D-Link • Просмотр темы - Проблема IPsec: DFL-800 и Cisco ASA 5510, Invalid cookie

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Проблема IPsec: DFL-800 и Cisco ASA 5510, Invalid cookie

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 2 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

MikhailX

Заголовок сообщения: Проблема IPsec: DFL-800 и Cisco ASA 5510, Invalid cookie

Добавлено: Чт июл 22, 2010 10:03

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118

Здравствуйте, прошу помощи в странной проблеме. Настроили IPSec между 2-мя удаленными устройствами DFL-800 и Cisco ASA 5510.

213.184.x.x - DFL-800 откуда инициируется подключение
200.59.x.x - удаленный Cisco ASA 5510
192.168.2.17 - удаленная сеть (192.168.2.17/32)
192.168.17.0/24 - локальная сеть

Настройки:

Цитата:

Name: Tunnel
Local IP: 192.168.17.254
Broadcast: 0.0.0.0
Local Network: 192.168.17.0/24
Remote Network: 192.168.2.17
Remote Gateway: 200.59.x.x
IKE Mode: Main
D-H modp group: 2
NAT Traversal: Disabled
SA per: Net
PFS: Enabled (keys), D-H modp group 2
Config Mode: Disabled
DHCP over IPsec: Disabled
Add Route: Disabled
XAUTH Client: Disabled
XAUTH: Disabled
Keep-alive: Disabled
Authentication: PSK: key_1
MTU: 1420

Encryption Algorithm 3DES-CBC
Key Lifetime: 28800
IPsec Lifetime:3600
Local ID Type: Auto

Лог:

Цитата:

2010-07-22
10:31:31 Warning IPSEC
1802022
ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="213.184.x.x ID No Id" remote_peer="200.59.x.x ID No Id" initiator_spi="ESP=0x59904906, AH=0x4054d335, IPComp=0xc0e5d63c"

2010-07-22
10:31:31 Warning IPSEC
1802715
event_on_ike_sa
side=Initiator msg="failed" int_severity=6

2010-07-22
10:31:07 Warning IPSEC
1800106
ike_invalid_payload
local_ip=213.184.x.x remote_ip=200.59.x.x cookies=599049064054d335c0e5d63c11f95ee3 reason="Notification payload contains invalid protocol id"
(повторяется несколько раз)

Из ssh:

Цитата:

2010-07-22 12:52:45: IkeSnoop: Sending IKE packet to 200.59.x.x :500
Exchange type : Identity Protection (main mode)
ISAKMP Version : 1.0
Flags :
Cookies : 0x35e0d263932cd6d -> 0x00000000
Message ID : 0x00000000
Packet length : 100 bytes
# payloads : 2
Payloads:
SA (Security Association)
Payload data length : 48 bytes
DOI : 1 (IPsec DOI)
Proposal 1/1
Protocol 1/1
Protocol ID : ISAKMP
SPI Size : 0
Transform 1/1
Transform ID : IKE
Encryption algorithm : 3DES-cbc
Hash algorithm : SHA
Authentication method : Pre-Shared Key
Group description : MODP 1024
Life type : Seconds
Life duration : 28800
VID (Vendor ID)
Payload data length : 16 bytes
Vendor ID : 8f 9c c9 4e 01 24 8e cd f1 47 59 4c 28 4b 21 3b
Description : SSH Communications Security QuickSec 2.1.0

2010-07-22 12:52:45: IkeSnoop: Received IKE packet from 200.59.x.x :500
Exchange type : Identity Protection (main mode)
ISAKMP Version : 1.0
Flags :
Cookies : 0x35e0d263932cd6d -> 0x7f30372bf1cd2f5
Message ID : 0x00000000
Packet length : 104 bytes
# payloads : 2
Payloads:
SA (Security Association)
Payload data length : 48 bytes
DOI : 1 (IPsec DOI)
Proposal 1/1
Protocol 1/1
Protocol ID : ISAKMP
SPI Size : 0
Transform 1/1
Transform ID : IKE
Encryption algorithm : 3DES-cbc
Hash algorithm : SHA
Group description : MODP 1024
Authentication method : Pre-Shared Key
Life type : Seconds
Life duration : 28800
VID (Vendor ID)
Payload data length : 20 bytes
Vendor ID : 40 48 b7 d5 6e bc e8 85 25 e7 de 7f 00 d6 c2 d3 c0 00 00
00
Description : FRAGMENTATION

2010-07-22 12:52:46: IkeSnoop: Sending IKE packet to 200.59.x.x :500
Exchange type : Identity Protection (main mode)
ISAKMP Version : 1.0
Flags :
Cookies : 0x35e0d263932cd6d -> 0x7f30372bf1cd2f5
Message ID : 0x00000000
Packet length : 180 bytes
# payloads : 2
Payloads:
KE (Key Exchange)
Payload data length : 128 bytes
NONCE (Nonce)
Payload data length : 16 bytes

2010-07-22 12:52:46: IkeSnoop: Received IKE packet from 200.59.x.x :500
Exchange type : Informational
ISAKMP Version : 1.0
Flags :
Cookies : 0x35e0d263932cd6d -> 0x7f30372bf1cd2f5
Message ID : 0x00000000
Packet length : 68 bytes
# payloads : 1
Payloads:
N (Notification)
Payload data length : 36 bytes
Protocol ID : Reserved
Notification : Invalid cookie

Если поставить IKE Aggressive:

Цитата:

2010-07-22 13:22:57: IkeSnoop: Sending IKE packet to 200.59.x.x :500
Exchange type : Aggressive
ISAKMP Version : 1.0
Flags :
Cookies : 0x5778431e89be1c6a -> 0x00000000
Message ID : 0x00000000
Packet length : 264 bytes
# payloads : 5
Payloads:
SA (Security Association)
Payload data length : 48 bytes
DOI : 1 (IPsec DOI)
Proposal 1/1
Protocol 1/1
Protocol ID : ISAKMP
SPI Size : 0
Transform 1/1
Transform ID : IKE
Encryption algorithm : 3DES-cbc
Hash algorithm : SHA
Authentication method : Pre-Shared Key
Group description : MODP 1024
Life type : Seconds
Life duration : 28800
KE (Key Exchange)
Payload data length : 128 bytes
NONCE (Nonce)
Payload data length : 16 bytes
ID (Identification)
Payload data length : 8 bytes
ID : ipv4(any:0,[0..3]=213.184.x.x)
VID (Vendor ID)
Payload data length : 16 bytes
Vendor ID : 8f 9c c9 4e 01 24 8e cd f1 47 59 4c 28 4b 21 3b
Description : SSH Communications Security QuickSec 2.1.0

2010-07-22 13:22:58: IkeSnoop: Received IKE packet from 200.59.x.x :500
Exchange type : Aggressive
ISAKMP Version : 1.0
Flags :
Cookies : 0x5778431e89be1c6a -> 0xb1c230717c747dcf
Message ID : 0x00000000
Packet length : 348 bytes
# payloads : 9
Payloads:
SA (Security Association)
Payload data length : 48 bytes
DOI : 1 (IPsec DOI)
Proposal 1/1
Protocol 1/1
Protocol ID : ISAKMP
SPI Size : 0
Transform 1/1
Transform ID : IKE
Encryption algorithm : 3DES-cbc
Hash algorithm : SHA
Group description : MODP 1024
Authentication method : Pre-Shared Key
Life type : Seconds
Life duration : 28800
KE (Key Exchange)
Payload data length : 128 bytes
NONCE (Nonce)
Payload data length : 20 bytes
ID (Identification)
Payload data length : 8 bytes
ID : ipv4(udp:0,[0..3]=200.59.x.x )
HASH (Hash)
Payload data length : 20 bytes
VID (Vendor ID)
Payload data length : 16 bytes
Vendor ID : 12 f5 f2 8c 45 71 68 a9 70 2d 9f e2 74 cc 01 00
Description : CISCO-UNITY
VID (Vendor ID)
Payload data length : 8 bytes
Vendor ID : 09 00 26 89 df d6 b7 12
Description : draft-beaulieu-ike-xauth-02
VID (Vendor ID)
Payload data length : 20 bytes
Vendor ID : 40 48 b7 d5 6e bc e8 85 25 e7 de 7f 00 d6 c2 d3 c0 00 00
00
Description : FRAGMENTATION
VID (Vendor ID)
Payload data length : 16 bytes
Vendor ID : 1f 07 f7 0e aa 65 14 d3 b0 fa 96 54 2a 50 01 00
Description : (unknown)

2010-07-22 13:22:58: IkeSnoop: Sending IKE packet to 200.59.x.x :500
Exchange type : Informational
ISAKMP Version : 1.0
Flags :
Cookies : 0x5778431e89be1c6a -> 0xb1c230717c747dcf
Message ID : 0x61908f98
Packet length : 128 bytes
# payloads : 1
Payloads:
N (Notification)
Payload data length : 96 bytes
Protocol ID : ISAKMP
Notification : Authentication failed
Notification data:
Notify message version: 1
Offending payload type: HASH (Hash)
Error text: "Hash payload data does not match"
Offending message ID: 0x00000000

Так же у меня есть второе входящее ipsec подключение в конце списка и оно работает отлично. Пробовал отключать его, перебивать пароли и ребутить DFL. Ничего не помогает. Подозреваю что настройки на обоих железках не совпадают, но почему.

Вернуться наверх

MikhailX

Заголовок сообщения:

Добавлено: Чт июл 22, 2010 21:02

Зарегистрирован: Пт май 30, 2008 06:32
Сообщений: 118

Проблемма решилась, косяк был на стороне Cisco.

Можно удалять тему.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 2 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения