Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 19:41



Ответить на тему  [ Сообщений: 13 ] 
IPSec GRE Cisco <-> Huawei 
Автор Сообщение

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Доброго дня камрады. Что-то уже мозг слегка по швам трещит.
Коротко идея, удаленный роутер держит 2 туннеля GRE over ipsec в разных vrf (основного и бэкапного интерфейса) с loopback'ами роутеров.
Пока убился об бэкапный.
В качестве спока - huawei-AR, в качестве хаба cisco ISR.

Имеется такой конфиг:
Спок:
#
ike proposal 10
encryption-algorithm aes-cbc-128
dh group2
authentication-algorithm sha2-256
sa duration 36600
prf hmac-sha2-256
#
ike peer dc02-isr2-bckp v1
pre-shared-key simple XXXXXX
ike-proposal 10
local-address 172.30.99.1
#
#
ipsec proposal HUAWEI-TO-ISR
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ipsec profile TO-ISR-BCKP
ike-peer dc02-isr2-bckp
proposal HUAWEI-TO-ISR
#
#
interface Tunnel0/0/10
ip address 172.30.98.254 255.255.255.252
tunnel-protocol ipsec
source Cellular0/0/0
destination vpn-instance ISP-Backup *Loopback IP*
tunnel pathmtu enable
ipsec profile TO-ISR-BCKP
#

Хаб:
crypto isakmp policy 10
encr aes
hash sha256
authentication pre-share
group 2
lifetime 36600
crypto isakmp key ХХХХХХ address 172.30.99.1
crypto isakmp invalid-spi-recovery
crypto ipsec transform-set HUAWEI-AR-IPSEC esp-aes esp-sha256-hmac
mode tunnel
crypto ipsec profile HUAWEI-AR-IPSEC
set transform-set HUAWEI-AR-IPSEC

!
interface Tunnel10
description vpn-4g
vrf forwarding localnet
ip address 172.30.98.253 255.255.255.252
tunnel source *Loopback IP*
tunnel mode ipsec ipv4
tunnel destination 172.30.99.1
tunnel protection ipsec profile HUAWEI-AR-IPSEC
end

Ситуация на данный момент. Стартует ike/isakmp, поднимаются 2 сессии для inbound и outbound, потом отмирает сессия от cisco в сторону huawei. Соответственно остается только 1 ike/isakmp sa в phase2. И только 1 ipsec sa которая от huawei в сторону cisco.
Подозреваю, что дело может быть в использовании Loopback со стороны циски. Остальные подозрения пока в рассмотрение не беру. Смущают proxy match, но видимо глаз замылился и уже не вижу корня проблемы.
Кусок дебага с циски в аттаче


Вложения:
debug.txt [14.32 КБ]
Скачиваний: 817
26 янв 2017, 14:06
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Коллеги, совсем никаких идей почему isakmp SA в одну сторону может отмирать?


29 янв 2017, 12:17
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
В какой-то степени это... продвинулось.
IKE sa и IPSec sa устанавливаются. У IPSec sa даже устанавливаются правильные spi.
Ок, идем дальше. Пакет ESP отправленный с хуавея, пролетает сквозь сеть и туннели, и долетает до ISR. Однако в счетчики ipsec sa ничего не падает.

PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

Если пустить пакеты от ISR, то счетчики #pkts encaps: #pkts encrypt: начинают расти. Однако на хуавее они попадают в Drop
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436800/2708
Inpacket count : 2
Inpacket decap count : 0
Inpacket drop count : 2
Max received sequence-number: 0

:? :cry:
Чесгря уже не могу придумать куда смотреть.


16 фев 2017, 17:22
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
а какой софт на хуавье? Я как-то тоже их пытался скрестить, вроде обе фазы поднимались, но Vti нет
времени было мало и я забил. оставил gre


16 фев 2017, 18:52
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
AR160-V200R007C00SPC900.cc
Детальный вывод если надо - гляну завтра.
VTI вроде даже поднимается, по крайней мере при попытке пнуть Tunnel интерфейс переходит в UP.


16 фев 2017, 20:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
kotofey писал(а):
interface Tunnel10
description vpn-4g
vrf forwarding localnet
ip address 172.30.98.253 255.255.255.252

мне кажется что надо так -
Код:
]interface Tunnel10
description vpn-4g
[b]no vrf forwarding localnet[/b]
tunnel vrf localnet
ip address 172.30.98.253 255.255.255.252


17 фев 2017, 12:40
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Это влияет только на внутреннюю маршрутизацию по которой пойдет трафик между концами туннеля и моей сеткой.
Но была такая мысль, поробовал - разницы нет.


17 фев 2017, 13:03
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Ситуация на данный момент.
Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer.


24 фев 2017, 16:04
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
kotofey писал(а):
Ситуация на данный момент.
Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer.


PSK тут абсолютно ни при чем, т.к. этот ключ нужен только для установления 1-ой фазы.
Authfail говорит о том, что контр. сумма ESP-пакета не соответствует его содержимому.
Попробуйте поиграться с методами шифрования IPsec (не ISAKMP).


24 фев 2017, 17:02
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
f@ntasist0 писал(а):
kotofey писал(а):
Ситуация на данный момент.
Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer.


PSK тут абсолютно ни при чем, т.к. этот ключ нужен только для установления 1-ой фазы.
Authfail говорит о том, что контр. сумма ESP-пакета не соответствует его содержимому.
Попробуйте поиграться с методами шифрования IPsec (не ISAKMP).

Вроде с обеих сторон стоит esp aes128-cbc.... Но благодарю за совет, попробую перебрать все что есть в списке.


24 фев 2017, 17:08
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Сегодня напьюсь.
sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками...
f@ntasist0
При случае, буду в Мск - поставлю пиво.


27 фев 2017, 11:36
Профиль

Зарегистрирован: 28 мар 2019, 22:17
Сообщения: 1
kotofey писал(а):
Сегодня напьюсь.
sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками...
f@ntasist0
При случае, буду в Мск - поставлю пиво.

Зарегистрировался, чтобы написать :)

В Huawei есть специальная команда, которая включает поддержку SHA2:
ipsec authentication sha2 compatible enable

Описано вот тут:
https://support.huawei.com/enterprise/e ... 1000116859


29 мар 2019, 22:52
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
ragent писал(а):
kotofey писал(а):
Сегодня напьюсь.
sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками...
f@ntasist0
При случае, буду в Мск - поставлю пиво.

Зарегистрировался, чтобы написать :)

В Huawei есть специальная команда, которая включает поддержку SHA2:
ipsec authentication sha2 compatible enable

Описано вот тут:
https://support.huawei.com/enterprise/e ... 1000116859

Спасибо мил, человек)
Жаль, что я уже года 1.5 как запустил это в том виде, и еще и работу поменял от тоски)

Вообще видимо это включение именно "узнаваемого" sha256, потому что если мне память не изменяет, то между собой эти узкоглазые суки работали без тюнинга.


30 мар 2019, 00:22
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB