faq обучение настройка
Текущее время: Сб апр 20, 2019 01:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пн апр 23, 2018 15:25 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 285
Делаю IPSEC site2site VPN между DFL-260E (2.40.04.08-21460) и PIX-501 (6.3(5)).

Вообще-то, делал это уже сто раз. Теперь делаю в 101, нужно кое-чему научиться.
Да, на DFL настроен также L2TP/IPSEC сервер. На PIX вообще ничего, связанного с VPN, нет, кроме этого туннеля.

Сделал, все политики и числовые параметры одинаковые. Десять раз проверил.

Со стороны DFL туннель устанавливается, со стороны PIX - виснет на проверке пароля.
Смотрю логи ikesnoop - да, вроде именно пароль и не совпал.
Цитата:
Exchange type : Informational
ISAKMP Version : 1.0
Flags :
Cookies : 0x58be4a540712c41 -> 0x82ed5d39a1a31ced
Message ID : 0x15aab882
Packet length : 181 bytes
# payloads : 1
Payloads:
N (Notification)
Payload data length : 149 bytes
Protocol ID : ISAKMP
Notification : Invalid payload type
Notification data:
Notify message version: 1
Offending payload type: Unknown payload type
Error text: "Incorrect pre-shared key (Invalid next payload value)"
Offending message ID: 0x00000000


На DFL, естественно, два IPSEC интерфейса - от L2TP и моего туннеля. От туннеля - второй в списке.
Переставляю первым - все начинает работать.

И возникает вопрос: что это за особенность в поведении DFL, которая не дает строить туннель из-за порядка IPSEC в списке?

Все при том, что у меня работают несколько DFL с IPSEC туннелями, на некоторых их по нескольку штук. И везде есть L2TP сервера, и все работает.

На какие это грабли я наступил?

PS. Подумал, есть еще один момент. Анализируя логи ikesnoop, вижу, что DFL из числа предложений по IKE, поступающих от PIX, выбирает AES-MD5, которое на DFL для этого туннеля не разрешено (но разрешено для IPSEC от L2TP). Включение этого варианта в число разрешенных для VPN DFL-PIX не помогает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Чт ноя 22, 2018 19:03 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
Если вышли из положения, подскажите как?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Чт ноя 22, 2018 19:34 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 285
shsv писал(а):
Если вышли из положения, подскажите как?

Ой, это же было много лет назад...

Вас что интересует? Сейчас у меня несколько PIX работает с DFL, делается на автомате.

Что было тогда - не помню ((

Очень может быть, что какая-то дурацкая ошибка или описка на самом видном месте....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 09:03 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
Странно... Ваш пост вроде как "Добавлено: Пн апр 23, 2018 16:25", может форум косячит.

У меня проблема состоит в том, что из двух ipsec'ов, подымается только тот, который стоит первым в списке...
Как заставить их работать одновременно? Может быть вспомните...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 09:32 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 285
shsv писал(а):
Странно... Ваш пост вроде как "Добавлено: Пн апр 23, 2018 16:25", может форум косячит.

У меня проблема состоит в том, что из двух ipsec'ов, подымается только тот, который стоит первым в списке...
Как заставить их работать одновременно? Может быть вспомните...


Ой, Вы правы. Действительно было в этом году (( Задумался. Но забыл напрочь.

Ну как решил, понятно: поставил IPSEC для L2TP последним в списке. Я писал-то на форум, не чтобы решить, а чтобы понять.

У меня несколько DFL, на всех есть L2TP/IPSEC, две из них держат туннели по IPSEC с PIX, все работает, и L2TP тоже. Везде L2TP IPSEC - последний в списке IPSEC.

Я думаю, так и следует делать. При этом L2TP не будет устанавливаться с тех адресов, с которыми прописан IPSEC.

Логика в этом есть: при попытке установить IPSEC устройство начинает искать подходящий туннель. По адресу Remote Endpoint, больше никак.
У меня L2TP IPSEC разрешен для всех адресов (Remote Endpoint не прописан), а туннели IPSEC - для конкретных адресов (Remote Endpoint прописан). Поэтом если L2TP/IPSEC стоит первым в списке, он перехватывает все соединения.

Это мое предположение. Оно вполне согласуется с тем, что я написал тогда. Но тогда я не понимал этой механики. Если я теперь ее правильно понял. ))

Не знаю, может быть, поможет аутентификация по X509, но сомневаюсь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 15:06 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
vgo писал(а):
Логика в этом есть: при попытке установить IPSEC устройство начинает искать подходящий туннель. По адресу Remote Endpoint, больше никак.


Вот собственно ответ на мой вопрос.
Огромное спасибо, что откликнулись! Наконец удалось подружить ipsec и l2tp+ipsec .


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 16:16 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8434
Откуда: Москва
Помимо Remote Endpoint для идентификации тоннеля также имеется Remote ID, который также можно использовать в таких изощренных случаях.

У меня именно по этому идентификатору на узловом DFL отличаются несколько IPSec с динамическим плечом, на котором помимо этого есть еще несколько чистых IPSec тоннелей и L2TPoverIPSec сервер.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 17:19 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
MTRX писал(а):
Помимо Remote Endpoint для идентификации тоннеля также имеется Remote ID, который также можно использовать в таких изощренных случаях.

У меня именно по этому идентификатору на узловом DFL отличаются несколько IPSec с динамическим плечом, на котором помимо этого есть еще несколько чистых IPSec тоннелей и L2TPoverIPSec сервер.


Пытался разрулить проблему при помощи ID, но видимо если два ipsec'а пытаются "слушать" одинаковый remote endpoint, то не прокатывает.
Хотя у Вас "несколько IPSec с динамическим плечом" это как раз в remote endpoint у этих тоннелей должны быть allnets...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 17:44 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8434
Откуда: Москва
Именно!

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 17:49 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8434
Откуда: Москва
На один такой тоннель цепляется DFL-210, на другой - Endian Firewall.
Да, я использую ike v.2

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Пт ноя 23, 2018 18:59 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
MTRX писал(а):
Да, я использую ike v.2

Возможно, во 2-ой версии, ID работают по другому...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Сб ноя 24, 2018 11:25 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 285
MTRX писал(а):
Помимо Remote Endpoint для идентификации тоннеля также имеется Remote ID, который также можно использовать в таких изощренных случаях.

У меня именно по этому идентификатору на узловом DFL отличаются несколько IPSec с динамическим плечом, на котором помимо этого есть еще несколько чистых IPSec тоннелей и L2TPoverIPSec сервер.


Вот тут не совсем понятно.

То есть, если речь о IPSEC туннеле между двумя роутерами, то понятно. На том же PIX вроде есть такое поле. Я не пробовал использовать...
Но проблема-то в том, как ограничить L2TP/IPSEC, чтобы не перехватывал чужие коннекты. То есть, эту идентификацию надо ставить именно для него.

А в L2TP клиенте, к примеру, в Windows, я не видел возможности установить нужный Remote ID.

Опять же, если в этой роли будет выступать имя компьютера или еще что-то сугубо индивидуальное, нехорошо, поскольку сервер L2TP не для одного клиента обычно поднимается.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-IPSEC-PIX. Хотелось бы понять.
СообщениеДобавлено: Вт ноя 27, 2018 11:44 
Не в сети

Зарегистрирован: Ср апр 03, 2013 13:47
Сообщений: 24
vgo писал(а):
А в L2TP клиенте, к примеру, в Windows, я не видел возможности установить нужный Remote ID.

Можно сторонним клиентом, но это не помогает...

Я вначале всем ipsec'ам задал ID и пытался подключаться к конкретному, указывая в клиенте нужный ID, но всегда "трубку брал" тот, который был первым в списке, среди равных по remote endpoint. Это было видно по логам.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB