+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Mikrotik IPSec к брандмауэру Cisco PIX.

Mikrotik IPSec к брандмауэру Cisco PIX., RouterOS

laacz

Guest

21.06.2007 08:50:00

Привет! Я пытаюсь создать IPSec-туннель к файрволу Cisco PIX, но он не устанавливается на этапе 1 ISAKMP. IP-адрес Mikrotik роутера – aa.aaa.aaa.aaa, Cisco PIX – bbb.bb.bb.bbb. Адрес назначения, к которому подключаемся через IPSec-туннель – ccc.cc.cc.ccc. Версия RouterOS – 2.9.39. Все из локальной сети NAT'ится на bbb.bb.bb.bbb.

17:28:13 ipsec,ike,info ставится в очередь запрос SA, фаза 1 с пиром bbb.bb.bb.bbb будет установлена первой.
17:28:13 ipsec,ike,info инициируется фаза 1, запуск режима Identity Protection (локальный aa.aaa.aaa.aaa:500)
(удаленный неизвестен)
17:28:13 ipsec,info пакет IPSec отброшен: src=aa.aaa.aaa.aaa dst=ccc.cc.cc.ccc
17:28:13 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:14 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:14 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:14 ipsec,ike,info пакет имеет недействительную полезную нагрузку ID (удаленный неизвестен)  Šis ir interesants. Nav gluži skaidrs, ko jams grib ar to teikt.
17:28:16 ipsec,info пакет IPSec отброшен: src=aa.aaa.aaa.aaa dst=ccc.cc.cc.ccc
17:28:22 ipsec,info пакет IPSec отброшен: src=aa.aaa.aaa.aaa dst=ccc.cc.cc.ccc
17:28:24 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:34 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:44 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 1, Identity Protection
17:28:45 ipsec,ike,info удаление запроса SA к bbb.bb.bb.bbb, время ожидания фазы 1 истекло.
17:28:54 ipsec,ike,info получен пакет ISAKMP от bbb.bb.bb.bbb:500, фаза 2, Informational
17:28:55 ipsec,ike,info фаза 1 удалена (локальный aa.aaa.aaa.aaa:500) (удаленный bbb.bb.bb.bbb:500) Конфигурация IPSec:

Код

/ip ipsec proposal add name=“my-proposal” auth-algorithms=md5,sha1 enc-algorithms=3des,aes-256 lifetime=1h lifebytes=0 pfs-group=modp1024 disabled=no /ip ipsec peer add address=bbb.bb.bb.bbb/32:500 secret=“xxxx” generate-policy=no exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 disabled=no /ip ipsec policy add src-address=ccc.cc.cc.ccc/32:any dst-address=aa.aaa.aaa.aaa/32:3389 protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=aa.aaa.aaa.aaa sa-dst-address=bbb.bb.bb.bbb proposal=my-proposal manual-sa=none dont-fragment=clear disabled=yes

bespenschied Guest	#2 0 06.03.2008 05:56:00 laacz, ты так и разобрался с этим? У меня та же ошибка между MikroTik и CISCO ASA.

glocke

Guest

16.04.2008 14:26:00

Привет, комьюнити MT! У меня возникла та же проблема с Cisco ASA. Мы перепроверили наши настройки с обеих сторон, причем даже несколько человек. Экспериментировали с разными комбинациями настроек как на ASA, так и в MT. Безрезультатно. Фаза 1 не завершается, получаю те же сообщения об ошибках, что и автор исходного поста. Пре-шерид ключ точно не отличается (сейчас “123”, ошибок в написании быть не может) / ip ipsec policy
src-address=xx.xx.xx.xx/xx:any dst-address=yy.yy.yy.yy/yy:any protocol=all action=encrypt
level=require ipsec-protocols=esp tunnel=yes sa-src-address=aa.aa.aa.aa
sa-dst-address=bb.bb.bb.bb proposal=cc manual-sa=none dont-fragment=clear / ip ipsec proposal
name="cc" auth-algorithms=sha1 enc-algorithms=3des lifetime=1h lifebytes=0 pfs-group=modp1024 / ip ipsec peer
address=bb.bb.bb.bb/32:500 secret="123" generate-policy=no exchange-mode=main
send-initial-contact=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=3des
dh-group=modp1024 lifetime=1h lifebytes=100000 MT – версия 2.9.50, ASA – Cisco ASA 5500. Логи выглядят так (пытаюсь пинговать с этой стороны): 16:15:13 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:14 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:16 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:17 ipsec,ike,info dequeuing SA request to bb.bb.bb.bb, phase 1 wait timed out
16:15:17 ipsec,ike,info queuing SA request, phase 1 with peer bb.bb.bb.bb will be established first
16:15:17 ipsec,ike,info initiating phase 1, starting mode Identity Protection (local aa.aa.aa.aa:500) (remote unknown)
16:15:17 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:17 ipsec,ike,info received ISAKMP packet from bb.bb.bb.bb:500, phase 1, Identity Protection
16:15:17 ipsec,ike,info received ISAKMP packet from bb.bb.bb.bb:500, phase 1, Identity Protection
16:15:17 ipsec,ike,info received ISAKMP packet from bb.bb.bb.bb:500, phase 1, Identity Protection
16:15:17 ipsec,ike,info packet has invalid ID payload (remote unknown)
16:15:17 ipsec,ike,info received ISAKMP packet from bb.bb.bb.bb:500, phase 2, Informational
16:15:50 ipsec,ike,info phase 1 deleted (local aa.aa.aa.aa:500) (remote bb.bb.bb.bb:500)
16:15:50 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy
16:15:52 ipsec,info ipsec packet discarded: src=xx.xx.xx.xx dst=yy.yy.yy.yy

Команды `debug crypto isakmp` и `debug crypto ipsec` не дают никакой полезной информации или очевидных ошибок. VPN с IPSec к Cisco PIX или другим MT работают отлично. Буду благодарен за любые комментарии.
Greetings glocke

delmarh

Guest

22.04.2008 06:16:00

У меня тоже эта проблема между RB (пробовал RB150 и 192), оба с RouterOS 3.7, подключаются к Cisco ASA5510. Cisco, знаете ли, печально известны тем, что плохо ладят с остальными (WatchGuard – вот один из примеров). В общем, у меня есть SmartNet на Cisco, и я сейчас работаю с Cisco TAC. Как только это заработает, поделюсь опытом. Понимаю, как это может быть неприятно! Делмар

glocke

Guest

22.04.2008 07:55:00

Привет ещё раз, по крайней мере, мы решили проблему. Помогло выполнение команды isakmp identity address на ASA (как мне сказали, без параметров). Я не особо разбираюсь в Cisco, поэтому не понимаю, что эта команда делает, но помогло. Ещё одна проблема была в том, что "lifebytes" для предложения и фазы 1 на самом деле килобайты (я проверил дампом tcp – может, где-то это указано в документации). После этого фаза 1 всё равно не устанавливалась, но с настройкой Cisco она теперь работает как часы (наконец-то!). Надеюсь, это кому-нибудь поможет.
Приветы.

glocke

Guest

23.04.2008 14:38:00

Ладно, возвращаемся к началу. Другие VPN-сервисы больше не работали на удаленной стороне при вышеуказанных настройках. Предупреждаю. Поэтому мы вернулись к прежним настройкам. Теперь пришло время для аппаратного решения, программное не помогло.

ddelic

Guest

29.04.2008 09:48:00

У меня была та же проблема, когда подключал Mikrotik 2.9.50 к PIX. Решение, как ни странно, заключается в добавлении нового пира с IP-адресом самого роутера Mikrotik, без какого-либо Secret, как в твоей конфигурации. Просто добавь нового пира с IP aa.aa.aa.aa, без Secret, и всё должно заработать. По крайней мере, это помогло мне, я перепробовал кучу всего, получил ту же самую отладку, как у тебя, а в конце концов добавил это, и всё просто заработало.

glocke

Guest

29.04.2008 10:30:00

Звучит безумно, чувак, но я попробую [редактировано] Окей, не работает для меня, боюсь. Я добавил "myself" как пира, один раз со стандартными настройками (просто ввел IP и нажал OK) и также с точно такими же настройками, как у настоящего пира, но с моим "my" IP и не секретным. Безрезультатно. Спасибо за помощь, ddelic, я ценю. Надеюсь, это поможет кому-то еще с PIX, может, не работает с ASA? (как я уже говорил, я не специалист по Cisco). Но дополнительное оборудование уже заказано, привет glocke.

ddelic Guest	#9 0 29.04.2008 11:49:00 Можешь скинуть часть кода PIX, касающуюся этой IPSec-связи? И еще: у вас включено SRC-NAT на адресе xx.xx.xx.xx или какой-либо NAT на этом устройстве? И вы уверены, что не блокируете UDP-пакеты 500 в внутренней цепочке?

glocke Guest	#10 0 29.04.2008 13:56:00 Боюсь, не могу, нет доступа, да и потом, это все равно конфиденциально (политика клиентов). Как видите в логах от первоисточника, пакеты isakmp принимаются от пира, но с "недействительной полезной нагрузкой ID". Когда я вывожу список удаленных пиров на MT, я вижу своего удаленного пира со статусом "сообщение 3 отправлено" на короткий период, затем происходит таймаут: "dequeuing SA request to bb.bb.bb.bb, phase 1 wait timed out”. Я также получаю пакеты phase 2 от пира, но MT все еще на phase 1 и (я предполагаю) отбрасывает их. NAT на xx.xx.xx.xx или на стороне удаленного пира нет (мне так сказали; я спросил об этом явно, потому что в этом форуме упоминалось, что это может создавать проблемы). С уважением, glocke

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры