, dropping


09 ноя 2017, 13:29
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ 1 сообщение ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 75


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB