Автор |
Сообщение |
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Привет! А может ли существовать на одном интерфейса anyconnect и site-to-site?
|
10 апр 2019, 12:40 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Может
|
10 апр 2019, 12:42 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
А как проверить почему не поднимается сайттусайт? Что дебажить? Куда смотреть? ASA 5585-X на обеих сторонах, настраивал виззардом, авторизация - прешаред. Там вед ошибится никак не возможно )
|
10 апр 2019, 12:53 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
если стоит последний софт - проще поднять через туннель + динамика
|
10 апр 2019, 12:56 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
У меня 9.9 (2)
|
10 апр 2019, 13:10 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Классический траблшутинг IPSec, с Anyconnect оно никак не пересекается.
|
10 апр 2019, 13:11 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Очерендной дурацкий вопрос, если у меня на ASA прописан марштур типа 172.16.0.0/16 inside на однйо стороне и 172.16.0.0/16 на другой стороне, а я пытаюсь завернуть в тонель с доной сторны 172.16.100.0/24 а с другой 172.16.200.0/24 (эти сети не пересекаются) то это выглядит не правильно и публиковать маршруты на inside надо по подсетям с 24 маской?
|
10 апр 2019, 13:44 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Тогда кроме туннеля у вас варианта особо и нет, с туннелем вы можете сделать статику или динамику
Через классический ipsec в криптомап вы не завернёте эти сети так как пересекаются /16 подсети
|
10 апр 2019, 13:51 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
А зачем в crypto map по /16 вешать? IPSec с маршрутизацией не пересекаются, единственное что может смущать это возможное непопадание в S2S если /16 непосредственно на интерфейсах навешано.
|
10 апр 2019, 14:10 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Нет, конечно не на интерфейсах
|
10 апр 2019, 14:55 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Первый раз столкнулся с тем, что STS не поднимается по виззарду. Debug вообще ничего не показывает ни debug crypto ipsec ни debug crypto ikev1 ни все опции debug crypto ikev2 я прям в замешательстве
|
10 апр 2019, 15:02 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Я похожу не понимаю как устроен дебаг на ASA, это чудо чудо техники или все сыплет в консоль или ничего, но в этом всем нет ничего про IKE или ISAKMP. Что я делаю не так?
|
10 апр 2019, 15:24 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
По визарду все поднимается, по логированию нужно включить уровень и куда сыпать по умолчанию или выключено или уровень information, ikev1 также как и крипта AES256 бессмысленно использовать если есть ikev2 and AES256-GCM
P.S. и без визарда в полклика можно в соттв. вкладке всё быстро настроить
|
10 апр 2019, 15:27 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Так и я знаю, что s2s настраивается в пол пинка - но вот подиш ты - чудеса.
|
10 апр 2019, 15:33 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Вот схема. Вопрос, а должен тунель подниматься если на ASA 1 и 2 не прописаны маршруты к удаленным сетям?
Вложения:
Screenshot 2019-04-10 at 15.38.07.jpg [ 30.33 КБ | Просмотров: 9325 ]
|
10 апр 2019, 15:39 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Маршруты для S2S не нужны, там требуется попадание в ACL crypto map'а. Для начала пустите трафик на удаленную площадку, далее смотрите show crypto isakmp sa. Если сессии нет то debug crypto isakmp sa 255. Если сессия есть то show crypto ipsec sa, ну и также debug crypto ipsec 255.
|
10 апр 2019, 15:52 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Конечно там не 27 а 24
|
10 апр 2019, 15:53 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
У меня вообще нет debug crypto isakmp Есть только: 5585-X# debug crypto ? Код: ca Set PKI debug levels condition Set IPSec/ISAKMP debug filters engine Set crypto engine debug levels goid Set crypto map GOID debug levels ike-common Set IKE common debug levels ikev1 Set IKEV1 debug levels ikev2 Set IKEV2 debug levels ipsec Set IPSec debug levels ss-api Set Crypto Secure Socket API debug levels vpnclient Set EasyVPN client debug levels
|
10 апр 2019, 16:07 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Тогда debug crypto ikev1/2 255
|
10 апр 2019, 16:33 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Тишина, вообще. Даже когда вывожу статистику не меняется количество октетов отправленных и принятых.
|
10 апр 2019, 16:43 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
А АСА знает что удаленная сеть за outside?
|
10 апр 2019, 16:58 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
NAT exempt сделан вообще...
|
10 апр 2019, 17:03 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Так я же и спрашивал, обязательно ли прописывать статикой информацию, о том, что удаленные сети за оутсайт. Вы же имеете ввиду маршрутизацитю? И было озвучено, что не обязательно, nat exempt - эта настройка есть в виззарде, конечно я ее включаю )
|
10 апр 2019, 17:04 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Речь идёт об исключении сетей из под Ната с обеих сторон, зайдите в соотв. меню и проверьте есть ли у вас там такие правила
|
10 апр 2019, 17:09 |
|
|
AlexNiko
Зарегистрирован: 29 янв 2017, 00:39 Сообщения: 431
|
Вот результат работы виззарда, в самом виззарде exempt включаю. На противоположной стороне так-же, только сети поменяны местами.
Вложения:
Screenshot 2019-04-10 at 17.14.09.jpg [ 55.89 КБ | Просмотров: 9292 ]
Screenshot 2019-04-10 at 17.13.09.jpg [ 39.88 КБ | Просмотров: 9292 ]
|
10 апр 2019, 17:15 |
|
|