faq обучение настройка
Текущее время: Сб июл 05, 2025 18:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 3 ] 
Автор Сообщение
 Заголовок сообщения: di-804hv странности ipsec с cisco
СообщениеДобавлено: Пт янв 09, 2004 13:04 
Не в сети

Зарегистрирован: Пт янв 09, 2004 12:41
Сообщений: 11
Приветствую,

Дано - DI-804HV, прошивка 1.34. С другой стороны Cisco IOS 12.1(7)T, конфигурация IPSec на cisco проверена временем (работала с другой cisco, с pix, и т.п.).
Наблюдается следующее - при пинге с внутренней подсети 804HV на некий ip адрес во внутренней подсети cisco, устанавливается SA, начинается main mode, траффик чудно ходит на ЭТОТ КОНКРЕТНЫЙ АДРЕС во внутренней подсети циски. Т.е. ежли я попингал 192.168.2.11, то пожалуйте, этот адрес виден, также как внутренний адрес самой циски. Все остальные адреса во внутренней сети циски НЕ ВИДНЫ. Т.е. попытки их попингать приводят к тому, что 804HV зачем-то лезет в циску устанавливать новый SA, и там случается нечто нехорошее.
Что делать с этим - где рихтовать и т.п?

10w1d: ISAKMP (0:2): SA has been authenticated with xx.xx.xx.xx
10w1d: ISAKMP (0:2): beginning Quick Mode exchange, M-ID of 628677629
10w1d: CryptoEngine0: generate hmac context for conn id 2
10w1d: ISAKMP (2): sending packet to xx.xx.xx.xx (I) QM_IDLE
10w1d: CryptoEngine0: clear dh number for conn id 1
10w1d: ISAKMP (0:2): retransmitting phase 2 QM_IDLE 628677629 ...
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (2): sending packet to xx.xx.xx.xx (I) QM_IDLE
10w1d: ISAKMP (0:2): retransmitting phase 2 QM_IDLE 628677629 ...
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (2): sending packet to xx.xx.xx.xx (I) QM_IDLE
10w1d: ISAKMP (0:1): purging node 2027667370
10w1d: ISAKMP (0:1): purging node -150494498
10w1d: ISAKMP (0:1): purging node -1319119172
10w1d: IPSEC(key_engine): request timer fired: count = 1,
(identity) local= zz.zz.zz.zz, remote= xx.xx.xx.xx,
local_proxy= 195.218.189.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.5.0/255.255.255.0/0/0 (type=4)
10w1d: IPSEC(sa_request): ,
(key eng. msg.) src= zz.zz.zz.zz, dest= xx.xx.xx.xx,
src_proxy= 195.218.189.0/255.255.255.0/0/0 (type=4),
dest_proxy= 192.168.5.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x2619245A(639181914), conn_id= 0, keysize= 0, flags= 0x4004
10w1d: ISAKMP: received ke message (1/1)
10w1d: ISAKMP (0:2): sitting IDLE. Starting QM immediately (QM_IDLE )
10w1d: ISAKMP (0:2): beginning Quick Mode exchange, M-ID of -1065604215
10w1d: CryptoEngine0: generate hmac context for conn id 2
10w1d: ISAKMP (2): sending packet to xx.xx.xx.xx (I) QM_IDLE
10w1d: ISAKMP (0:2): retransmitting phase 2 QM_IDLE 628677629 ...
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (0:2): incrementing error counter on sa: retransmit phase 2
10w1d: ISAKMP (2): sending packet to xx.xx.xx.xx (I) QM_IDLE
10w1d: ISAKMP (0:1): purging SA.
10w1d: CryptoEngine0: delete connection 1
10w1d: ISAKMP (0:2): retransmitting phase 2 QM_IDLE -1065604215 ...
10w1d: ISAKMP (0:2): deleting SA reason "death by retransmission P2" state (I) QM_IDLE (peer xx.xx.xx.xx) input queue 0


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 09, 2004 13:20 
Пришлите мне конфиг циски по почте.


Вернуться наверх
  
 
 Заголовок сообщения: Проблема разрешилась
СообщениеДобавлено: Пн янв 12, 2004 14:14 
Не в сети

Зарегистрирован: Пт янв 09, 2004 12:41
Сообщений: 11
Господа,

Благодаря оперативной помощи Виктора Платова и собственному напряжению мозга проблема успешно решена, и наглядно продемонстрировано, что IPSec в DI-804HV всеж-таки работает с Cisco IOS, причем весьма успешно. Большое спасибо за поддержку в этом нелегком деле :).
Спешу заметить, что не обошлось без глюков с обеих сторон, однако учитывая предыдущий опыт на ту же тему (IPSec между IOS и PIX 5.1 с привлечением Cisco TAC, попутной ловлей пятка багов в том и другом, и т.п.) D-Link просто прямо-таки рулит! :)

NF


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 3 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 63


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB