Сообщения без ответов | Активные темы Текущее время: 26 июн 2019, 21:54



Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
ASA VPN (s-to-s и anyconnect) 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Привет! А может ли существовать на одном интерфейса anyconnect и site-to-site?


10 апр 2019, 12:40
Профиль Отправить email
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1280
Может


10 апр 2019, 12:42
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
А как проверить почему не поднимается сайттусайт? Что дебажить? Куда смотреть? ASA 5585-X на обеих сторонах, настраивал виззардом, авторизация - прешаред. Там вед ошибится никак не возможно )


10 апр 2019, 12:53
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 665
если стоит последний софт - проще поднять через туннель + динамика


10 апр 2019, 12:56
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
У меня 9.9 (2)


10 апр 2019, 13:10
Профиль Отправить email
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1280
Классический траблшутинг IPSec, с Anyconnect оно никак не пересекается.


10 апр 2019, 13:11
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Очерендной дурацкий вопрос, если у меня на ASA прописан марштур типа 172.16.0.0/16 inside на однйо стороне и 172.16.0.0/16 на другой стороне, а я пытаюсь завернуть в тонель с доной сторны 172.16.100.0/24 а с другой 172.16.200.0/24 (эти сети не пересекаются) то это выглядит не правильно и публиковать маршруты на inside надо по подсетям с 24 маской?


10 апр 2019, 13:44
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 665
Тогда кроме туннеля у вас варианта особо и нет, с туннелем вы можете сделать статику или динамику

Через классический ipsec в криптомап вы не завернёте эти сети так как пересекаются /16 подсети


10 апр 2019, 13:51
Профиль Отправить email
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1280
А зачем в crypto map по /16 вешать? IPSec с маршрутизацией не пересекаются, единственное что может смущать это возможное непопадание в S2S если /16 непосредственно на интерфейсах навешано.


10 апр 2019, 14:10
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Нет, конечно не на интерфейсах


10 апр 2019, 14:55
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Первый раз столкнулся с тем, что STS не поднимается по виззарду. Debug вообще ничего не показывает ни debug crypto ipsec ни debug crypto ikev1 ни все опции debug crypto ikev2 я прям в замешательстве


10 апр 2019, 15:02
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Я похожу не понимаю как устроен дебаг на ASA, это чудо чудо техники или все сыплет в консоль или ничего, но в этом всем нет ничего про IKE или ISAKMP. Что я делаю не так?


10 апр 2019, 15:24
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 665
По визарду все поднимается, по логированию нужно включить уровень и куда сыпать по умолчанию или выключено или уровень information, ikev1 также как и крипта AES256 бессмысленно использовать если есть ikev2 and AES256-GCM

P.S. и без визарда в полклика можно в соттв. вкладке всё быстро настроить


10 апр 2019, 15:27
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Так и я знаю, что s2s настраивается в пол пинка - но вот подиш ты - чудеса.


10 апр 2019, 15:33
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Вот схема. Вопрос, а должен тунель подниматься если на ASA 1 и 2 не прописаны маршруты к удаленным сетям?


Вложения:
Screenshot 2019-04-10 at 15.38.07.jpg
Screenshot 2019-04-10 at 15.38.07.jpg [ 30.33 КБ | Просмотров: 669 ]
10 апр 2019, 15:39
Профиль Отправить email
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1280
Маршруты для S2S не нужны, там требуется попадание в ACL crypto map'а.
Для начала пустите трафик на удаленную площадку, далее смотрите show crypto isakmp sa. Если сессии нет то debug crypto isakmp sa 255. Если сессия есть то show crypto ipsec sa, ну и также debug crypto ipsec 255.


10 апр 2019, 15:52
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Конечно там не 27 а 24


10 апр 2019, 15:53
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
У меня вообще нет debug crypto isakmp

Есть только:

5585-X# debug crypto ?
Код:
  ca          Set PKI debug levels
  condition   Set IPSec/ISAKMP debug filters
  engine      Set crypto engine debug levels
  goid        Set crypto map GOID debug levels
  ike-common  Set IKE common debug levels
  ikev1       Set IKEV1 debug levels
  ikev2       Set IKEV2 debug levels
  ipsec       Set IPSec debug levels
  ss-api      Set Crypto Secure Socket API debug levels
  vpnclient   Set EasyVPN client debug levels


10 апр 2019, 16:07
Профиль Отправить email
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1280
Тогда debug crypto ikev1/2 255


10 апр 2019, 16:33
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Тишина, вообще. Даже когда вывожу статистику не меняется количество октетов отправленных и принятых.


10 апр 2019, 16:43
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 802
А АСА знает что удаленная сеть за outside?


10 апр 2019, 16:58
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 665
NAT exempt сделан вообще...


10 апр 2019, 17:03
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Так я же и спрашивал, обязательно ли прописывать статикой информацию, о том, что удаленные сети за оутсайт. Вы же имеете ввиду маршрутизацитю? И было озвучено, что не обязательно, nat exempt - эта настройка есть в виззарде, конечно я ее включаю )


10 апр 2019, 17:04
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 665
Речь идёт об исключении сетей из под Ната с обеих сторон, зайдите в соотв. меню и проверьте есть ли у вас там такие правила


10 апр 2019, 17:09
Профиль Отправить email

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 314
Вот результат работы виззарда, в самом виззарде exempt включаю. На противоположной стороне так-же, только сети поменяны местами.


Вложения:
Screenshot 2019-04-10 at 17.14.09.jpg
Screenshot 2019-04-10 at 17.14.09.jpg [ 55.89 КБ | Просмотров: 636 ]
Screenshot 2019-04-10 at 17.13.09.jpg
Screenshot 2019-04-10 at 17.13.09.jpg [ 39.88 КБ | Просмотров: 636 ]
10 апр 2019, 17:15
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 28 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB