RE: [rlug] ipsec server sub debian vs. cisco

Silviu Dicu Wed, 28 Nov 2007 07:57:14 -0800

hey

am pus in acl-ul de pe ruter asa:


access-list 100 permit ip host 19.1.255.253 host 19.1.255.254
access-list 100 permit ip host 19.1.255.254 host 19.1.255.253

cand dau ping de la un nod la celalalt (de pe linux si invers) apare
aceeasi eroare in logul verbose de pe ruter:

7w3d: ISAKMP:(0:1:SW:1):deleting SA reason "recevied fatal
informational" state (I) QM_IDLE       (peer 19.1.255.254) input queue
0
7w3d: ISAKMP:(0:1:SW:1):deleting node -2036547555 error FALSE reason
"informational (in) state 1"
7w3d: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
7w3d: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE  New State =
IKE_P1_COMPLETE


configul de pe ruter a fost testat si cu alte tool-uri si pare ok, de
aceea tind sa cred ca gresesc ceva pe linux...

mersi,
cristina


---

Salut,

Acl trebuie sa fie facut pe subneturile care vrei sa le conectezi cu
ipsec

Ai definit aici
conn ipsec01-cisco6500
        left=19.1.255.254
        leftsubnet=19.2.0.0/16   linux net
        right=19.1.255.253
        rightsubnet=66.6.0.0/16  cisco net
        auto=add
        authby=secret
        auth=esp
        compress=no
        pfs=yes
        esp=3des-md5-modp1024
        ike=3des-md5-modp1024
        keyexchange=ikev1
        mobike=no


access-list 100 permit ip 19.2.0.0 0.0.255.255 66.6.0.0 0.0.255.255   --
aici e in
access-list 100 permit ip 66.6.0.0 0.0.255.255 19.2.0.0 0.0.255.255   --
aici e out

Daca ai alte access-list pe interfate trebuie sa ii dai access intre
cele doua capete de tunnel 19.1.255.254 19.1.255.253
Sa communice de genul permit ip 19.1.255.254 19.1.255.253 . Daca vrei sa
fii mai specifica ca exemplu

access-list 110 permit udp any host IPSec headend device eq 500
access-list 110 permit udp any host IPSec headend device eq 4500
access-list 110 permit 50 any host IPSec headend device
access-list 110 permit 51 any host IPSec headend device
access-list 110 deny   ip any host IPSec headend device


Depinde de ce rute ai prin retea poate e necesar sa le spui celor doua
capete cum sa ajunga unul la altul pentru reteau pe 
Care o protejezi

Ca exemplu

Router(config)# ip route 19.2.0.0 255.255.0.0 19.1.255.254

In cisco pe crypto map IL 10 pune 'set pfs group2'  - asta se aplica
numai pentru peerul 19.1.255.254 daca ai alte tunele nu au acelasi
Settings.


Daca faci tunnel intre cele doua capete in mod normal poti sa dai un
ping din reteau 19.2.0.0/16 pe 66.6.0.0/16 dar nu inseamna
Ca daca faci ping de pe linux gateway pe cisco automat o sa ai ipsec
creat (traficul a fost definit in access-list 100 !) Daca e in mod 
Transport poti sa faci ipsec numai intre cele doua capete - linux-cisco
(access-list trebuie sa fie diferita)

Silviu

Ps: uite un exemplu de ipsec facut intre doua IOS e destul de
explicatoriu http://www.vpnc.org/InteropProfiles/cisco-ios.txt





_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

RE: [rlug] ipsec server sub debian vs. cisco

Raspunde prin e-mail lui