服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Cisco ASA 5505和Juniper ssg5之间的ipsec问题
Intereting Posts
cPanelconfiguration似乎允许未经身份validation的SMTP – 如何解决? ApplicationPoolIdentity IIS 7.5到SQL Server 2008 R2无法正常工作 在Linux上从命令行发送邮件与两个不同的服务器上的域有不同的结果 AWS上的PCI-DSS选项 – 文件完整性监测和入侵检测 如何为不同的VLANconfiguration不同的网关 有没有一种方法来过滤远程IMAP帐户中的邮件? UBUNTU:如何在启动时不运行vsftpd …? 试图让戴尔EqualLogic PS6000启动并运行,也可能需要重置 VMPlayer 7.0虚拟机Ubuntu Linux安装失败 VPS上NGINX反向代理的硬件select和带宽限制? postfix如何支持多个邮件域的redirect? 如何在FC9启动时加载内核模块? 在安装本地.deb之后,Apt-Get冲突 使用Golang应用“gcloud app deploy”后出现错误 HTTP请求报头限制在Apache 2.2中硬编码

Cisco ASA 5505和Juniper ssg5之间的ipsec问题

我试图在我们的ASA 5505和Juniper ssg5之间build立一个ipsec隧道。 隧道正在运行,但我无法通过它获取任何数据。

我在本地networking是172.16.1.0和远程是192.168.70.0。 但是我不能在他们的networking上ping任何东西。 当我设置ipsec时,我收到“第二阶段确定”。

我认为这是适用的configuration的一部分。 数据似乎没有通过隧道,但我不知道… 

object network our-network subnet 172.16.1.0 255.255.255.0 object network their-network subnet 192.168.70.0 255.255.255.0 access-list outside_cryptomap extended permit ip object our-network object their-network crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set peer THEIR_IP crypto map outside_map 1 set ikev1 phase1-mode aggressive crypto map outside_map 1 set ikev1 transform-set ESP-3DES-MD5 crypto map outside_map 1 set ikev2 pre-shared-key ***** crypto map outside_map 1 set reverse-route crypto map outside_map interface outside webvpn group-policy GroupPolicy_THEIR_IP internal group-policy GroupPolicy_THEIR_IP attributes vpn-filter value outside_cryptomap ipv6-vpn-filter none vpn-tunnel-protocol ikev1 tunnel-group THEIR_IP type ipsec-l2l tunnel-group THEIR_IP general-attributes default-group-policy GroupPolicy_THEIR_IP tunnel-group THEIR_IP ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** crypto ikev1 enable outside crypto ikev1 policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400

Tihis是包示踪器的输出。 我用我的IP作为源,他们的防火墙作为目的地和IP在协议0在我们的接口 

 ROUTE-LOOKUP Type -ROUTE-LOOKUP Action -ALLOW Info in 0.0.0.0 0.0.0.0 outsied IT-OPTIONS Type -IP-OPtions Action -ALLOW NAT Tyope -NAT Action -DROP Show rule in NAT Rules table. Config object network obj_any nat (any,outside) dynamic interface RESULT - The packet is dropped Input Interface: OUR Output Interface:outside Info: (acl-drop) Flow is denied by configured rule

乍一看,你的configuration看起来很正常,即使我没有看到反向路由的需要。 您忘记添加以“crypto isakmp策略”开头的isakmp策略,但进入阶段2显然意味着阶段1已完成。

1)你是否让它绕过正常的ACL(通过config:sysopt连接permit-vpn)?

2)你可以做一个数据包跟踪器并粘贴结果?

好的,所以我需要解决两件事情:

1)UN-NAT通过隧道的stream量nat (any,any) source static their-network their-network no-proxy-arp

2)更新ACL,以便两种方式: 

 access-list outside_cryptomap extended permit ip object our-network object their-network access-list outside_cryptomap extended permit ip object their-network object our-network

现在它工作得很好。