Добрый день.Существует проблема, не могу подружить между собой Циску и Джуник, не поднимая GRE.
Задача, поднять IPSEC. (насколько я знаю ASA не поддерживает GRE)
IPsec поднят, согласование прошло со стороны асашки все работает моя сеть доступна через ipsec-vpn, а вот со стороны джунипера трафик тупо не заворачивается в туннель.
Кто сталкивался с подобным или кто может помочь отпишитесь, выложу конфигу и обсудим.
Заранее спасибо))))
одна из конфигурций которую пытался поднять
|
|
|
|
V
--------------------------Interface-----------------------------------
ge-0/0/1 {
vlan-tagging;
unit 3 {
description untrust-link;
vlan-id 3;
family inet {
address yyy.yyy.yyy.1/30;
}
}
unit 4 {
description trust;
vlan-id 4;
family inet {
address aaa.aaa.aaa.1/30;----------------------------------Zone's---------------------------------------
security-zone trust {
address-book {
address local-net aaa.aaa.aaa.aaa/24;
}
host-inbound-traffic {
system-services {
ping;
traceroute;
http;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.4;
security-zone untrust {
address-book {
address remote-net bbb.bbb.bbb.bbb/27;
}
host-inbound-traffic {
system-services {
ike;
ping;
traceroute;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.3;
}---------------------------------------Routing---------------------------------
static {
route aaa.aaa.aaa.aaa/24 next-hop aaa.aaa.aaa.2;
route xxx.xxx.xxx.xxx/32 next-hop yyy.yyy.yyy.2;
}
---------------------------------------------------------------------------security ike
proposal Phase1_for_##### {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;Policy Policy_for_##### {
mode main;
proposals Phase1_for_#####;
pre-shared-key ascii-text "encrypted keys"; ## SECRET-DATAgateway ##### {
ike-policy Policy_for_#####;
address xxx.xxx.xxx.xxx;
external-interface ge-0/0/1.3;
------------------------------------------------------security ipsec
proposal Phase-2_for_##### {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
lifetime-kilobytes 1048576;policy Police_Phase2_for_##### {
perfect-forward-secrecy {
keys group2;
}
proposals Phase-2_for_#####;vpn VPN_##### {
ike {
gateway #####;
ipsec-policy Police_Phase2_for_#####;
}
establish-tunnels immediately;
}
------------------------------------------------------------
Policyfrom-zone trust to-zone untrust {
policy vpnpolicy-tr-unt {
match {
source-address local-net;
destination-address remote-net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn #####;
pair-policy vpnpolicy-unt-tr;
}
}
}
}
policy any-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy vpnpolicy-unt-tr {
match {
source-address remote-net;
destination-address local-net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn #####;
pair-policy vpnpolicy-tr-unt;
}
}
}
}
}
------------------------------------------------------------
попробуй убрать из ipsec:perfect-forward-secrecy {
keys group2
> попробуй убрать из ipsec:
> perfect-forward-secrecy {
>
> keys group2на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA тоже возможно,надо разбираться. Подружил именно по l2l vpn.
>> попробуй убрать из ipsec:
>> perfect-forward-secrecy {
>>
>> keys group2на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте route-based vpn, a не policy-based, как у Вас сделано.
>>> попробуй убрать из ipsec:
>>> perfect-forward-secrecy {
>>>
>>> keys group2
> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
> route-based vpn, a не policy-based, как у Вас сделано.С роутером тоже дружил, только GRE over IPsec. проблема в том что полиси не заворачивает трафик в VPN. если указывать роут за его енд поинт то трафик соответственно уходит через внешку. в понедельник попробую. отпишусь, спасибо.
В понедельник скину другой вариант конфиги которую поднимал, существует небольшая проблема, у меня нет асашки))) асашки стоит у другой компании, поэтому нормально конфигу с ее стороны не могу посмотреть.
>>> попробуй убрать из ipsec:
>>> perfect-forward-secrecy {
>>>
>>> keys group2
> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
> route-based vpn, a не policy-based, как у Вас сделано.Что можете сказать по поводу роутинга.
>>>> попробуй убрать из ipsec:
>>>> perfect-forward-secrecy {
>>>>
>>>> keys group2
>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>> route-based vpn, a не policy-based, как у Вас сделано.
> Что можете сказать по поводу роутинга.ну как там у Вас получилось что-нить?
>>>>> попробуй убрать из ipsec:
>>>>> perfect-forward-secrecy {
>>>>>
>>>>> keys group2
>>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>> route-based vpn, a не policy-based, как у Вас сделано.
>> Что можете сказать по поводу роутинга.
> ну как там у Вас получилось что-нить?Да честно говоря пока нет. Работает в одну сторону , и то пинги прерываются((((
>[оверквотинг удален]
>>>>>> perfect-forward-secrecy {
>>>>>>
>>>>>> keys group2
>>>> на прошлой недели подружил с cisco роутером джунипер SRX240. Думаю с ASA
>>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>>> route-based vpn, a не policy-based, как у Вас сделано.
>>> Что можете сказать по поводу роутинга.
>> ну как там у Вас получилось что-нить?
> Да честно говоря пока нет. Работает в одну сторону , и то
> пинги прерываются((((честно говоря курю маны уже второй день, и прихожу к выводу что (нереальному выводу) может блин не дружаться между собой асашка с джуником по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE over IPsec ASA не поддерживает
>[оверквотинг удален]
>>>>> тоже возможно,надо разбираться. Подружил именно по l2l vpn.Кстати подружил именно в варианте
>>>>> route-based vpn, a не policy-based, как у Вас сделано.
>>>> Что можете сказать по поводу роутинга.
>>> ну как там у Вас получилось что-нить?
>> Да честно говоря пока нет. Работает в одну сторону , и то
>> пинги прерываются((((
> честно говоря курю маны уже второй день, и прихожу к выводу что
> (нереальному выводу) может блин не дружаться между собой асашка с джуником
> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
> over IPsec ASA не поддерживаета конфиг asa актуальный есть? доступ можете временный дать - я бы тоже посмотрел. Вообщем пишите аську, я стукну
>[оверквотинг удален]
>>>>> Что можете сказать по поводу роутинга.
>>>> ну как там у Вас получилось что-нить?
>>> Да честно говоря пока нет. Работает в одну сторону , и то
>>> пинги прерываются((((
>> честно говоря курю маны уже второй день, и прихожу к выводу что
>> (нереальному выводу) может блин не дружаться между собой асашка с джуником
>> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
>> over IPsec ASA не поддерживает
> а конфиг asa актуальный есть? доступ можете временный дать - я бы
> тоже посмотрел. Вообщем пишите аську, я стукнуДа я с удовольствием бы сам покопался, но асашка стоит не у меня и даже не у нас в компании, так что ужасно, а еще если учесть что по ней пегает реальный трафик, то доступ удаленный на нее врядли дадут. По словам технаря который администрирует эту циску, все ништяк с его стороны
>[оверквотинг удален]
>>> (нереальному выводу) может блин не дружаться между собой асашка с джуником
>>> по полиси-бэйсед IPsec, так как роуте-бэйсед IPSEC поднять не могу GRE
>>> over IPsec ASA не поддерживает
>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>> тоже посмотрел. Вообщем пишите аську, я стукну
> Да я с удовольствием бы сам покопался, но асашка стоит не у
> меня и даже не у нас в компании, так что ужасно,
> а еще если учесть что по ней пегает реальный трафик, то
> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
> эту циску, все ништяк с его стороныда я не про cisco, а про juniper. Плюс конфиг ASA нужен и все
>[оверквотинг удален]
>>>> over IPsec ASA не поддерживает
>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>> тоже посмотрел. Вообщем пишите аську, я стукну
>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>> меня и даже не у нас в компании, так что ужасно,
>> а еще если учесть что по ней пегает реальный трафик, то
>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>> эту циску, все ништяк с его стороны
> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
> и всенашли траблу только она на стороне АСЫ. нарыл ASA после дебага
Deny TCP (no connection) "from remote net"/445 to "local"/62181 flags RST ACK on interface inside
Denied ICMP type=0, from laddr куьщгеу host on interface inside to localinterfacetrust: no matching sessionIPSEC: Received an ESP packet (SPI= 0xD1446D07, sequence number= 0x2) from "мой ендпоинт" (user= энд поинт) to мой эндпоинт. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as мой эндпоинт, its source as мой эндпоинт, and its protocol as 1. The SA specifies its local proxy as remotenet/255.255.255.0/0/0 and its remote_proxy as localnet/255.255.255.0/0/0.
Тоесть мой запрос уходит через тунель доходит до удаленного хоста, но ответ у себя рубит ASA. вот такая трабла.
>[оверквотинг удален]
>>>> over IPsec ASA не поддерживает
>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>> тоже посмотрел. Вообщем пишите аську, я стукну
>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>> меня и даже не у нас в компании, так что ужасно,
>> а еще если учесть что по ней пегает реальный трафик, то
>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>> эту циску, все ништяк с его стороны
> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
> и всеесли есть скайп напиши постучусь
>[оверквотинг удален]
>>>> а конфиг asa актуальный есть? доступ можете временный дать - я бы
>>>> тоже посмотрел. Вообщем пишите аську, я стукну
>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>> меня и даже не у нас в компании, так что ужасно,
>>> а еще если учесть что по ней пегает реальный трафик, то
>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>> эту циску, все ништяк с его стороны
>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>> и все
> если есть скайп напиши постучусьскайпа на работе не держу, а дома некогда будет пообщаться. только аська возможный вариант
>[оверквотинг удален]
>>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>>> меня и даже не у нас в компании, так что ужасно,
>>>> а еще если учесть что по ней пегает реальный трафик, то
>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>> эту циску, все ништяк с его стороны
>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>> и все
>> если есть скайп напиши постучусь
> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
> возможный вариантSergey Lesin ----> в аське постучись
>[оверквотинг удален]
>>>> Да я с удовольствием бы сам покопался, но асашка стоит не у
>>>> меня и даже не у нас в компании, так что ужасно,
>>>> а еще если учесть что по ней пегает реальный трафик, то
>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>> эту циску, все ништяк с его стороны
>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>> и все
>> если есть скайп напиши постучусь
> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
> возможный вариантПроблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему где подробно опишу и выложу подробный пример конфиги с двух сторон. Думаю поможет кому-нибудь.
Добрый день всем.
У меня аналогичная проблема с asa5505 и juniper srx100
Только ситуация выглядит вот как.
При загрузке джунипера туннель работает нормально.
Как только пропадает активность из сети джунипера, фазы ipsec падают по таймауту, фаза isakmp работает нормально. При проходе трафика из сети джунипера каналы ipsec не поднимаются. При проходе трафика со стороны ASA каналы поднимаются и начинают работать.
Помогите побороть ?>[оверквотинг удален]
>>>>> доступ удаленный на нее врядли дадут. По словам технаря который администрирует
>>>>> эту циску, все ништяк с его стороны
>>>> да я не про cisco, а про juniper. Плюс конфиг ASA нужен
>>>> и все
>>> если есть скайп напиши постучусь
>> скайпа на работе не держу, а дома некогда будет пообщаться. только аська
>> возможный вариант
> Проблема решена, спасибо за помощь и содействие "Aleks305". Позже создам отдельную тему
> где подробно опишу и выложу подробный пример конфиги с двух сторон.
> Думаю поможет кому-нибудь.
Конфиги с обоих сторон могу приложить.
> Конфиги с обоих сторон могу приложить.У вас туннель ipsec появляется только когда трафик интересный(описанный acl) проходит.
Я так думаю.
проблема должна решаться строчкой на джуне
establish-tunnels immediately - это будет держать туннели в поднятом состоянии не в зависимости от наличия интересного трафика
на asa по-моему по-дефолту такой режим стоит
Такая строчка прописана.
Результата положительного не добавляет. :(
> Такая строчка прописана.
> Результата положительного не добавляет. :(покажите конфиги!!!
Не охото сюда писать.
Постучитесь в icq 162877374 ?
скинул линку в icq, общаться давайте тут, на работе icq нету %)
> скинул линку в icq, общаться давайте тут, на работе icq нету %)Для того чтобы туннели оставались поднятыми постоянно я делал route-based vpn на juniper. У тебя policy-based - может в этом проблема.
isakamp подняты постоянно?
На ASA подняты.
а можно пример route-based? это gre тунели чтоле?
> На ASA подняты.
> а можно пример route-based? это gre тунели чтоле?нет на джунипере надо - Asa не надо трогать.
Можешь тогда дать пример конфига?
У меня есть тестовый джунипер, я на нем потренируюсь.
Можно так сделать?
Могешь даже тот поправить, который я прислал.
> Могешь даже тот поправить, который я прислал.http://forums.juniper.net/t5/SRX-Services-Gateway/SRX240-to-... - вот здесь разбирайся.
Конечно погляжу сегодня.
Но вот эта строчка меня сразу пугает :)Anyone know if it's possible to add multiple proxy-identity networks
Ибо у меня несколько сетей надо пропускать(
2- Route based VPN. Here you can create multiple phase 2 VPN entries where you explicitly specify the proxy-IDs, then bind them to the same ST0.X interface.Я думаю вот это спасет, поглядим днем.
> 2- Route based VPN. Here you can create multiple phase 2 VPN
> entries where you explicitly specify the proxy-IDs, then bind them to
> the same ST0.X interface.
> Я думаю вот это спасет, поглядим днем.я делал с одним st0.0 больше не практиковал Просто у меня сетку целую надо было связать. Несколько сложнее будет сконфигурировать - не пробовал, будет ли работать.отпишись тогда
А могешь конфиг таки прислать? а то интерфейсы я не создавал никогда, а в статье нету примера. Буду разбираться конечно, но хочется побыстрее)))
> А могешь конфиг таки прислать? а то интерфейсы я не создавал никогда,
> а в статье нету примера. Буду разбираться конечно, но хочется побыстрее)))set interface st0.0 ???
Ну вот смотри чего я налабал. Нифига не работает.Помогай, где чего не так?
interfaces {
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.15.190/24;
}
}
}
fe-0/0/7 {
unit 0 {
family inet {
address 192.168.21.254/24;
}
}
}
st0 {
unit 0 {
family inet;
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.1.15.2;
route 10.1.15.0/24 next-hop st0.0;
}
}
security {
ike {
proposal CustomerIKEP1-3des {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;}
policy CustomerCity {
mode main;
proposals CustomerIKEP1-3des;
pre-shared-key ascii-text "$9$F1uwnApO1RSlKB1db"; ## SECRET-DATA
}
gateway S2S-IKE-Gateway-CustomerCity {
ike-policy CustomerCity;
address 10.1.15.2;
local-identity inet 10.1.15.190;
external-interface fe-0/0/0;
}
}
ipsec {
proposal CustomerIPsecPhase2Proposal-3des {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 28800;
lifetime-kilobytes 1048576;
}
policy CustomerIPsecPolicy {
perfect-forward-secrecy {
keys group2;
}
proposals CustomerIPsecPhase2Proposal-3des;
}
vpn CustomerAppCityVPN {
bind-interface st0.0;
ike {
gateway S2S-IKE-Gateway-CustomerCity;
proxy-identity {
local 192.168.21.0/24;
remote 10.1.15.0/24;
service any;
}
ipsec-policy CustomerIPsecPolicy;
}
establish-tunnels immediately;zones {
security-zone trust {
interfaces {
st0.0;
fe-0/0/7.0;
}
}
security-zone untrust {
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
ssh;
telnet;
ping;
ike;
как-то так
from-zone trust to-zone vpn {
policy loc-to-remote {
match {
source-address local1;
destination-address remote1;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy remote-to-loc {
match {
source-address remote1;
destination-address local1;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy any-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
даже первая фаза не строится(
> даже первая фаза не строится(zone и zone-pair поменял?
То есть у тебя будет теперь 3 зоны trust,untrust и vpn. st0.0 в зоне vpn
неа) забыл.
Щас поменяю.
> неа) забыл.
> Щас поменяю.ну как дела?
>> неа) забыл.
>> Щас поменяю.
> ну как дела?работает все ок.
Спасибо за помощь.
>>> неа) забыл.
>>> Щас поменяю.
>> ну как дела?
> работает все ок.
> Спасибо за помощь.хорошо, что через 2 месяца ответил
to Aleks305
А вот ещё у меня вопрос такой есть, как на нем поглядеть соединения?
на ASA есть команда sh conn - она кажет.
А вот у него есть команда show connections all и она ничего не выдает, все время пишет No matching connections found.