|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
l2tp/ipsec asa - микротик All IPSec SA proposals found unac
Автор |
Сообщение |
qbk
Зарегистрирован: 10 окт 2016, 16:11 Сообщения: 92
|
Доброго дня. Аса 5510 (9.1) Настроил l2tp/ipsec server. С пк все норм. С этим же провайдером если подключать микротик, то микро как клиент не хочет подключаться. Подскажите плз. Конф аса Код: ! crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES256-SHA1 esp-aes-256 esp-sha-hmac ! crypto dynamic-map DYN_OUTSIDE 10000 set ikev1 transform-set ESP-AES256-SHA1_TRANS ESP-AES128-SHA1_TRANS ESP-AES256-SHA1 ! crypto map DEF_CMAP 10000 ipsec-isakmp dynamic DYN_OUTSIDE crypto map DEF_CMAP interface outside ! ! crypto ikev1 policy 1000 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 2000 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 3000 authentication pre-share encryption aes hash sha group 2 lifetime 86400 ! ! group-policy EMPLOYEES_L2TP_IPSEC internal group-policy EMPLOYEES_L2TP_IPSEC attributes dns-server value 4.2.2.2 vpn-tunnel-protocol l2tp-ipsec default-domain value popravak.com ! username sasa password uEwG7U3yQ+zmShyEXyAkEQ== nt-encrypted ! tunnel-group DefaultRAGroup general-attributes address-pool POOL1 default-group-policy EMPLOYEES_L2TP_IPSEC tunnel-group DefaultRAGroup ipsec-attributes ikev1 pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes authentication ms-chap-v2 !
В логах трабла с фазой 2 Код: %ASA-7-713225: Group = DefaultRAGroup, IP = 31.13.18.16, Static Crypto Map check, map DYN_OUTSIDE, seq = 10000 is a successful match %ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal %ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal %ASA-7-715059: Group = DefaultRAGroup, IP = 31.13.18.16, Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal %ASA-7-713066: Group = DefaultRAGroup, IP = 31.13.18.16, IKE Remote Peer configured for crypto map: DYN_OUTSIDE %ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload %ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable!
%ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message %ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing blank hash payload %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, constructing ipsec notify payload for msg id a4455782 %ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing qm hash payload %ASA-7-713236: IP = 31.13.148.16, IKE_DECODE SENDING Message (msgid=8491bd8b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 84 %ASA-3-713902: Group = DefaultRAGroup, IP = 31.13.18.16, QM FSM error (P2 struct &0xae6c87d0, mess id 0xa4455782)!
%ASA-7-715065: Group = DefaultRAGroup, IP = 31.13.18.16, IKE QM Responder FSM error history (struct &0xae6c87d0) <state>, <event>: QM_DONE, EV_ERROR-->QM_BLD_MSG2, EV_NEGO_SA-->QM_BLD_MSG2, EV_IS_REKEY-->QM_BLD_MSG2, EV_CONFIRM_SA-->QM_BLD_MSG2, EV_PROC_MSG-->QM_BLD_MSG2, EV_HASH_OK-->QM_BLD_MSG2, NullEvent-->QM_BLD_MSG2, EV_COMP_HASH %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending delete/delete with reason message %ASA-3-713902: Group = DefaultRAGroup, IP = 31.13.18.16, Removing peer from correlator table failed, no match! %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, IKE SA MM:8ade16a5 rcv'd Terminate: state MM_ACTIVE flags 0x00004042, refcnt 1, tuncnt 0 %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, Remove from IKEv1 Tunnel Table succeeded for SA with logicalId 6402048 %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, Remove from IKEv1 MIB Table succeeded for SA with logical ID 6402048 %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, IKE SA MM:8ade16a5 terminating: flags 0x01004002, refcnt 0, tuncnt 0 %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending delete/delete with reason message %ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing blank hash payload %ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing IKE delete payload %ASA-7-715046: Group = DefaultRAGroup, IP = 31.13.18.16, constructing qm hash payload %ASA-7-713236: IP = 31.13.148.16, IKE_DECODE SENDING Message (msgid=77c7b39c) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80 %ASA-6-713905: Group = DefaultRAGroup, IP = 31.13.18.16, Warning: Ignoring IKE SA (src) without VM bit set %ASA-5-713259: Group = DefaultRAGroup, IP = 31.13.18.16, Session is being torn down. Reason: Phase 2 Mismatch 31.13.18.16 - пров на микротике
|
02 фев 2018, 10:45 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
А что подсказать? В нете куча материала о подключении. Даже есть .pdf на все возможные подключения. Пробуйте. Смотрите через ADSM на что ругается ASA. Ругаться скорее всего будет на то что у нее не хватает протокола шифрования. Если не найдете, маякните. Тогда вечером выложу конфиг с Микрота. Спасибо.
|
02 фев 2018, 11:34 |
|
|
qbk
Зарегистрирован: 10 окт 2016, 16:11 Сообщения: 92
|
1) по логам аса ругается на Код: %ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload %ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable! %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message 2) мануалы по микроту что находил у меня не завелось. Буду благодарен если скинете конф.
|
02 фев 2018, 12:47 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
qbk писал(а): 1) по логам аса ругается на Код: %ASA-7-715047: Group = DefaultRAGroup, IP = 31.13.18.16, processing IPSec SA payload %ASA-5-713904: Group = DefaultRAGroup, IP = 31.13.18.16, All IPSec SA proposals found unacceptable! %ASA-7-713906: Group = DefaultRAGroup, IP = 31.13.18.16, sending notify message 2) мануалы по микроту что находил у меня не завелось. Буду благодарен если скинете конф. Вам надо что-то типа такого http://www.vionblog.com/mikrotik-to-cis ... ipsec-vpn/токо на сколько я помню, в новых версиях циски, она не правильно протоколы шифрования запихивает. По памяти не помню, гляну дома.
|
02 фев 2018, 13:13 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
У микрота надо быдло удалять/отключать дефолтные политики и шаблоны, даже если они подходили по параметрам. Когда в процессе теста пытался добиться нормально функционирования, затык был примерно в том же месте.
|
02 фев 2018, 18:07 |
|
|
qbk
Зарегистрирован: 10 окт 2016, 16:11 Сообщения: 92
|
Благодарю за поддержку Может у кого есть возможность скинет свои настройки микрота.
|
03 фев 2018, 20:19 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Бэкап где-то валялся. В понедельник поделюсь, вдруг поможет.
|
04 фев 2018, 01:26 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Гыы, забыл пароль на Микрот. Вечером буду с продакшена вынимать и крешить
|
05 фев 2018, 16:21 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Тут только примитивная ipsec часть =( Остальное неуцелело
Вложения:
ipsec.txt [1.33 КБ]
Скачиваний: 991
|
05 фев 2018, 17:03 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Сорри, за задержку. Вчера добрался до микрота. Если актуально, могу сбросить конфиги.
|
20 фев 2018, 09:17 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 60 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|