forum.opennet.ru - "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+1 +/–
Сообщение от fomik2 (ok) on 06-Янв-13, 16:25
Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего интерфейса на хост в главном офисе проходит, когда от хоста внутренний интерфейс ASA пингую - не пингуется. ASA Version 8.4(4) ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.249.1 255.255.255.240 ! interface Vlan2 nameif outside security-level 0 pppoe client vpdn group inet ip address pppoe setroute ! ftp mode passive dns server-group DefaultDNS domain-name soglasie.ru object network obj_any subnet 0.0.0.0 0.0.0.0 object network obj-any subnet 0.0.0.0 0.0.0.0 object network 172.16.0.0-16 subnet 172.16.0.0 255.255.0.0 object network 172.17.0.0-16 subnet 172.17.0.0 255.255.0.0 object network 192.168.2.0-24 subnet 192.168.2.0 255.255.255.0 object network 192.168.3.0-24 subnet 192.168.3.0 255.255.255.0 object network 192.168.1.0-24 subnet 192.168.1.0 255.255.255.0 object network 192.168.38.0-23 subnet 192.168.38.0 255.255.254.0 object network inside-net subnet 192.168.249.0 255.255.255.240 object network 192.168.32.0-23 subnet 192.168.32.0 255.255.254.0 object-group network GO-nets network-object object 192.168.2.0-24 network-object object 192.168.3.0-24 network-object object 172.16.0.0-16 network-object object 172.17.0.0-16 network-object object 192.168.1.0-24 network-object object 192.168.38.0-23 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.16.0.0 255.255.0.0 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.2.0 255.255.255.0 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.3.0 255.255.255.0 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 172.17.0.0 255.255.0.0 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.32.0 255.255.254.0 access-list 100 extended permit ip 192.168.249.0 255.255.255.240 192.168.1.0 255.255.255.0 access-list 101 extended permit ip 192.168.249.0 255.255.255.240 192.168.38.0 255.255.254.0 pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT ! object network obj_any nat (inside,outside) dynamic interface object network obj-any nat (inside,outside) dynamic interface timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec ikev1 transform-set myset esp-des esp-md5-hmac crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer ** crypto map outside_map 20 set ikev1 transform-set myset crypto map outside_map 20 set nat-t-disable crypto map outside_map 30 match address 101 crypto map outside_map 30 set peer crypto map outside_map 30 set ikev1 transform-set myset crypto map outside_map interface outside crypto ikev1 enable outside crypto ikev1 policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet 0.0.0.0 0.0.0.0 inside telnet timeout 60 ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 management-access inside dhcpd dns 172.16.214.164 8.8.8.8 dhcpd auto_config outside dhcpd option 242 ascii HTTPSRVR=172.17.1.11,MCIPADD=172.17.5.5,MCPORT=1719 ! dhcpd address 192.168.249.2-192.168.249.14 inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn tunnel-group type ipsec-l2l tunnel-group ipsec-attributes ikev1 pre-shared-key * tunnel-group type ipsec-l2l tunnel-group ipsec-attributes ikev1 pre-shared-key * tunnel-group type ipsec-l2l tunnel-group ipsec-attributes ikev1 pre-shared-key *** ! ! prompt hostname context no call-home reporting anonymous : end icmp permit any пробовал - не работает.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA не пингуется внутренний интерфейс (туннель работает), Aleks305, 17:41 , 06-Янв-13, (1)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), fomik2, 17:20 , 09-Янв-13, (2)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), eek, 09:29 , 10-Янв-13, (3)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), Дмитрий, 12:18 , 15-Янв-14, (8)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), Rada, 10:25 , 05-Фев-13, (4)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), radashah22, 10:42 , 05-Фев-13, (5)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), apex2009, 09:47 , 06-Фев-13, (6)

Cisco ASA не пингуется внутренний интерфейс (туннель работает), radashah22, 10:08 , 07-Фев-13, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от Aleks305 (ok) on 06-Янв-13, 17:41

>[оверквотинг удален]
>  ikev1 pre-shared-key *****
> tunnel-group **** type ipsec-l2l
> tunnel-group **** ipsec-attributes
>  ikev1 pre-shared-key *****
> !
> !
> prompt hostname context
> no call-home reporting anonymous
> : end
> icmp permit any пробовал - не работает.
читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно решить с использованием management interface

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от fomik2 (ok) on 09-Янв-13, 17:20

>[оверквотинг удален]
>> tunnel-group **** ipsec-attributes
>>  ikev1 pre-shared-key *****
>> !
>> !
>> prompt hostname context
>> no call-home reporting anonymous
>> : end
>> icmp permit any пробовал - не работает.
> читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно
> решить с использованием management interface
Пробовал - не помогает.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от eek on 10-Янв-13, 09:29

> Пробовал - не помогает.
Так не бывает. Либо пробовали не то, либо не пробовали.
Покажите вывод вот этого:
sh run policy-map global_policy
и этого
sh run access-list

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от Дмитрий (??) on 15-Янв-14, 12:18

>> Пробовал - не помогает.
> Так не бывает. Либо пробовали не то, либо не пробовали.
> Покажите вывод вот этого:
> sh run policy-map global_policy
> и этого
> sh run access-list
а разве на ciscoasa5505 работает management interface? У меня точь в точь такая же проблема, сейчас набрал:
asa5505(config)# interface ?
configure mode commands/options:
  Ethernet  IEEE 802.3
  Vlan      Catalyst Vlans
  <cr>
Менеджмента нету.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от Rada on 05-Фев-13, 10:25

> Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего
> интерфейса на хост в главном офисе проходит, когда от хоста внутренний
> интерфейс ASA пингую - не пингуется.
Добрый день.

Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает  run policy-map global_policy.
Nat-control  отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252
interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248
object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5
object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67
access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от radashah22 (ok) on 05-Фев-13, 10:42

Добрый день.
Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает
%ASA-6-110003: Routing failed to locate next-hop for protocol from src
interface:src IP/src port to dest interface:dest IP/dest port.
Nat-control  отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 5.6.7.8 255.255.255.252
interface Ethernet0/2.2
vlan 777
nameif office
security-level 0
ip address 1.2.3.4 255.255.255.248
object-group network DM_INLINE_NETWORK_4
network-object host 1.2.3.4
network-object host 1.2.3.5
object-group network DM_INLINE_NETWORK_3
network-object host 33.44.55.66
network-object host 33.44.55.67
access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3
access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от apex2009 (??) on 06-Фев-13, 09:47

> Добрый день.
> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
> denied by configured rule. Хотя с аксесс листом any any permit
> на все протоколы ошибка остается. А так в логах при попытке
> инициализации выдает
>
покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)" +/–

Сообщение от radashah22 (ok) on 07-Фев-13, 10:08

>> Добрый день.
>> Я как рах столкнулась с проблемой, что не могу с локального интерфейса
>> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель
>> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это
>> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is
>> denied by configured rule. Хотя с аксесс листом any any permit
>> на все протоколы ошибка остается. А так в логах при попытке
>> инициализации выдает
>>
> покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa
   Active SA: 4
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 4
4   IKE Peer: 87.244.112.4
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE

interface: outside
    Crypto map tag: outside_map0, seq num: 2, local addr: 86.32.171.70
      access-list outside_2_cryptomap permit ip host 86.32.171.179 host 87.244.112.61
      local ident (addr/mask/prot/port): (86.32.171.179/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (87.244.112.61/255.255.255.255/0/0)
      current_peer: 87.244.112.4
      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0
      local crypto endpt.: 86.32.171.70, remote crypto endpt.: 87.244.112.4
      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: FBAF326A
    inbound esp sas:
      spi: 0x7F93C435 (2140390453)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 73265152, crypto-map: outside_map0
         sa timing: remaining key lifetime (kB/sec): (3915000/2620)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0xFBAF326A (4222562922)
         transform: esp-aes-256 esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 73265152, crypto-map: outside_map0
         sa timing: remaining key lifetime (kB/sec): (3915000/2620)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
access-list outside_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_7 object-group DM_INLINE_NETWORK_9
object-group network DM_INLINE_NETWORK_7
network-object host 86.32.171.178
network-object host 86.32.171.179
object-group network DM_INLINE_NETWORK_9
network-object host 87.244.112.51
network-object host 87.244.112.61
Так вот со 86.32.171.179 сессия поднимается, а со 86.32.171.178 ( директли коннект) нет...

interface Ethernet0/2
no nameif
no security-level
no ip address
!
!
interface Ethernet0/2.2
vlan 777
nameif newpublic-office
security-level 100
ip address 86.32.171.178 255.255.255.248

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
Сообщение от Aleks305 (ok) on 06-Янв-13, 17:41
>[оверквотинг удален] > ikev1 pre-shared-key *** > tunnel-group type ipsec-l2l > tunnel-group ipsec-attributes > ikev1 pre-shared-key *** > ! > ! > prompt hostname context > no call-home reporting anonymous > : end > icmp permit any пробовал - не работает. читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно решить с использованием management interface
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от fomik2 (ok) on 09-Янв-13, 17:20
	>[оверквотинг удален] >> tunnel-group ** ipsec-attributes >> ikev1 pre-shared-key *** >> ! >> ! >> prompt hostname context >> no call-home reporting anonymous >> : end >> icmp permit any пробовал - не работает. > читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно > решить с использованием management interface Пробовал - не помогает.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от eek on 10-Янв-13, 09:29
	> Пробовал - не помогает. Так не бывает. Либо пробовали не то, либо не пробовали. Покажите вывод вот этого: sh run policy-map global_policy и этого sh run access-list
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	8. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от Дмитрий (??) on 15-Янв-14, 12:18
	>> Пробовал - не помогает. > Так не бывает. Либо пробовали не то, либо не пробовали. > Покажите вывод вот этого: > sh run policy-map global_policy > и этого > sh run access-list а разве на ciscoasa5505 работает management interface? У меня точь в точь такая же проблема, сейчас набрал: asa5505(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 Vlan Catalyst Vlans <cr> Менеджмента нету.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

4. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
Сообщение от Rada on 05-Фев-13, 10:25
> Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего > интерфейса на хост в главном офисе проходит, когда от хоста внутренний > интерфейс ASA пингую - не пингуется. Добрый день. Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает run policy-map global_policy. Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк? ! interface Ethernet0/0 nameif outside security-level 0 ip address 5.6.7.8 255.255.255.252 interface Ethernet0/2.2 vlan 777 nameif office security-level 0 ip address 1.2.3.4 255.255.255.248 object-group network DM_INLINE_NETWORK_4 network-object host 1.2.3.4 network-object host 1.2.3.5 object-group network DM_INLINE_NETWORK_3 network-object host 33.44.55.66 network-object host 33.44.55.67 access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3 access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3 access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от radashah22 (ok) on 05-Фев-13, 10:42
	Добрый день. Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает %ASA-6-110003: Routing failed to locate next-hop for protocol from src interface:src IP/src port to dest interface:dest IP/dest port. Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк? ! interface Ethernet0/0 nameif outside security-level 0 ip address 5.6.7.8 255.255.255.252 interface Ethernet0/2.2 vlan 777 nameif office security-level 0 ip address 1.2.3.4 255.255.255.248 object-group network DM_INLINE_NETWORK_4 network-object host 1.2.3.4 network-object host 1.2.3.5 object-group network DM_INLINE_NETWORK_3 network-object host 33.44.55.66 network-object host 33.44.55.67 access-list newpublic-office_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3 access-list outside_2_cryptomap extended permit ip object-group DM_INLINE_NETWORK_4 object-group DM_INLINE_NETWORK_3 access-list newpublic-office_access_in extended permit tcp object-group DM_INLINE_NETWORK_4 host 33.44.55.66 eq 8081
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от apex2009 (??) on 06-Фев-13, 09:47
	> Добрый день. > Я как рах столкнулась с проблемой, что не могу с локального интерфейса > асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель > нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это > может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is > denied by configured rule. Хотя с аксесс листом any any permit > на все протоколы ошибка остается. А так в логах при попытке > инициализации выдает > покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Cisco ASA не пингуется внутренний интерфейс (туннель работает)"	+/–
	Сообщение от radashah22 (ok) on 07-Фев-13, 10:08
	>> Добрый день. >> Я как рах столкнулась с проблемой, что не могу с локального интерфейса >> асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель >> нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это >> может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is >> denied by configured rule. Хотя с аксесс листом any any permit >> на все протоколы ошибка остается. А так в логах при попытке >> инициализации выдает >> > покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa Active SA: 4 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 4 4 IKE Peer: 87.244.112.4 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE interface: outside Crypto map tag: outside_map0, seq num: 2, local addr: 86.32.171.70 access-list outside_2_cryptomap permit ip host 86.32.171.179 host 87.244.112.61 local ident (addr/mask/prot/port): (86.32.171.179/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (87.244.112.61/255.255.255.255/0/0) current_peer: 87.244.112.4 #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 86.32.171.70, remote crypto endpt.: 87.244.112.4 path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: FBAF326A inbound esp sas: spi: 0x7F93C435 (2140390453) transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 73265152, crypto-map: outside_map0 sa timing: remaining key lifetime (kB/sec): (3915000/2620) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0xFBAF326A (4222562922) transform: esp-aes-256 esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 73265152, crypto-map: outside_map0 sa timing: remaining key lifetime (kB/sec): (3915000/2620) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 access-list outside_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_7 object-group DM_INLINE_NETWORK_9 object-group network DM_INLINE_NETWORK_7 network-object host 86.32.171.178 network-object host 86.32.171.179 object-group network DM_INLINE_NETWORK_9 network-object host 87.244.112.51 network-object host 87.244.112.61 Так вот со 86.32.171.179 сессия поднимается, а со 86.32.171.178 ( директли коннект) нет... interface Ethernet0/2 no nameif no security-level no ip address ! ! interface Ethernet0/2.2 vlan 777 nameif newpublic-office security-level 100 ip address 86.32.171.178 255.255.255.248
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору