GD Star Rating
loading...

Привет, цисканы!
тут такое дело
есть два кресла, на одном пики точены на другом… ой, не так.
есть три офиса
в двух стоят pfSense роутеры, а третьем циска 892
продолжение внутри инсайда

случайная кпз для привлечения вашего драгоценного внимания

Image #1850605, 99.8 KB

pfSense роутеры и циска 892, 5.0 out of 5 based on 1 rating
Tagged with →  

18 Responses to pfSense роутеры и циска 892

  1. OelNo:

    Простыня автора:

    пфсенсы сдружились между собой по ипсек без проблем
    а вот с циской не особо получается
    тоннель между циской и пфсенсом поднят

    r1#show crypto session
    Crypto session current status

    Interface: GigabitEthernet0
    Session status: UP–ACTIVE
    Peer: 77.244.65.237 port 500
    IKE SA: local 88.216.x.y/500 remote 77.244.a.b/500 Active
    IKE SA: local 88.216.x.y/500 remote 77.244.a.b/500 Active
    IPSEC FLOW: permit ip 10.1.0.0/255.255.255.0 10.0.0.0/255.255.252.0
    Active SAs: 2, origin: crypto map
    IPSEC FLOW: permit ip 10.0.0.0/255.255.252.0 10.1.0.0/255.255.255.0
    Active SAs: 0, origin: crypto map

    Но трафик не направляется в тоннель

    r1#traceroute
    Protocol [ip]:
    Target IP address: 10.0.0.20
    Source address: 10.0.0.1
    % Invalid source address
    radico–eu–r1#traceroute
    Protocol [ip]:
    Target IP address: 10.0.0.20
    Source address: 10.1.0.1
    Numeric display [n]: y
    Timeout in seconds [3]:
    Probe count [3]:
    Minimum Time to Live [1]:
    Maximum Time to Live [30]:
    Port Number [33434]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Type escape sequence to abort.
    Tracing the route to 10.0.0.20

    1 88.216.x.z 0 msec 4 msec 0 msec
    2 88.216.x.c 0 msec 4 msec 0 msec
    3 88.216.x.d 4 msec 4 msec 4 msec
    4 88.216.x.d!H * *

    Т.е трафик не отправляется в тоннель самой циской?
    ЧЯДНТ?

  2. Tseer:

    раутинг глянь

  3. Ely00:

    возможно :
    ip route 10.1.0.0 255.255.255.0 77.244.65.237
    как вариант
    reverse route в криптомапе

  4. MahAll:

    r1#show crypto session
    Crypto session current status

    Interface: GigabitEthernet0
    Session status: UP-ACTIVE
    Peer: 77.244.65.237 port 500
    IKE SA: local 88.216.95.98/500 remote 77.244.65.237/500 Active
    IPSEC FLOW: permit ip 10.1.0.0/255.255.255.0 10.0.0.0/255.255.252.0
    Active SAs: 2, origin: crypto map
    IPSEC FLOW: permit ip 10.0.0.0/255.255.252.0 10.1.0.0/255.255.255.0
    Active SAs: 0, origin: crypto map -r1#show ip route
    Codes: L – local, C – connected, S – static, R – RIP, M – mobile, B – BGP
    D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
    N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
    E1 – OSPF external type 1, E2 – OSPF external type 2
    i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
    ia – IS-IS inter area, * – candidate default, U – per-user static route
    o – ODR, P – periodic downloaded static route, + – replicated route

    Gateway of last resort is 88.216.95.97 to network 0.0.0.0

    S* 0.0.0.0/0 [1/0] via 88.216.95.97
    10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
    S 10.0.0.0/22 [1/0] via 77.244.65.237
    C 10.1.0.0/24 is directly connected, Vlan1
    L 10.1.0.1/32 is directly connected, Vlan1
    88.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
    C 88.216.95.96/27 is directly connected, GigabitEthernet0
    L 88.216.95.98/32 is directly connected, GigabitEthernet0

    r1#traceroute ip 10.0.0.20 numeric

    Type escape sequence to abort.
    Tracing the route to 10.0.0.20

    1 88.216.95.97 0 msec 0 msec 4 msec
    2 88.216.95.254 0 msec 0 msec 4 msec
    3 * * *
    4 * * *
    5 * * *
    6 * *
    88.216.87.77!H

  5. Lozodin:

    конфу выложи – так долго гадать можно

  6. MahAll:

    !
    version 15.0
    service timestamps debug datetime msec
    service timestamps log datetime msec
    service password-encryption!
    hostname r1!
    boot-start-marker
    boot-end-marker!
    logging rate-limit 10
    no logging monitor!
    aaa new-model!
    aaa authorization exec AUTHO_LIST local!
    aaa session-id common!
    clock timezone EET 3
    service-module wlan-ap 0 bootimage autonomous!
    crypto pki trustpoint TP-self-signed-1116345845
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-1116345845
    revocation-check none
    rsakeypair TP-self-signed-1116345845!
    crypto pki certificate chain TP-self-signed-1116345845
    certificate self-signed 01
    3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
    31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
    69666963 6174652D 31313136 33343538 3435301E 170D3133 30313134 31303137
    35305B17 0D323030 31303131 31313130 305A3031 312F302D 06035504 03132649
    4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31313633
    34353834 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
    8100BAF6 3F3DFE3E FD968921 2CBDC849 821A8866 B768CCE4 7C90C5BD 8BE4EE74
    A169F1BF C8351EEC F33BC656 3551F1D9 71108385 ABFF5758 7A918DEC 86B547E6
    6FD00BC8 9840420F 8B2F3F47 418AB006 1B60AEF6 E88ADED8 87BEA3C3 00A332C7
    13884175 BC082C4A 07DAA4B3 A870438F 4B5DD69A 55581508 61B54034 B058BCF7
    FC550203 010001A3 76307430 0F060355 1D130101 FF040530 030101FF 30210603
    551D1104 1A301882 16726164 69636F2D 65752D72 312E7261 6469636F 2E657530
    1F060355 1D230418 30168014 D34F4D55 FB4981B6 F4288888 977E2F23 7D6895EC
    301D0603 551D0E04 160414D3 4F4D55FB 4981B6F4 28888897 7E2F237D 6895EC30
    0D06092A 864886F7 0D010104 05000381 81001175 A60B0F91 8000FB55 802B8F38
    45FFB09E FCC88144 C0DCFCDB B0BF5731 DFB667F2 BCAD95BA D0E3FBF8 2F258C88
    DE3C723C E38AA277 B65939F0 FD2C5F23 D3AAFB6C C4DBECAB 4FBF594C 97B781CE
    3F5AD759 EC737EF6 1B70CE26 6B108FDE 49DE8180 2BEB1DF5 2C1CB90C AAC77013
    F140076D 7E5DB9F6 8D884C56 2F7E44E4 5F7C
    quit
    no ip source-route!
    ip dhcp excluded-address 10.1.0.1 10.1.0.99
    ip dhcp excluded-address 10.1.0.201 10.1.0.255
    ip dhcp ping packets 10!
    ip dhcp pool LAN
    network 10.1.0.0 255.255.255.0
    default-router 10.1.0.1
    dns-server 10.1.0.1
    lease 365!
    ip dhcp pool server!
    ip cef
    no ip bootp server
    ip domain name radico.eu
    ip name-server 88.216.95.254
    ip name-server 8.8.8.8
    ip inspect name INSPECT_OUT pptp
    ip inspect name INSPECT_OUT udp router-traffic
    ip inspect name INSPECT_OUT tcp router-traffic
    ip inspect name INSPECT_OUT icmp router-traffic
    ip inspect name INSPECT_OUT http
    ip inspect name INSPECT_OUT https
    ip inspect name INSPECT_OUT dns
    no ipv6 cef!
    multilink bundle-name authenticated
    vpdn enable!
    vpdn-group 1! Default PPTP VPDN group
    accept-dialin
    protocol pptp
    virtual-template 1
    l2tp tunnel timeout no-session 15!
    license udi pid CISCO892W-AGN-E-K9 sn FCZ154893YM!
    username radico privilege 15 password 7 password!
    ip ssh time-out 60
    ip ssh authentication-retries 2
    ip ssh version 2!
    crypto isakmp policy 10
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp key ocebukopoge78 address 77.244.65.237 no-xauth!
    crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac!
    crypto map PFSVPN 15 ipsec-isakmp
    set peer 77.244.65.237
    set transform-set 3DES-SHA
    set pfs group2
    match address 100
    reverse-route!
    interface BRI0
    no ip address
    encapsulation hdlc
    shutdown
    isdn termination multidrop!
    interface FastEthernet0!
    interface FastEthernet8
    no ip address
    shutdown
    duplex auto
    speed auto!!
    interface Virtual-Template1
    ip unnumbered GigabitEthernet0
    peer default ip address pool default
    ppp authentication ms-chap ms-chap-v2!
    interface GigabitEthernet0
    description === Internet ===
    ip address 88.216.95.98 255.255.255.224
    ip access-group FIREWALL in
    no ip redirects
    no ip proxy-arp
    ip verify unicast reverse-path
    ip nat outside
    ip inspect INSPECT_OUT out
    ip virtual-reassembly
    duplex auto
    speed auto
    no cdp enable
    crypto map PFSVPN!
    interface wlan-ap0
    description Service module interface to manage the embedded AP
    ip unnumbered Vlan1
    arp timeout 0!
    interface Wlan-GigabitEthernet0
    description Internal switch interface connecting to the embedded AP
    switchport mode trunk!
    interface Vlan1
    description === LAN ===
    ip address 10.1.0.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly!
    ip local pool default 10.1.0.202 10.1.0.240
    ip forward-protocol nd
    no ip http server
    no ip http secure-server!
    ip dns server
    ip nat inside source list NAT interface GigabitEthernet0 overload
    ip route 0.0.0.0 0.0.0.0 88.216.95.97!
    ip access-list extended FIREWALL
    permit tcp any any eq 22
    permit tcp any any eq 1723
    permit udp any any eq isakmp
    permit gre any any
    permit icmp any any
    deny ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255
    ip access-list extended NAT
    permit ip 10.1.0.0 0.0.0.255 any!
    access-list 100 permit ip 10.0.0.0 0.0.3.255 10.1.0.0 0.0.0.255
    access-list 100 permit ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255!
    control-plane!
    line con 0
    authorization exec CONSOLEandHTTP
    login authentication CONSOLEandHTTP
    line 2
    no activation-character
    no exec
    transport preferred none
    transport input all
    transport output pad telnet rlogin udptn ssh
    line aux 0
    line vty 0 4
    privilege level 15
    authorization exec AUTHO_LIST
    transport input telnet ssh!
    scheduler max-task-time 5000
    ntp update-calendar
    ntp server 212.59.0.2
    ntp server 94.23.243.53
    end

  7. Ely00:

    Правило под нат попадает, сделай так чтобы не попадало.
    ip access–list extended NAT
    deny ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255
    permit ip 10.1.0.0 0.0.0.255 any!

  8. MahAll:

    теперь он никуда не отправляет пакеты

    r1#traceroute
    Protocol [ip]:
    Target IP address: 10.0.0.20
    Source address: 10.1.0.1
    Numeric display [n]:
    Timeout in seconds [3]:
    Probe count [3]:
    Minimum Time to Live [1]:
    Maximum Time to Live [30]:
    Port Number [33434]:
    Loose, Strict, Record, Timestamp, Verbose[none]:
    Type escape sequence to abort.
    Tracing the route to 10.0.0.20

    1 * * *
    2 * * *
    3 * * *
    4 * * *
    5 * * *
    6 * * *

  9. Eda01:

    sho cry ipsec sa покажи теперь. уже в тоннель пытается завернуть, но что-то идёт не так

  10. MahAll:

    r1#show crypto ipsec sa

    interface: GigabitEthernet0
    Crypto map tag: PFSVPN, local addr 88.216.95.98

    protected vrf: (none)
    local ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (10.0.0.0/255.255.252.0/0/0)
    current_peer 77.244.65.237 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 215, #pkts encrypt: 215, #pkts digest: 215
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

    local crypto endpt.: 88.216.95.98, remote crypto endpt.: 77.244.65.237
    path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
    current outbound spi: 0x92DEAEC(154004204)
    PFS (Y/N): Y, DH group: group2

    inbound esp sas:
    spi: 0xBAA15799(3131135897)
    transform: esp-3des esp-sha-hmac,
    in use settings ={Tunnel, }
    conn id: 19, flow_id: Onboard VPN:19, sibling_flags 80000046, crypto map: PFSVPN
    sa timing: remaining key lifetime (k/sec): (4554934/513)
    IV size: 8 bytes
    replay detection support: Y
    Status: ACTIVE

    inbound ah sas:

    inbound pcp sas:

    outbound esp sas:
    spi: 0x92DEAEC(154004204)
    transform: esp-3des esp-sha-hmac,
    in use settings ={Tunnel, }
    conn id: 20, flow_id: Onboard VPN:20, sibling_flags 80000046, crypto map: PFSVPN
    sa timing: remaining key lifetime (k/sec): (4554932/513)
    IV size: 8 bytes
    replay detection support: Y
    Status: ACTIVE

    outbound ah sas:

    outbound pcp sas:

    protected vrf: (none)
    local ident (addr/mask/prot/port): (10.0.0.0/255.255.252.0/0/0)
    remote ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
    current_peer 77.244.65.237 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

    local crypto endpt.: 88.216.95.98, remote crypto endpt.: 77.244.65.237
    path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
    current outbound spi: 0x0(0)
    PFS (Y/N): N, DH group: none

    inbound esp sas:

    inbound ah sas:

    inbound pcp sas:

    outbound esp sas:

    outbound ah sas:

    outbound pcp sas:

  11. Eda01:

    запросы уходят, ответы не ловит:
    #pkts encaps: 215, #pkts encrypt: 215, #pkts digest: 215
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

    попробуй:
    conf t
    ip access–list extended FIREWALL
    25 permit esp host 77.244.65.237 host 88.216.95.98
    end

    или где-то ещё по пути дропаются пакеты ipsec. или используется nat-t, тогда надо udp/4500 дополнительно к udp/500 разрешить.

  12. MahAll:

    с тем же успехом.
    вот есть еще сведения.
    если изнутри циски прицепиться через IPSEC Mobile clients к тому же pfsense серверу, то трафик ходит
    если изнутри циски попытаться прицепиться по pptp vpn к любому серверу, то выдает ошибку 619
    если вместо циски оставить длинк 320 то pptp vpn работает
    если эту циску коннектить по IPSEC с циской в четвертом офисе, то трафик не ходит

    беда короче с этой циской.

  13. Ely00:

    убери access-list вообще и проверь.

  14. MahAll:

    если убрать access-list 100, то нет фазы 2 в ипсек сосединении.
    в остальных аксес-листах там никаких запретов на протоколы нет.
    инспекты для pptp есть. в логгировании инспектов нет запретов при установлении соединения. в удаленном сервере я вижу запрос на соединие и ответ на него.
    я всю голову себе этой циской сломал. никогда еще проблем не было с ними.

    *бьюсь головой апстену*

  15. Eda01:

    conf t
    interface GigabitEthernet0
    no ip access–group FIREWALL in

    проверь, потом обратно вернёшь. ещё нужно убедиться, что нигде по пути до хоста, с которым тоннель строится, трафик не блокируется.

  16. MahAll:

    r1#traceroute ip 10.0.0.20 numeric

    Type escape sequence to abort.
    Tracing the route to 10.0.0.20

    1 88.216.95.97 0 msec 0 msec 4 msec
    2 88.216.95.254 0 msec 0 msec 4 msec
    3 * * *
    4 * *
    88.216.87.77!H

  17. Eda01:

    неправильный traceroute, у тебя source-адрес в этом случае 88.216.95.98, а надо что-то из 10.х.х.х

  18. MahAll:

    точно. вчера ступил

Добавить комментарий