1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 12:32

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 3 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
zander0
 Заголовок сообщения: DFL-860e: IPSEC c маршрутизатором Cisco
СообщениеДобавлено: Ср апр 09, 2014 11:08 
Не в сети

Зарегистрирован: Ср апр 09, 2014 09:44
Сообщений: 4
Здравствуйте.
Имеется два офиса. В одном стоит dfl-860e. Во второй стоит маршрутизатор cisco. Пытаюсь поднять туннель ipsec между ними, но как-то пока не очень получается. С dlink'ами раньше дел не имел, поэтому ошибку пока свою понять не могу.

Что настроено на dlink'е.

Вложение:
1.jpg
1.jpg [ 15.71 KiB | Просмотров: 2424 ]

Под Standard'ом вылезает "DES, MD5, SHA1"

Вложение:
4.jpg
4.jpg [ 37.39 KiB | Просмотров: 2424 ]

Ну и попытался что-то найти по логу (наверное не очень правильно), выбрал ipsec, а там следующее
Вложение:
5.jpg
5.jpg [ 69.76 KiB | Просмотров: 2424 ]


Keep-alive остановлены по-умолчанию в выключенном состоянии , параметры добавления маршрута тоже по-умолчанию.

На Cisco, относительно VPN, имеем:

Код:
crypto isakmp policy 30
 hash md5
 authentication pre-share
 group 2

Код:
crypto isakmp key <pass> address <ip-адрес 860e>
crypto isakmp aggressive-mode disable

Код:
crypto ipsec transform-set <AAA> esp-des

Код:
crypto map dfl-860e 15 ipsec-isakmp
 description <AAA>
 set peer <ip-адрес 860e>
 set security-association lifetime seconds 28800
 set transform-set <AAA>
 set pfs group2
 match address 103

Код:
access-list 103 permit ip <локальная сеть> <удаленная сеть>
access-list 103 deny   ip any any

Также на внешний интерфейс cisco прикручено:
Код:
 crypto map dfl-860e

Ну и в связи с тем, что на cisco есть NAT (точнее pat), то необходимый трафик запрещен для NAT'а:
Код:
access-list 101 deny   ip <локальная сеть> <удаленная сеть>
access-list 101 permit ip <локальная сеть> any

Также включен еще цисковский файервол и прикручены некоторые списки доступа. Когда вместе dlink'а стояла другая cisco и был настроен vpn IPSEC между ними по принципу VTI, то се работало, с тех пор списки не менялись, т.е. в принципе открыто:

Код:
access-list 100 permit udp any host <локальный wan ip-адрес> eq isakmp
access-list 100 permit udp any host <локальный wan ip-адрес> eq non500-isakmp
access-list 100 permit esp any host <локальный wan ip-адрес>
access-list 100 permit ahp any host <локальный wan ip-адрес>



В итоге, при попытке отправить пакет из внутренней сети в удаленную имею трабл с прохождением 2 фазы IKE, т.е. сам туннель у меня жить не хочет.

Код:
Cisco#debug crypto isakmp
Crypto ISAKMP debugging is on

    Apr 9 07:24:35.955: ISAKMP: received ke message (1/1)
    Apr 9 07:24:35.955: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
    Apr 9 07:24:35.955: ISAKMP: Created a peer struct for <ip-адрес dfl-860e>, peer port 500
    Apr 9 07:24:35.955: ISAKMP: New peer created peer = 0x829650B0 peer_handle = 0x80000446
    Apr 9 07:24:35.955: ISAKMP: Locking peer struct 0x829650B0, IKE refcount 1 for isakmp_initiator
    Apr 9 07:24:35.955: ISAKMP: local port 500, remote port 500
    Apr 9 07:24:35.959: ISAKMP: set new node 0 to QM_IDLE
    Apr 9 07:24:35.959: insert sa successfully sa = 82D8BB6C
    Apr 9 07:24:35.959: %CRYPTO-5-IKMP_AG_MODE_DISABLED: Unable to initiate or respond to Aggressive Mode while disabled
    Apr 9 07:24:35.959: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
    Apr 9 07:24:35.959: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching <ip-адрес dfl-860e>
    Apr 9 07:24:35.959: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_MM1

    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
    Apr 9 07:24:35.963: ISAKMP:(0:0:N/A:0): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) MM_NO_STATE
    Apr 9 07:24:35.991: ISAKMP (0:0): received packet from <ip-адрес dfl-860e> dport 500 sport 500 Global (I) MM_NO_STATE
    Apr 9 07:24:35.991: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
    Apr 9 07:24:35.991: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2

    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 33 mismatch
    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 192 mismatch
    Apr 9 07:24:35.995: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 174 mismatch
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 221 mismatch
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 164 mismatch
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:35.999: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123 mismatch
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157 mismatch
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 69 mismatch
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): processing vendor id payload
    Apr 9 07:24:36.003: ISAKMP:(0:0:N/A:0): vendor ID is DPD
    Apr 9 07:24:36.007: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching <ip-адрес dfl-860e>
    Apr 9 07:24:36.007: ISAKMP:(0:0:N/A:0): local preshared key found
    Apr 9 07:24:36.007: ISAKMP : Scanning profiles for xauth ...
    Apr 9 07:24:36.007: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 3 against priority 10 policy
    Apr 9 07:24:36.007: ISAKMP: encryption DES-CBC
    Apr 9 07:24:36.007: ISAKMP: hash MD5
    Apr 9 07:24:36.007: ISAKMP: default group 2
    Apr 9 07:24:36.007: ISAKMP: auth pre-share
    Apr 9 07:24:36.007: ISAKMP: life type in seconds
    Apr 9 07:24:36.007: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
    Apr 9 07:24:36.011: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!
    Apr 9 07:24:36.011: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 0
    Apr 9 07:24:36.011: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 3 against priority 20 policy
    Apr 9 07:24:36.011: ISAKMP: encryption DES-CBC
    Apr 9 07:24:36.011: ISAKMP: hash MD5
    Apr 9 07:24:36.011: ISAKMP: default group 2
    Apr 9 07:24:36.011: ISAKMP: auth pre-share
    Apr 9 07:24:36.011: ISAKMP: life type in seconds
    Apr 9 07:24:36.011: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
    Apr 9 07:24:36.015: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not match policy!
    Apr 9 07:24:36.015: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is 0
    Apr 9 07:24:36.015: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 3 against priority 30 policy
    Apr 9 07:24:36.015: ISAKMP: encryption DES-CBC
    Apr 9 07:24:36.015: ISAKMP: hash MD5
    Apr 9 07:24:36.015: ISAKMP: default group 2
    Apr 9 07:24:36.015: ISAKMP: auth pre-share
    Apr 9 07:24:36.015: ISAKMP: life type in seconds
    Apr 9 07:24:36.015: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
    Apr 9 07:24:36.015: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
    Apr 9 07:24:36.203: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.203: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 33 mismatch
    Apr 9 07:24:36.203: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.203: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 192 mismatch
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 174 mismatch
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 221 mismatch
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.207: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 164 mismatch
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 123 mismatch
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): vendor ID is NAT-T v2
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 157 mismatch
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): vendor ID is NAT-T v3
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.211: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 69 mismatch
    Apr 9 07:24:36.215: ISAKMP:(0:1:SW:1): processing vendor id payload
    Apr 9 07:24:36.215: ISAKMP:(0:1:SW:1): vendor ID is DPD
    Apr 9 07:24:36.215: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
    Apr 9 07:24:36.215: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM2

    Apr 9 07:24:36.223: ISAKMP:(0:1:SW:1): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) MM_SA_SETUP
    Apr 9 07:24:36.223: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
    Apr 9 07:24:36.223: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM3

    Apr 9 07:24:36.295: ISAKMP (0:134217729): received packet from <ip-адрес dfl-860e> dport 500 sport 500 Global (I) MM_SA_SETUP
    Apr 9 07:24:36.299: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
    Apr 9 07:24:36.299: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM3 New State = IKE_I_MM4

    Apr 9 07:24:36.299: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
    Apr 9 07:24:36.555: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0
    Apr 9 07:24:36.555: ISAKMP:(0:1:SW:1):found peer pre-shared key matching <ip-адрес dfl-860e>
    Apr 9 07:24:36.559: ISAKMP:(0:1:SW:1):SKEYID state generated
    Apr 9 07:24:36.559: ISAKMP:received payload type 20
    Apr 9 07:24:36.559: ISAKMP:received payload type 20
    Apr 9 07:24:36.559: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
    Apr 9 07:24:36.559: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM4 New State = IKE_I_MM4

    Apr 9 07:24:36.583: ISAKMP:(0:1:SW:1):Send initial contact
    Apr 9 07:24:36.583: ISAKMP:(0:1:SW:1):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
    Apr 9 07:24:36.583: ISAKMP (0:134217729): ID payload
    next-payload : 8
    type : 1
    address : <локальный wan ip-адрес>
    protocol : 17
    port : 500
    length : 12
    Apr 9 07:24:36.583: ISAKMP:(0:1:SW:1):Total payload length: 12
    Apr 9 07:24:36.587: ISAKMP:(0:1:SW:1): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) MM_KEY_EXCH
    Apr 9 07:24:36.587: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
    Apr 9 07:24:36.591: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM4 New State = IKE_I_MM5

    Apr 9 07:24:36.611: ISAKMP (0:134217729): received packet from <ip-адрес dfl-860e> dport 500 sport 500 Global (I) MM_KEY_EXCH
    Apr 9 07:24:36.611: ISAKMP:(0:1:SW:1): processing ID payload. message ID = 0
    Apr 9 07:24:36.615: ISAKMP (0:134217729): ID payload
    next-payload : 8
    type : 1
    address : <локальный wan ip-адрес>
    protocol : 0
    port : 0
    length : 12
    Apr 9 07:24:36.615: ISAKMP:(0:1:SW:1):: peer matches *none* of the profiles
    Apr 9 07:24:36.615: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = 0
    Apr 9 07:24:36.615: ISAKMP:(0:1:SW:1):SA authentication status:
    authenticated
    Apr 9 07:24:36.619: ISAKMP:(0:1:SW:1):SA has been authenticated with <ip-адрес dfl-860e>
    Apr 9 07:24:36.619: ISAKMP: Trying to insert a peer <локальный wan ip-адрес>/<ip-адрес dfl-860e>/500/, and inserted successfully 829650B0.
    Apr 9 07:24:36.619: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
    Apr 9 07:24:36.619: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM5 New State = IKE_I_MM6

    Apr 9 07:24:36.623: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
    Apr 9 07:24:36.623: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM6 New State = IKE_I_MM6

    Apr 9 07:24:36.643: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
    Apr 9 07:24:36.643: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE

    Apr 9 07:24:36.647: ISAKMP:(0:1:SW:1):beginning Quick Mode exchange, M-ID of -336895282
    Apr 9 07:24:36.867: ISAKMP:(0:1:SW:1): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) QM_IDLE
    Apr 9 07:24:36.871: ISAKMP:(0:1:SW:1):Node -336895282, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
    Apr 9 07:24:36.871: ISAKMP:(0:1:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
    Apr 9 07:24:36.871: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
    Apr 9 07:24:36.871: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

    Apr 9 07:24:36.903: ISAKMP (0:134217729): received packet from <ip-адрес dfl-860e> dport 500 sport 500 Global (I) QM_IDLE
    Apr 9 07:24:36.903: ISAKMP: set new node -1210401741 to QM_IDLE
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = -1210401741
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
    spi 2395004893, message ID = -1210401741, sa = 82D8BB6C
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1): deleting spi 2395004893 message ID = -336895282
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1):deleting node -336895282 error TRUE reason "Delete Larval"
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1):deleting node -1210401741 error FALSE reason "Informational (in) state 1"
    Apr 9 07:24:36.907: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
    Apr 9 07:24:36.911: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

    Apr 9 07:25:05.955: ISAKMP: received ke message (1/1)
    Apr 9 07:25:05.955: ISAKMP: set new node 0 to QM_IDLE
    Apr 9 07:25:05.955: ISAKMP:(0:1:SW:1): sitting IDLE. Starting QM immediately (QM_IDLE )
    Apr 9 07:25:05.955: ISAKMP:(0:1:SW:1):beginning Quick Mode exchange, M-ID of 1952699065
    Apr 9 07:25:06.147: ISAKMP:(0:1:SW:1): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) QM_IDLE
    Apr 9 07:25:06.147: ISAKMP:(0:1:SW:1):Node 1952699065, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
    Apr 9 07:25:06.147: ISAKMP:(0:1:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
    Apr 9 07:25:06.171: ISAKMP (0:134217729): received packet from <ip-адрес dfl-860e> dport 500 sport 500 Global (I) QM_IDLE
    Apr 9 07:25:06.175: ISAKMP: set new node 737025774 to QM_IDLE
    Apr 9 07:25:06.175: ISAKMP:(0:1:SW:1): processing HASH payload. message ID = 737025774
    Apr 9 07:25:06.175: ISAKMP:(0:1:SW:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
    spi 1940989145, message ID = 737025774, sa = 82D8BB6C
    Apr 9 07:25:06.179: ISAKMP:(0:1:SW:1): deleting spi 1940989145 message ID = 1952699065
    Apr 9 07:25:06.179: ISAKMP:(0:1:SW:1):deleting node 1952699065 error TRUE reason "Delete Larval"
    Apr 9 07:25:06.179: ISAKMP:(0:1:SW:1):deleting node 737025774 error FALSE reason "Informational (in) state 1"
    Apr 9 07:25:06.179: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
    Apr 9 07:25:06.179: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
    Apr 9 07:25:26.907: ISAKMP:(0:1:SW:1):purging node -336895282
    Apr 9 07:25:26.907: ISAKMP:(0:1:SW:1):purging node -1210401741

    Apr 9 07:25:35.955: ISAKMP: received ke message (3/1)
    Apr 9 07:25:35.955: ISAKMP:(0:1:SW:1):peer does not do paranoid keepalives.

    Apr 9 07:25:35.955: ISAKMP:(0:1:SW:1):deleting SA reason "P1 delete notify (in)" state (I) QM_IDLE (peer ip-адрес dfl-860e)
    Apr 9 07:25:35.959: ISAKMP: set new node 313204604 to QM_IDLE
    Apr 9 07:25:35.959: ISAKMP:(0:1:SW:1): sending packet to <ip-адрес dfl-860e> my_port 500 peer_port 500 (I) QM_IDLE
    Apr 9 07:25:35.963: ISAKMP:(0:1:SW:1):purging node 313204604
    Apr 9 07:25:35.963: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
    Apr 9 07:25:35.963: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
    Apr 9 07:25:35.963: ISAKMP:(0:1:SW:1):deleting SA reason "No reason" state (I) QM_IDLE (peer <ip-адрес dfl-860e>)
    Apr 9 07:25:35.967: ISAKMP: Unlocking IKE struct 0x829650B0 for isadb_mark_sa_deleted(), count 0
    Apr 9 07:25:35.967: ISAKMP: Deleting peer node by peer_reap for <ip-адрес dfl-860e>: 829650B0
    Apr 9 07:25:35.967: ISAKMP:(0:1:SW:1):deleting node 1952699065 error FALSE reason "IKE deleted"
    Apr 9 07:25:35.967: ISAKMP:(0:1:SW:1):deleting node 737025774 error FALSE reason "IKE deleted"
    Apr 9 07:25:35.971: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
    Apr 9 07:25:35.971: ISAKMP:(0:1:SW:1):Old State = IKE_DEST_SA New State = IKE_DEST_SA
    Apr 9 07:26:25.967: ISAKMP:(0:1:SW:1):purging node 1952699065
    Apr 9 07:26:25.971: ISAKMP:(0:1:SW:1):purging node 737025774
    Apr 9 07:26:35.971: ISAKMP:(0:1:SW:1):purging SA., sa=82D8BB6C, delme=82D8BB6C

Т.е. видно, что 1 фаза согласования проходит вроде бы нормально (т.к. после 6-го шага идет IKE_P1_COMPLETE) и все получается, а дальше что-то идет не так.

Соответственно, состояние сначала вроде как согласовывается, а потом получается беда:
Код:
Cisco#sh crypto isakmp sa
dst             src             state          conn-id slot status
<ip-адрес dfl-860e>   <локальный wan ip-адрес>  QM_IDLE              1    0 ACTIVE

Код:
Cisco#sh crypto isakmp sa
dst             src             state          conn-id slot status
<ip-адрес dfl-860e>   <локальный wan ip-адрес>  MM_NO_STATE          1    0 ACTIVE (deleted)



Что я не так делаю? Все ли верно настроено на dlink'е? Верно ли указаны параметры на cisco для dlink'а ?
Вернуться наверх
 Профиль  
 
Vladimir22
 Заголовок сообщения: Re: DFL-860e: IPSEC c маршрутизатором Cisco
СообщениеДобавлено: Ср апр 09, 2014 16:15 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
на DFL, какая прошивка !?
WW или RU

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
zander0
 Заголовок сообщения: Re: DFL-860e: IPSEC c маршрутизатором Cisco
СообщениеДобавлено: Ср апр 09, 2014 21:45 
Не в сети

Зарегистрирован: Ср апр 09, 2014 09:44
Сообщений: 4
Vladimir22 писал(а):
на DFL, какая прошивка !?
WW или RU

Прошивка какая-то не очень новая. Что такое WW и RU, если честно понятия не имею, а прошивка такая:
Firmware Version: 2.27.05.32-16775
Oct 18 2011
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 3 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 249

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB