Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 17:10



Ответить на тему  [ Сообщений: 5 ] 
Не могу поднять ikev2 site to site 
Автор Сообщение

Зарегистрирован: 09 апр 2021, 13:37
Сообщения: 5
Можете помочь разобраться с ikev2 site to site. Не поднимается vpn.

Имеется следующая схема:
Изображение

Конфиг ASA1
Конфиг ASA2

Делал вот по этому видео у автора работает а у меня нет.
Вроде пинг с asa2 на asa1 есть но vpn не поднимается, пакетов ipsec при захвате трафика тоже нету. sh crypto ikev2 sa тоже не чего не выводит.
В логах тоже ничего нет.


22 авг 2021, 16:59
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
XNeon писал(а):
Можете помочь разобраться с ikev2 site to site. Не поднимается vpn.

Имеется следующая схема:
Изображение

Конфиг ASA1
Конфиг ASA2

Делал вот по этому видео у автора работает а у меня нет.
Вроде пинг с asa2 на asa1 есть но vpn не поднимается, пакетов ipsec при захвате трафика тоже нету. sh crypto ikev2 sa тоже не чего не выводит.
В логах тоже ничего нет.





Делай на VTI:

Код:
ASA 9.9.2 VTI + IKEv2 + BGP + 2ISP + SLA
ASAv-30# more system:running-config
!
ASA Version 9.9(2)
!
hostname ASAv-30
enable password xxx
names
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.20.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 30.30.30.1 255.255.255.0
!
interface GigabitEthernet0/2
nameif outside2
security-level 0
ip address 40.40.40.1 255.255.255.0
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
interface Tunnel1030
nameif vti1030
ip address 172.16.10.2 255.255.255.252
tunnel source interface outside
tunnel destination 10.10.10.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!
interface Tunnel2040
nameif vti2040
ip address 172.16.20.2 255.255.255.252
tunnel source interface outside2
tunnel destination 20.20.20.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!
ftp mode passive
pager lines 23
mtu inside 1500
mtu outside 1500
mtu outside2 1500
no failover
no monitor-interface service-module
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 16384
!
prefix-list LAN seq 10 permit 192.168.20.0/24
!
route-map PREP permit 10
match ip address prefix-list LAN
set as-path prepend 64502
!
router bgp 64502
bgp log-neighbor-changes
bgp graceful-restart
address-family ipv4 unicast
neighbor 172.16.10.1 remote-as 64501
neighbor 172.16.10.1 timers 20 60
neighbor 172.16.10.1 activate
neighbor 172.16.10.1 next-hop-self
neighbor 172.16.20.1 remote-as 64501
neighbor 172.16.20.1 activate
neighbor 172.16.20.1 next-hop-self
neighbor 172.16.20.1 route-map PREP out
network 192.168.20.0
maximum-paths 2
no auto-summary
no synchronization
exit-address-family
!
route outside 0.0.0.0 0.0.0.0 30.30.30.2 1
route outside2 20.20.20.0 255.255.255.0 40.40.40.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
user-identity default-domain LOCAL
aaa authentication login-history
no snmp-server location
no snmp-server contact
sysopt connection tcpmss 1350
sysopt connection preserve-vpn-flows
crypto ipsec ikev2 ipsec-proposal TSET
protocol esp encryption aes-256 aes-192
protocol esp integrity sha-512 sha-384 sha-256
crypto ipsec profile IPSEC_PROFILE
set ikev2 ipsec-proposal TSET
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint _SmartCallHome_ServerCA
no validation-usage
crl configure
crypto ca trustpool policy
auto-import
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 513fb9743870b73440418d30930699ff
30820538 30820420 a0030201 02021051 3fb97438 70b73440 418d3093 0699ff30 …
a0226389 f1ba0f6f 2963662d 3fac8c72 c5fbc7e4 d40ff23b 4f8c29c7
quit
crypto ikev2 policy 10
encryption aes-256
integrity sha512 sha384
group 19 14
prf sha512 sha384
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev2 enable outside2
telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
console serial
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy 10.10.10.1 internal
group-policy 10.10.10.1 attributes
vpn-idle-timeout none
vpn-tunnel-protocol ikev2
group-policy 20.20.20.1 internal
group-policy 20.20.20.1 attributes
vpn-idle-timeout none
vpn-tunnel-protocol ikev2
dynamic-access-policy-record DfltAccessPolicy
tunnel-group 10.10.10.1 type ipsec-l2l
tunnel-group 10.10.10.1 general-attributes
default-group-policy 10.10.10.1
tunnel-group 10.10.10.1 ipsec-attributes
ikev2 remote-authentication pre-shared-key asav991
ikev2 local-authentication pre-shared-key asav991
tunnel-group 20.20.20.1 type ipsec-l2l
tunnel-group 20.20.20.1 general-attributes
default-group-policy 20.20.20.1
tunnel-group 20.20.20.1 ipsec-attributes
ikev2 remote-authentication pre-shared-key asav991
ikev2 local-authentication pre-shared-key asav991
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
policy-map type inspect dns migrated_dns_map_2
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
profile License
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination transport-method http
Cryptochecksum:cccd18bb0783bf6f39adc0ed49a8ecc8
: end
ASAv-30#


Вложения:
Screenshot_4.jpg
Screenshot_4.jpg [ 111.04 КБ | Просмотров: 3976 ]
23 авг 2021, 10:58
Профиль ICQ

Зарегистрирован: 09 апр 2021, 13:37
Сообщения: 5
А если у ASA которая подключается как клиент измениться ip, схема с vti будет работать?


23 авг 2021, 11:51
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
XNeon писал(а):
Делал вот по этому TikTok

Феерично!

А (RTFM) почитать документацию вендора идея не приходила?
У Cisco этого добра (Configuration Guides, Design Guides, etc., просто доков по разным фичам с примерами) - немеряно.
Плюс большой архив наглядных презентаций с Cisco Live! (> 6000 sessions).
https://www.ciscolive.com/global/on-dem ... ary.html#/

Или способность воспринимать текст, объемом более пары предложений на олбанском,
- это уже утраченная способность в современной цивилизации? :-)

XNeon писал(а):
А если у ASA которая подключается как клиент измениться ip, схема с vti будет работать?

"Клиент" - это термин из схемы User Remote Access (RA).

В топологии Site-to-Site используется схема Hub-and-Spoke.
Hub - это центральный узел (узлы), на статических адресах.
А Spoke - это удаленные сайты (филиалы), которые могут быть и на динамических адресах.
Если их немного, то можно использовать Tunnel-и с Virtual-Template type tunnel.
А если много, или нужны фичи типа Dynamic Tunnels Spoke-to-Spoke - то DMVPN.
Ну и динамическая маршрутизация, и там, и там.

_________________
Knowledge is Power


31 авг 2021, 23:55
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
ASA and IOS Crypto VPN’s - comparison and operational choices
https://www.ciscolive.com/c/dam/r/cisco ... C-2338.pdf

Тут IOS, но идея должна быть понятна (ну и сейчас уже модно IKEv2, суть та же, только profile будет другой):

Cisco IOS IKEv1 VPN with Dynamic VTI with Pre-shared Keys
https://grumpy-networkers-journal.readt ... C_VTI.html

Правда вот тут пишут, что в ASA засада:

I am trying to find examples, if possible at all, of a Cisco ASA (with static IP)
doing Dynamic VTI tunnel with Cisco Router (dynamic IP).
Is this possible or does the ASA only support static to static?

The ASA only supports a static VTI.
The Сisco router (IOS) does support static and dynamic VTI.

https://community.cisco.com/t5/vpn/asa- ... -p/4397204

ASA Virtual Tunnel Interface
_https://www.cisco.com/c/en/us/td/docs/security/asa/asa97/configuration/vpn/asa-97-vpn-config/vpn-vti.pdf

_________________
Knowledge is Power


01 сен 2021, 01:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 96


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB