Сообщения без ответов | Активные темы Текущее время: 22 апр 2019, 15:59



Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
ASA VPN (s-to-s и anyconnect) 
Автор Сообщение
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Привет! А может ли существовать на одном интерфейса anyconnect и site-to-site?


10 апр 2019, 12:40
Профиль Отправить email
В сети
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1245
Может


10 апр 2019, 12:42
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
А как проверить почему не поднимается сайттусайт? Что дебажить? Куда смотреть? ASA 5585-X на обеих сторонах, настраивал виззардом, авторизация - прешаред. Там вед ошибится никак не возможно )


10 апр 2019, 12:53
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 602
если стоит последний софт - проще поднять через туннель + динамика


10 апр 2019, 12:56
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
У меня 9.9 (2)


10 апр 2019, 13:10
Профиль Отправить email
В сети
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1245
Классический траблшутинг IPSec, с Anyconnect оно никак не пересекается.


10 апр 2019, 13:11
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Очерендной дурацкий вопрос, если у меня на ASA прописан марштур типа 172.16.0.0/16 inside на однйо стороне и 172.16.0.0/16 на другой стороне, а я пытаюсь завернуть в тонель с доной сторны 172.16.100.0/24 а с другой 172.16.200.0/24 (эти сети не пересекаются) то это выглядит не правильно и публиковать маршруты на inside надо по подсетям с 24 маской?


10 апр 2019, 13:44
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 602
Тогда кроме туннеля у вас варианта особо и нет, с туннелем вы можете сделать статику или динамику

Через классический ipsec в криптомап вы не завернёте эти сети так как пересекаются /16 подсети


10 апр 2019, 13:51
Профиль Отправить email
В сети
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1245
А зачем в crypto map по /16 вешать? IPSec с маршрутизацией не пересекаются, единственное что может смущать это возможное непопадание в S2S если /16 непосредственно на интерфейсах навешано.


10 апр 2019, 14:10
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Нет, конечно не на интерфейсах


10 апр 2019, 14:55
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Первый раз столкнулся с тем, что STS не поднимается по виззарду. Debug вообще ничего не показывает ни debug crypto ipsec ни debug crypto ikev1 ни все опции debug crypto ikev2 я прям в замешательстве


10 апр 2019, 15:02
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Я похожу не понимаю как устроен дебаг на ASA, это чудо чудо техники или все сыплет в консоль или ничего, но в этом всем нет ничего про IKE или ISAKMP. Что я делаю не так?


10 апр 2019, 15:24
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 602
По визарду все поднимается, по логированию нужно включить уровень и куда сыпать по умолчанию или выключено или уровень information, ikev1 также как и крипта AES256 бессмысленно использовать если есть ikev2 and AES256-GCM

P.S. и без визарда в полклика можно в соттв. вкладке всё быстро настроить


10 апр 2019, 15:27
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Так и я знаю, что s2s настраивается в пол пинка - но вот подиш ты - чудеса.


10 апр 2019, 15:33
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Вот схема. Вопрос, а должен тунель подниматься если на ASA 1 и 2 не прописаны маршруты к удаленным сетям?


Вложения:
Screenshot 2019-04-10 at 15.38.07.jpg
Screenshot 2019-04-10 at 15.38.07.jpg [ 30.33 КБ | Просмотров: 296 ]
10 апр 2019, 15:39
Профиль Отправить email
В сети
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1245
Маршруты для S2S не нужны, там требуется попадание в ACL crypto map'а.
Для начала пустите трафик на удаленную площадку, далее смотрите show crypto isakmp sa. Если сессии нет то debug crypto isakmp sa 255. Если сессия есть то show crypto ipsec sa, ну и также debug crypto ipsec 255.


10 апр 2019, 15:52
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Конечно там не 27 а 24


10 апр 2019, 15:53
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
У меня вообще нет debug crypto isakmp

Есть только:

5585-X# debug crypto ?
Код:
  ca          Set PKI debug levels
  condition   Set IPSec/ISAKMP debug filters
  engine      Set crypto engine debug levels
  goid        Set crypto map GOID debug levels
  ike-common  Set IKE common debug levels
  ikev1       Set IKEV1 debug levels
  ikev2       Set IKEV2 debug levels
  ipsec       Set IPSec debug levels
  ss-api      Set Crypto Secure Socket API debug levels
  vpnclient   Set EasyVPN client debug levels


10 апр 2019, 16:07
Профиль Отправить email
В сети
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1245
Тогда debug crypto ikev1/2 255


10 апр 2019, 16:33
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Тишина, вообще. Даже когда вывожу статистику не меняется количество октетов отправленных и принятых.


10 апр 2019, 16:43
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 801
А АСА знает что удаленная сеть за outside?


10 апр 2019, 16:58
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 602
NAT exempt сделан вообще...


10 апр 2019, 17:03
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Так я же и спрашивал, обязательно ли прописывать статикой информацию, о том, что удаленные сети за оутсайт. Вы же имеете ввиду маршрутизацитю? И было озвучено, что не обязательно, nat exempt - эта настройка есть в виззарде, конечно я ее включаю )


10 апр 2019, 17:04
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 602
Речь идёт об исключении сетей из под Ната с обеих сторон, зайдите в соотв. меню и проверьте есть ли у вас там такие правила


10 апр 2019, 17:09
Профиль Отправить email
В сети

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 279
Вот результат работы виззарда, в самом виззарде exempt включаю. На противоположной стороне так-же, только сети поменяны местами.


Вложения:
Screenshot 2019-04-10 at 17.14.09.jpg
Screenshot 2019-04-10 at 17.14.09.jpg [ 55.89 КБ | Просмотров: 263 ]
Screenshot 2019-04-10 at 17.13.09.jpg
Screenshot 2019-04-10 at 17.13.09.jpg [ 39.88 КБ | Просмотров: 263 ]
10 апр 2019, 17:15
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 28 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: AlexNiko, Bessmertniy, Silent_D, _2e_ и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB