Доброго времени суток. Стала задача установить в главный офис Cisco ASA 5515 как центральный маршрутизатор. На филиалах имеются маршрутизаторы Mikrotik 951Ui-2HnD. В главном офисе на данный момент установлен и работает Mikrotik 2011UiAS. Имеется необходимость заменить Mikrotik 2011UiAS асой, даже не заменить, а установить Cisco ASA 5515 как главный роутер, а Mikrotik 2011UiAS как бэкап роутер.
Каждый офис находится в своей подсети, маршрутизацию обеспечивает OSPF.
Mikrotik 2011UiAS выступает на данный момент в роли VPN сервера для удаленных клиентов и связи с удаленными офисами посредствам туннелей типа IPIP и GRE, настроен OSPF, PBR и большое количество правил в фаерволе, мангле и нате преследующих разного рода задачи по фильтрации и обработке трафика.
Вопрос такого плана: какой тип подключения наилучшим образом подойдет для связи между Cisco ASA 5515 и удаленными микротиками ? Site to site IPsec создаст большую нагрузку на микротики да и OSPF работать не будет ибо мультикаст трафик по такому туннелю не бегает. Проблема в том что ASA не поддерживает обычные протоколы туннелирования.
Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить на Mikrotik 2011UiAS.Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50% + IPSEC + OSPF и он в дауне. На сколько я понимаю Cisco покупали для разгрузки?
> Cisco ASA 5515 это НЕ маршрутизатор. Полностью заменить не получится.
> Лучше использовать в паре. Использовать Cisco ASA 5515 для IPSEC, а роутить
> на Mikrotik 2011UiAS.
> Но Mikrotik 2011UiAS слабенькая модель 50-70 пользователей и утилизация CPU в 50%
> + IPSEC + OSPF и он в дауне. На сколько я
> понимаю Cisco покупали для разгрузки?Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.
ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики, policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего, нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.
А вот микротик это точно не роутер для Ынтерпрайза.
Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
ospf network point-to-point non-broadcast
> Угу, а еще Catalyst 6500 не маршрутизатор, потому что маркетинг так говорит.Про Catalyst 6500 никто и не говорит. Вот если бы был Catalyst 6500, то ...
> ASA - это маршрутизатор, просто нет поддержки некоторых фич, типа GRE с
> DMVPN или VRF, к которым все привыкли в ISR'ах на IOS.Почти правильно, но у ASA есть более лучшее применение это использовать его в качестве фаервола + шифрование. Наверно поэтому Cisco его и относит к данным типам устройств.
> Есть инсталляция с двумя ASA5520 в A/S, работает OSPF, EIGRP, чуток статики,
> policy NAT, плюс anyconnect держит, лопатит 500 мбит, и ни чего,
> нормально, а ну и конечно фаерволлит. Роутит между примерно 20-25 вланами.В данных инсталяциях ASA5520 в разных точках Интернета, или в одной сети?
> А вот микротик это точно не роутер для Ынтерпрайза.
Смотря что понимать под словом Ынтерпрайз? Здесь, помоему, small business.
> Да, по поводу OSPF и site-to-site VPN. Unicast режим используйте.
> ospf network point-to-point non-broadcastИ как предлагаете это сделать с условиями выше?
Спасибо за ответы парни. Поделюсь с вами порцией информации, 2011 микротик держит порядко 100 юзверей в данный момент, средняя нагрузка цп 30-50% и половина памяти, при настроеных PPTP сервере туннелях на удаленные офисы, DHCP сервером для одного из филиалов, в фильтрах фаервола 30 правил и чуть больше в нате + до 10 правил в мангле, + OSPF, PBR. Вообщем сичтаю не плохой результат за такие деньги. ASA приобреталась для замены микротика. Про OSPF для работы в режиме юникаста - да можно так сделать. И вообще я в курсе что ASA в первую очередь сетевой экран, а во вторую роутер, просто порезанный. Вообще планировалось что ASA будет основным роутером, а микротик как бэкап (при 5 каналах в интернет). Жалко что ASA не поддерживает VRRP, а вот PBR вроде как уже появилась поддержка. Вот у меня сейчас и стоит задача максимально задачи на ASA перебросить.
Вообще конечно неплохо было бы настроить балансировку и резервирование, но ASA про балансировку вообще не слышала, а вот резервирование что-нибудь придумаю, может на IP SLA сделать. На микротике отлично настраивается и работает и то и другое. Настроил IPsec site to site - пока не взлетело, туннель устанавливается но трафик внутрь не заворачивается и не шифруется ничего. Вообщем пока конфиги выкидывать не буду рано еще, сам подебажу.
На ASA IPsec настроен правильно и работает на 100%, проверял пробуя подключить Win7. Не могу победить настройки IPsec в Mikrotik. Для теста и понимания взял два микротика и настроил между ними IPsec. Настройки следующие:
Router A
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=Y.Y.Y.Y/32 dpd-maximum-failures=2 nat-traversal=no policy-template-group=group1 secret=test
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.8.0.1/24 comment="test network" interface=bridge network=10.8.0.0
/ip firewall nat
add chain=srcnat dst-address=10.7.0.0/24 src-address=10.8.0.0/24Router B
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-cbc name=mikrotik/mikrotik pfs-group=none
/ip ipsec peer
add address=X.X.X.X/32 dpd-maximum-failures=2 nat-traversal=no passive=yes policy-template-group=group1 \
secret=test send-initial-contact=no
/ip ipsec policy
add dst-address=10.8.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=X.X.X.X sa-src-address=Y.Y.Y.Y src-address=10.7.0.0/24 tunnel=yes
/ip ipsec policy group
add name=group1
/ip address
add address=10.7.0.1/24 interface=bridge network=10.7.0.0
/ip firewall nat
add chain=srcnat dst-address=10.8.0.0/24 src-address=10.7.0.0/24Где 10.7.0.0/24 и 10.8.0.0/24 - тестовые подсетки созданные на роутерах. Правила фаервола приведенное выше для ната находится выше всех по приоритету для того чтобы трафик не натился. При выполнении команды
ping 10.8.0.1 src-address=10.7.0.1
с Router B чтобы появился интересующий трафик для поднятия туннеля - реакции никакой. Все счетчики пустые, ничего не шифруется ну и пинг естественно не идет. Куда копать ?
При пинге какой исходящий src-address?
> При пинге какой исходящий src-address?10.7.0.1
Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
>> При пинге какой исходящий src-address?
> 10.7.0.1
> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.tools traceroute ?
ip ipsec remoute-peers print ?
ip ipsec installed-sa print ?
system logging добавить логирование ipset кроме packet
логи что говорят ?проблем с ipsec между mikrotik - mikrotik - нет
проблем с ipsec между mikrotik - cisco asa - нет
проблем с ipsec между mikrotik - cisco router - нетвозможные проблемы фаервол + маршрутизация.
>[оверквотинг удален]
>> Это командой "ping 10.8.0.1 src-address=10.7.0.1" указывается.
> tools traceroute ?
> ip ipsec remoute-peers print ?
> ip ipsec installed-sa print ?
> system logging добавить логирование ipset кроме packet
> логи что говорят ?
> проблем с ipsec между mikrotik - mikrotik - нет
> проблем с ipsec между mikrotik - cisco asa - нет
> проблем с ipsec между mikrotik - cisco router - нет
> возможные проблемы фаервол + маршрутизация.tool traceroute 10.8.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 1 timeout
2 93.85.81.1 0% 1 4.4ms 4.4 4.4 4.4 0
3 93.85.252.129 0% 1 14ms 14 14 14 0 <MPLS:L=17931,E=0,T=255>
4 93.85.253.70 0% 1 12.1ms 12.1 12.1 12.1 0 <MPLS:L=19180,E=0,T=255>
5 93.85.253.106 0% 1 10.4ms 10.4 10.4 10.4 0
6 93.85.240.118 0% 1 19ms 19 19 19 0
7 100% 1 timeout
8 100% 1 timeout
9 100% 1 timeout
10 100% 1 timeout
11 0% 1 0msip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
в установленных SA - пусто
ip ipsec installed-sa print
Flags: A - AH, E - ESPДобавлю что в фаерволе добавлял правила
3 ;;; Allow IKE
chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""4 ;;; Allow IPSec-esp
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""5 ;;; Allow IPSec-ah
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Выше данных правил нет запрещающих правил.
>[оверквотинг удален]
>> tools traceroute ?
>> ip ipsec remoute-peers print ?
>> ip ipsec installed-sa print ?
>> system logging добавить логирование ipset кроме packet
>> логи что говорят ?
>> проблем с ipsec между mikrotik - mikrotik - нет
>> проблем с ipsec между mikrotik - cisco asa - нет
>> проблем с ipsec между mikrotik - cisco router - нет
>> возможные проблемы фаервол + маршрутизация.
> tool traceroute 10.8.0.1забыл добавить
tool traceroute 10.8.0.1 src-address=10.7.0.1> ip ipsec remote-peers print
> 0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=responder established=14h10m41s
> в установленных SA - пусто
> ip ipsec installed-sa print
> Flags: A - AH, E - ESPпустить пакеты с помощью ping или trace не забывая src-address= и ip ipsec installed-sa print в студию. :)
> Добавлю что в фаерволе добавлял правила
> 3 ;;; Allow IKE
> chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
> 4 ;;; Allow IPSec-esp
> chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
> 5 ;;; Allow IPSec-ah
> chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
> Выше данных правил нет запрещающих правил.А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?
А что с логами?
>[оверквотинг удален]
>> Добавлю что в фаерволе добавлял правила
>> 3 ;;; Allow IKE
>> chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
>> 4 ;;; Allow IPSec-esp
>> chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
>> 5 ;;; Allow IPSec-ah
>> chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
>> Выше данных правил нет запрещающих правил.
> А разрешающие правила для 10.8.0.0/24 10.7.0.0/24 ?
> А что с логами?Точно, упустил сам, вот вывод трассировки:
tool traceroute 10.8.0.1 src-address=10.7.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 3 timeout
2 100% 3 timeout
3 100% 2 timeout
4 100% 2 timeout
5 100% 2 timeout
По установленным SA я уже писал, там пусто (
ip ipsec installed-sa print
Flags: A - AH, E - ESP
Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике появится 3-6 пакетов.
Разрешающие правила - не думаю что они здесь должны быть для сетей. Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет смысла писать отдельное правило указывающее еще и подсеть. В логах все пусто. Добавил логирование IPsec и вот что видно:
(68 messages discarded)
echo: ipsec,debug,packet (lifetime = 86400:86400)
echo: ipsec,debug,packet (lifebyte = 0:0)
echo: ipsec,debug,packet enctype = 3DES-CBC:3DES-CBC
echo: ipsec,debug,packet (encklen = 0:0)
echo: ipsec,debug,packet hashtype = SHA:SHA
echo: ipsec,debug,packet authmethod = pre-shared key:pre-shared key
echo: ipsec,debug,packet dh_group = 1024-bit MODP group:1024-bit MODP group
echo: ipsec,debug,packet an acceptable proposal found.
echo: ipsec,debug,packet dh(modp1024)
echo: ipsec,debug,packet agreed on pre-shared key auth.
echo: ipsec,debug,packet ===
echo: ipsec,debug,packet compute DH's private.
[admin@Tolbuhina-R] >
(159 messages discarded)
echo: ipsec,debug,packet 03000024 01010000 800b0001 000c0004 00015180 80010005 8 0030001 80020002
echo: ipsec,debug,packet 80040002 00000028 02010000 800b0001 000c0004 00015180 8 0010007 800e0080
echo: ipsec,debug,packet 80030001 80020002 80040002 011101f4 5639a89d
echo: ipsec,debug,packet hmac(hmac_sha1)
echo: ipsec,debug,packet HASH computed:
echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
echo: ipsec,debug,packet HASH for PSK validated.
echo: ipsec,debug,packet peer's ID:
echo: ipsec,debug,packet 011101f4 5639a89d
echo: ipsec,debug,packet ===
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi :1570fcca9cbd32ec:ce8e0447c42bfe59
echo: ipsec,debug,packet ===
>[оверквотинг удален]
> 100% 2 timeout
> 5
> 100% 2 timeout
> По установленным SA я уже писал, там пусто (
> ip ipsec installed-sa print
> Flags: A - AH, E - ESP
> Причем в нате, в правиле указывающем не натить локальные подсети видно счетчики
> пакетов бегают, но вяло, может на 100 пакетов ICMP в счетчике
> появится 3-6 пакетов.
> Разрешающие правила - не думаю что они здесь должны быть для сетей.разрешающие правила обязательны, если у вас не политика по умолчанию всё ACCEPT
> Т.к. шифрованный трафик при помощи IPSec-esp и так разрешен, думаю нет
> смысла писать отдельное правило указывающее еще и подсеть. В логах всеIPSec пакеты тоже должны быть разрешены.
>[оверквотинг удален]
> echo: ipsec,debug,packet hmac(hmac_sha1)
> echo: ipsec,debug,packet HASH computed:
> echo: ipsec,debug,packet 72bee091 7ce0cc1a 45e7807f f287cc39 586a91e1
> echo: ipsec,debug,packet HASH for PSK validated.
> echo: ipsec,debug,packet peer's ID:
> echo: ipsec,debug,packet 011101f4 5639a89d
> echo: ipsec,debug,packet ===
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi
> :1570fcca9cbd32ec:ce8e0447c42bfe59
> echo: ipsec,debug,packet ===ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.
Уберите, пожалуйста, в логах ipsec packet
инструкция вида /system logging add action=memory topics=ipsec,!packet
>[оверквотинг удален]
>> echo: ipsec,debug,packet HASH for PSK validated.
>> echo: ipsec,debug,packet peer's ID:
>> echo: ipsec,debug,packet 011101f4 5639a89d
>> echo: ipsec,debug,packet ===
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi
>> :1570fcca9cbd32ec:ce8e0447c42bfe59
>> echo: ipsec,debug,packet ===
> ISAKMP установлен. Далее должны подтянутся политики, но логи ... увы закончились.
> Уберите, пожалуйста, в логах ipsec packet
> инструкция вида /system logging add action=memory topics=ipsec,!packetДобавил правила зеркальные на роутерах разрешающие прохождение пакетов из тестовых подсетей
[admin@Tolbuhina-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address=10.7.0.0/24 in-interface=PPTP-ADSL log=no log-prefix=""1 ;;; Allow IKE
chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""2 ;;; Allow IPSec-esp
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""3 ;;; Allow IPSec-ah
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
Настроил logging как Вы просили.
[admin@Tolbuhina-R] > system logging add action=echo topics=ipsec,!packet
[admin@Tolbuhina-R] >
echo: ipsec,debug initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
echo: ipsec,debug begin Identity Protection mode.
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:0000000000000000
echo: ipsec,debug received Vendor ID: CISCO-UNITY
echo: ipsec,debug received Vendor ID: DPD
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug sent phase1 packet X.X.X.X[500]<=>Y.Y.Y.Y[500] 596c3bdb3c38bb7d:1f393818ec69fece
echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
[оверквотинг удален]
> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69feceПервая фаза ipsec закончена.
Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)проблема в
/ip ipsec policy
add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X src-address=10.8.0.0/24 tunnel=yesdst-address=10.7.0.0/32 должен быть 10.7.0.0/24
> [оверквотинг удален]
>> echo: ipsec,debug ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:596c3bdb3c38bb7d:1f393818ec69fece
> Первая фаза ipsec закончена.
> Пускаем пинг и смотрим что пишется в логах про вторую фазу (phase2)
> проблема в
> /ip ipsec policy
> add dst-address=10.7.0.0/32 proposal=mikrotik/mikrotik sa-dst-address=Y.Y.Y.Y sa-src-address=X.X.X.X
> src-address=10.8.0.0/24 tunnel=yes
> dst-address=10.7.0.0/32 должен быть 10.7.0.0/24Спасибо огромное, не заметил, теперь заработало. Результат.
[admin@Tolbuhina-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP
0 E spi=0xC7F0AA3 src-address=Y.Y.Y.Y dst-address=X.X.X.X state=mature auth-algorithm=sha512
enc-algorithm=aes-cbc auth-key="e32f900d62bc966180ba5b798a9b606753878bb639ce5f7a408edf9ca24942611edd19dcc50ee
303b8245e95f8f04c16bb0f024dc1effa745bb411c3ebbe8dd1"
enc-key="f8b6864e6232382ce68a281581ce84aaa65de9cba2b0ec494144393f21f8d8dc" addtime=aug/13/2015 10:10:07
expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=1281 E spi=0xA4B37CC src-address=X.X.X.X dst-address=Y.Y.Y.Y state=mature auth-algorithm=sha512
enc-algorithm=aes-cbc auth-key="562e31aee8030ca91707eac4fa0525d42fa39f02ce1fdf2738091ca63cab2f5b27bd33fc71f2b
d0a9ac0d56a3281f3796974dc6579e285f5bd54a8b7ba293e9a"
enc-key="65848362fdaeb533f88742c6f8009d1dca2f928ff38319776e520f969747b2e5" addtime=aug/13/2015 10:10:07
expires-in=13m58s add-lifetime=24m/30m current-bytes=4032 replay=128
[admin@Tolbuhina-R] > tool traceroute 10.7.0.1 src-address=10.8.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 10.7.0.1 0% 6 9.9ms 34.5 9.8 156.8 54.7Теперь можно с чистой совестью пытаться с ASA один из mikrotik-ов подружить.
О результатах также напишу.
Решил проверить статистику, а там всё по нулям : (. Получается что трафик не шифруется
[admin@R] > ip ipsec statistics print
in-errors: 0
in-buffer-errors: 0
in-header-errors: 0
in-no-states: 0
in-state-protocol-errors: 0
in-state-mode-errors: 0
in-state-sequence-errors: 0
in-state-expired: 0
in-state-mismatches: 0
in-state-invalid: 0
in-template-mismatches: 0
in-no-policies: 0
in-policy-blocked: 0
in-policy-errors: 0
out-errors: 0
out-bundle-errors: 0
out-bundle-check-errors: 0
out-no-states: 94
out-state-protocol-errors: 0
out-state-mode-errors: 0
out-state-sequence-errors: 0
out-state-expired: 0
out-policy-blocked: 0
out-policy-dead: 0
out-policy-errors: 0
[admin@Tolbuhina-R] > ip ipsec statistics print
in-errors: 0
in-buffer-errors: 0
in-header-errors: 0
in-no-states: 0
in-state-protocol-errors: 0
in-state-mode-errors: 0
in-state-sequence-errors: 0
in-state-expired: 0
in-state-mismatches: 0
in-state-invalid: 0
in-template-mismatches: 0
in-no-policies: 0
in-policy-blocked: 0
in-policy-errors: 0
out-errors: 0
out-bundle-errors: 0
out-bundle-check-errors: 0
out-no-states: 2
out-state-protocol-errors: 0
out-state-mode-errors: 0
out-state-sequence-errors: 0
out-state-expired: 0
out-policy-blocked: 0
out-policy-dead: 0
out-policy-errors: 0
> Решил проверить статистику, а там всё по нулям : (. Получается что
> трафик не шифруетсяможете проверить командой
ip ipsec installed-sa print
там есть строка current-bytes=...
вот она и показывает сколько трафика зашифровано в текущей сесии
>> Решил проверить статистику, а там всё по нулям : (. Получается что
>> трафик не шифруется
> можете проверить командой
> ip ipsec installed-sa print
> там есть строка current-bytes=...
> вот она и показывает сколько трафика зашифровано в текущей сесииДа видно что объем трафика есть, более того он растет. А я даже не вчитывался в название счетчиков, а теперь решил прочитать их, получается там большая часть показывает ошибки. Вообщем вроде все ок.
Удалось выкроить немного времени для дальнейшей настройки. На данный момент за микротиком 10.7.0.0/24 подсеть, за асой 10.6.0.0/24. Ситуация следующая. Конфиг Mikrotik:
[admin@Brest-R] > ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=1.1.1.1/32 local-address=2.2.2.2 passive=no port=500 auth-method=pre-shared-key secret="test" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=2
[admin@Brest-R] >ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=test priority=0
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0 name="test" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=30m pfs-group=none
На микротике видно что сессия установилась, но в установленных SA пусто.
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=Y.Y.Y.Y remote-address=X.X.X.X state=established side=initiator established=18h11m6s
При пинге с микротика на циску видно что не может найти зеркальный ACL:
[admin@Brest-R] > ping 10.6.0.254 src-address=10.7.0.1
SEQ HOST SIZE TTL TIME STATUS
0 10.6.0.254 timeout
sent=5 received=0 packet-loss=100%
echo: ipsec,debug new acquire 2.2.2.2 [0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Ниже конфиги циски:
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ikev1 enable WAN
Вот сам ACL
access-list WAN_cryptomap line 1 extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0 (hitcnt=3) 0xf48c7385
Transform-set- ов создано большое количество чтобы наверняка поднялся туннель как и crypto ikev1 policy. В любом случае ikev1 поднимается, но SA не устанавливается из-за якобы отсутствия ACL. Это говорит и сама ASA.
ASA# show crypto ikev1 sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
ASA# show crypto isakmp sa detail
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Encrypt : 3des Hash : SHA
Auth : preshared Lifetime: 86400
Lifetime Remaining: 19844
Если посмотреть в детали сессии через ASDM (через консоль не нашел) VPN Statistics/Session/Session detail/ACL то видно
ACL is not applied to this session
Вообщем как ни крути не поднимается вторая стадия, не устанавливается IPsec-SA.
что говорит mikrotik на ip ipsec installed-sa printс cisco пинг проборали?
> что говорит mikrotik на ip ipsec installed-sa print
> с cisco пинг проборали?Там пусто, только в первые секунды появляется запись с статусом larval т.е. пытается установится SA, но ничего не получается и конечно же запись пропадает полностью. И да, пинг запускал конечно, дабы туннели поднялись, с обоих сторон. Я уже на cisco форуме тему поднял https://supportforums.cisco.com/discussion/12702696/cisco-as... .
какой dh-group на cisco?
> какой dh-group на cisco?Все профили созданы с group 2. Просто у меня создано 15 политик с разными типами аутентификации, алгоритмами шифрования и хэширования чтобы хоть какой-то заработал. Но везде вторая группа.
на cisco:
sh crypto ipsec sa
sh crypto isakmp sa
+
на Mikrotike
ip ipsec remote-peers print
ip ipsec installed-sa print
> на cisco:
> sh crypto ipsec sa
> sh crypto isakmp sa
> +
> на Mikrotike
> ip ipsec remote-peers print
> ip ipsec installed-sa printНа АСЕ:
ASA# show crypto ipsec sa
There are no ipsec sasASA# show crypto isakmp sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 1 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2
1 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : no State : MM_REKEY_DONE_H2
2 IKE Peer: 2.2.2.2
Type : L2L Role : responder
Rekey : yes State : MM_ACTIVE_REKEY
There are no IKEv2 SAsНа микротике:
[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator established=4h15m9s[admin@Brest-R] > ip ipsec installed-sa print
Flags: A - AH, E - ESP
на Mikrotike
ip ipsec policy print
на асе
sh ru | include crypto
> на Mikrotike
> ip ipsec policy print
> на асе
> sh ru | include cryptoНа микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
sa-dst-address=x.x.x.x proposal=mikrotik/mikrotik priority=01 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all
proposal=default template=yes2 src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24
dst-port=any protocol=all action=encrypt level=require
ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2
sa-dst-address=1.1.1.1 proposal=newland priority=0На ASA:
ASA# sh ru | include crypto
access-list WAN_cryptomap extended permit ip 10.6.0.0 255.255.255.0 10.7.0.0 255.255.255.0
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WAN
crypto ca trustpoint ASDM_trustpoint
crypto ca trustpool policy
crypto ca certificate chain ASDM_trustpoint
crypto ikev1 enable WAN
crypto ikev1 policy 10
crypto ikev1 policy 20
crypto ikev1 policy 30
crypto ikev1 policy 40
crypto ikev1 policy 50
crypto ikev1 policy 60
crypto ikev1 policy 70
crypto ikev1 policy 80
crypto ikev1 policy 90
crypto ikev1 policy 100
crypto ikev1 policy 110
crypto ikev1 policy 120
crypto ikev1 policy 130
crypto ikev1 policy 140
crypto ikev1 policy 150
на микротике
ip ipsec remote-peers print
интересует proposal=newland который 04-Ноя-15, 10:05 был proposal=test
в качестве протоколов рекомендую des + sha, а дальше можно повышать до aes.
про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
причём доступ полный.
> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который 04-Ноя-15, 10:05 был proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.[admin@Brest-R] > ip ipsec remote-peers print
0 local-address=2.2.2.2 remote-address=1.1.1.1 state=established side=initiator
established=3h27m34s
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp10241 name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none
2 name="mikrotik/mikrotik" auth-algorithms=sha512 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none
Привожу верхние правила:
[admin@Brest-R] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""1 ;;; Allow related and established connections
chain=input action=accept connection-state=established,related log=no log-prefix=""2 ;;; Forward established and related connections
chain=forward action=accept connection-state=established,related log=no log-prefix=""3 chain=input action=accept src-address=10.8.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""
4 chain=input action=accept src-address=10.6.0.0/24 in-interface=Byfly-PPPoE log=no log-prefix=""
5 ;;; Allow IKE
chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""6 ;;; Allow IPSec-esp
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
И правила в нате:
[admin@Brest-R] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.8.0.0/24 log=no log-prefix=""1 chain=srcnat action=accept src-address=10.7.0.0/24 dst-address=10.6.0.0/24 log=no log-prefix=""
Попробую в proposal на микротике и в transform set-ах на АСЕ поиграться с параметрами.
> на микротике
> ip ipsec remote-peers print
> интересует proposal=newland который 04-Ноя-15, 10:05 был proposal=test
> в качестве протоколов рекомендую des + sha, а дальше можно повышать до
> aes.
> про настройки фаервола не спрашиваю надеюсь что input правила присутствуют.
> причём доступ полный.Менял на Des+sha как и было поднимается только первая фаза, вторая при попытке инициализации сразу сваливается в фэйл:
echo: ipsec,debug new acquire 2.2.2.2[0]<=>1.1.1.1[0]
echo: ipsec,debug suitable outbound SP found: 10.7.0.0/24[0] 10.6.0.0/24[0] proto=any dir=out
echo: ipsec,debug suitable inbound SP found: 10.6.0.0/24[0] 10.7.0.0/24[0] proto=any dir=in
echo: ipsec,debug no configuration found for 1.1.1.1.
echo: ipsec,error failed to begin ipsec sa negotiation.
Сейчас так на микротике:
[admin@Brest-R] > ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 src-address=10.7.0.0/24 src-port=any dst-address=10.8.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=3.3.3.3 proposal=mikrotik/mikrotik priority=0
1 TX* group=group1 src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
2 src-address=10.7.0.0/24 src-port=any dst-address=10.6.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1 proposal=newland priority=0
На асе ка было выше куча профилей чтобы хоть что-то подошло.
вот ошибка не инициализации фазы 2:
1 name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc lifetime=1d pfs-group=none
pfs-group=noneпредполагаю что должно быть
pfs-group=modp1024
как минимум.
> вот ошибка не инициализации фазы 2:
> 1 name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
> как минимум.IPsec должен и без pfs подниматься. В любом случае попробовал, включил зеркально, на Микротике:
[admin@Brest-R] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp10241 name="newland" auth-algorithms=sha1 enc-algorithms=des lifetime=1d pfs-group=modp1024
И на АСЕ:
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set pfs
crypto map WAN_map 1 set peer 86.57.168.157
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map 1 set reverse-route
crypto map WAN_map interface WANЭффект, тот-же (. Если что в АСЕ под crypto map WAN_map 1 set pfs подразумевается вторая группа 1024 которая.
> вот ошибка не инициализации фазы 2:
> 1 name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
> как минимум.Вообщем решил перенастроить почти все с нуля подбирая параметры первой и второй фаз. Наконец туннель поднялся. Менял потихоньку параметры. В итоге вот что получилось:
Mikrotik:
[admin@Brest-R] > ip ipsec peer export
# nov/19/2015 13:02:46 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec peer
add address=1.1.1.1/32 dpd-maximum-failures=2 enc-algorithm=aes-256 local-address=2.2.2.2 \
nat-traversal=no secret=test
[admin@Brest-R] > ip ipsec proposal export
# nov/19/2015 13:02:57 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec proposal
add auth-algorithms=sha1,sha256 enc-algorithms=3des,aes-256-cbc lifetime=1d name=newland
[admin@Brest-R] > ip ipsec policy export
# nov/19/2015 13:03:04 by RouterOS 6.33
# software id = PCMK-DBQQ
#
/ip ipsec policy group
set
/ip ipsec policy
add dst-address=10.6.0.0/24 proposal=newland sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 \
src-address=10.7.0.0/24 tunnel=yes
Cisco ASA:
!
interface GigabitEthernet0/1
description Internet from ISP Aichina
nameif WAN
security-level 0
ip address 1.1.1.1 255.255.255.224
!
interface GigabitEthernet0/2
nameif TEST
security-level 100
ip address 10.6.0.254 255.255.255.0
!
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association pmtu-aging infinite
crypto map WAN_map 1 match address WAN_cryptomap
crypto map WAN_map 1 set peer 2.2.2.2
crypto map WAN_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map WAN_map 1 set security-association lifetime seconds 86400
crypto map WAN_map 1 set nat-t-disable
crypto map WAN_map interface WAN
crypto isakmp identity address
crypto ikev1 enable WAN
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
group-policy GroupPolicy_2.2.2.2 internal
group-policy GroupPolicy_2.2.2.2 attributes
vpn-tunnel-protocol ikev1
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 general-attributes
default-group-policy GroupPolicy_2.2.2.2
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *******************
ikev2 remote-authentication certificate
ikev2 local-authentication pre-shared-key *******************
> вот ошибка не инициализации фазы 2:
> 1 name="newland" auth-algorithms=md5,sha1,sha512 enc-algorithms=3des,aes-256-cbc
> lifetime=1d pfs-group=none
> pfs-group=none
> предполагаю что должно быть
> pfs-group=modp1024
> как минимум.Да и из интереса проверил, работает как с pfs так и без него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность работы.
> Да и из интереса проверил, работает как с pfs так и без
> него. Вообщем пинг с 10.6.0.1 на 10.7.0.1 пошел. Осталось проверить стабильность
> работы.Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.
> Ого, вы 4 месяца внедряли! Напишите пожалуйста, как стабильность работы IPsec туннеля?
> Стоит задача внедрять Cisco ASA 5506 + IPsec VPN + MikroTik RB2011Ui.Я не сидел 4 месяца над этой задачей : ). В данный момент конкретно site to site соединение между микротиками и асой не задействовано по ряду причин (не технических). В момент тестирования проверил туннель держался стабильно в течение суток, но до активного использования и длительного поддержания тогда не проверял.
Но могу добавить то что на асе настроен Site to site с другой железкой, совершенно другого вендора - если туннель разваливается по техническим причинам, то они, не зависили от асы. Также на асе настроен L2tp сервер - работает как часы.
> Я не сидел 4 месяца над этой задачей : ). В данный
> момент конкретно site to site соединение между микротиками и асой не
> задействовано по ряду причин (не технических). В момент тестирования проверил туннель
> держался стабильно в течение суток, но до активного использования и длительного
> поддержания тогда не проверял.
> Но могу добавить то что на асе настроен Site to site с
> другой железкой, совершенно другого вендора - если туннель разваливается по техническим
> причинам, то они, не зависили от асы. Также на асе настроен
> L2tp сервер - работает как часы.Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa. Посмотрим что из этого выйдет :)
> Не с zixel ли vpn настроен?! Я попробую подружить MikroTik с asa.
> Посмотрим что из этого выйдет :)Нет не с zyxel. А вообще что site to site, что L2TP over IPSEC соединение микротика с асой работают.