Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:04



Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
ASA VPN (s-to-s и anyconnect) 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Привет! А может ли существовать на одном интерфейса anyconnect и site-to-site?


10 апр 2019, 12:40
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Может


10 апр 2019, 12:42
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
А как проверить почему не поднимается сайттусайт? Что дебажить? Куда смотреть? ASA 5585-X на обеих сторонах, настраивал виззардом, авторизация - прешаред. Там вед ошибится никак не возможно )


10 апр 2019, 12:53
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
если стоит последний софт - проще поднять через туннель + динамика


10 апр 2019, 12:56
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
У меня 9.9 (2)


10 апр 2019, 13:10
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Классический траблшутинг IPSec, с Anyconnect оно никак не пересекается.


10 апр 2019, 13:11
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Очерендной дурацкий вопрос, если у меня на ASA прописан марштур типа 172.16.0.0/16 inside на однйо стороне и 172.16.0.0/16 на другой стороне, а я пытаюсь завернуть в тонель с доной сторны 172.16.100.0/24 а с другой 172.16.200.0/24 (эти сети не пересекаются) то это выглядит не правильно и публиковать маршруты на inside надо по подсетям с 24 маской?


10 апр 2019, 13:44
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Тогда кроме туннеля у вас варианта особо и нет, с туннелем вы можете сделать статику или динамику

Через классический ipsec в криптомап вы не завернёте эти сети так как пересекаются /16 подсети


10 апр 2019, 13:51
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
А зачем в crypto map по /16 вешать? IPSec с маршрутизацией не пересекаются, единственное что может смущать это возможное непопадание в S2S если /16 непосредственно на интерфейсах навешано.


10 апр 2019, 14:10
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Нет, конечно не на интерфейсах


10 апр 2019, 14:55
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Первый раз столкнулся с тем, что STS не поднимается по виззарду. Debug вообще ничего не показывает ни debug crypto ipsec ни debug crypto ikev1 ни все опции debug crypto ikev2 я прям в замешательстве


10 апр 2019, 15:02
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Я похожу не понимаю как устроен дебаг на ASA, это чудо чудо техники или все сыплет в консоль или ничего, но в этом всем нет ничего про IKE или ISAKMP. Что я делаю не так?


10 апр 2019, 15:24
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
По визарду все поднимается, по логированию нужно включить уровень и куда сыпать по умолчанию или выключено или уровень information, ikev1 также как и крипта AES256 бессмысленно использовать если есть ikev2 and AES256-GCM

P.S. и без визарда в полклика можно в соттв. вкладке всё быстро настроить


10 апр 2019, 15:27
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Так и я знаю, что s2s настраивается в пол пинка - но вот подиш ты - чудеса.


10 апр 2019, 15:33
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Вот схема. Вопрос, а должен тунель подниматься если на ASA 1 и 2 не прописаны маршруты к удаленным сетям?


Вложения:
Screenshot 2019-04-10 at 15.38.07.jpg
Screenshot 2019-04-10 at 15.38.07.jpg [ 30.33 КБ | Просмотров: 9255 ]
10 апр 2019, 15:39
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Маршруты для S2S не нужны, там требуется попадание в ACL crypto map'а.
Для начала пустите трафик на удаленную площадку, далее смотрите show crypto isakmp sa. Если сессии нет то debug crypto isakmp sa 255. Если сессия есть то show crypto ipsec sa, ну и также debug crypto ipsec 255.


10 апр 2019, 15:52
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Конечно там не 27 а 24


10 апр 2019, 15:53
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
У меня вообще нет debug crypto isakmp

Есть только:

5585-X# debug crypto ?
Код:
  ca          Set PKI debug levels
  condition   Set IPSec/ISAKMP debug filters
  engine      Set crypto engine debug levels
  goid        Set crypto map GOID debug levels
  ike-common  Set IKE common debug levels
  ikev1       Set IKEV1 debug levels
  ikev2       Set IKEV2 debug levels
  ipsec       Set IPSec debug levels
  ss-api      Set Crypto Secure Socket API debug levels
  vpnclient   Set EasyVPN client debug levels


10 апр 2019, 16:07
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Тогда debug crypto ikev1/2 255


10 апр 2019, 16:33
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Тишина, вообще. Даже когда вывожу статистику не меняется количество октетов отправленных и принятых.


10 апр 2019, 16:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
А АСА знает что удаленная сеть за outside?


10 апр 2019, 16:58
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
NAT exempt сделан вообще...


10 апр 2019, 17:03
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Так я же и спрашивал, обязательно ли прописывать статикой информацию, о том, что удаленные сети за оутсайт. Вы же имеете ввиду маршрутизацитю? И было озвучено, что не обязательно, nat exempt - эта настройка есть в виззарде, конечно я ее включаю )


10 апр 2019, 17:04
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Речь идёт об исключении сетей из под Ната с обеих сторон, зайдите в соотв. меню и проверьте есть ли у вас там такие правила


10 апр 2019, 17:09
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Вот результат работы виззарда, в самом виззарде exempt включаю. На противоположной стороне так-же, только сети поменяны местами.


Вложения:
Screenshot 2019-04-10 at 17.14.09.jpg
Screenshot 2019-04-10 at 17.14.09.jpg [ 55.89 КБ | Просмотров: 9222 ]
Screenshot 2019-04-10 at 17.13.09.jpg
Screenshot 2019-04-10 at 17.13.09.jpg [ 39.88 КБ | Просмотров: 9222 ]
10 апр 2019, 17:15
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 28 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB