Cisco ASA5505とJuniperssg5間のipsecの問題
ASA5505とJuniperssg5の間にipsecトンネルを設定しようとしています。トンネルは稼働していますが、データを取得できません。
私が使用しているローカルネットワークは172.16.1.0で、リモートは192.168.70.0です。しかし、私は彼らのネットワーク上で何もpingできません。 ipsecを設定すると、「フェーズ2OK」が表示されます。
これは、適用可能な構成の一部だと思います。データがトンネルを経由していないようですが、よくわかりません...
object network our-network
subnet 172.16.1.0 255.255.255.0
object network their-network
subnet 192.168.70.0 255.255.255.0
access-list outside_cryptomap extended permit ip object our-network object their-network
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer THEIR_IP
crypto map outside_map 1 set ikev1 phase1-mode aggressive
crypto map outside_map 1 set ikev1 transform-set ESP-3DES-MD5
crypto map outside_map 1 set ikev2 pre-shared-key *****
crypto map outside_map 1 set reverse-route
crypto map outside_map interface outside
webvpn
group-policy GroupPolicy_THEIR_IP internal
group-policy GroupPolicy_THEIR_IP attributes
vpn-filter value outside_cryptomap
ipv6-vpn-filter none
vpn-tunnel-protocol ikev1
tunnel-group THEIR_IP type ipsec-l2l
tunnel-group THEIR_IP general-attributes
default-group-policy GroupPolicy_THEIR_IP
tunnel-group THEIR_IP ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
Tihisは、パケットトレーサーの出力です。私は自分のIPをソースとして、ファイアウォールを宛先として、IPをインターフェースOURのプロトコル0で使用しています
ROUTE-LOOKUP
Type -ROUTE-LOOKUP Action -ALLOW
Info
in 0.0.0.0 0.0.0.0 outsied
IT-OPTIONS
Type -IP-OPtions Action -ALLOW
NAT
Tyope -NAT Action -DROP Show rule in NAT Rules table.
Config
object network obj_any
nat (any,outside) dynamic interface
RESULT - The packet is dropped
Input Interface: OUR
Output Interface:outside
Info: (acl-drop) Flow is denied by configured rule
リバースルートの必要性はわかりませんが、設定は一見正気に見えます。 「cryptoisakmppolicy」で始まるisakmpポリシーを追加するのを忘れましたが、フェーズ2に入ると、明らかにフェーズ1が完了したことを意味します。
1)通常のACLをバイパスさせますか(構成:sysopt接続許可-vpnによる)?
2)パケットトレーサーを実行して結果を貼り付けることはできますか?
さて、私が修正する必要がある2つのことがありました:
1)トンネルを通過するトラフィックをUN-NAT nat (any,any) source static their-network their-network no-proxy-arp
2)ACLを更新して、双方向に実行できるようにします。
access-list outside_cryptomap extended permit ip object our-network object their-network
access-list outside_cryptomap extended permit ip object their-network object our-network
今では問題なく動作します。