Jump to content
Форум по продукции MOXA

FZigen

Пользователи
 View Profile  See their activity

  • Posts

    3

  • Joined

  • Last visited

About FZigen

  • Birthday 10/09/1985

Информация

  • Пол
    Мужчина
  • Город
    Город на Амуре

Recent Profile Visitors

827 profile views
  • LVS

    LVS

FZigen's Achievements

Новичок

Новичок (1/5)

0

Reputation

  1. FZigen
    Добрый день! Тему можно закрывать, проблема была решена после некоторого перерыва. Соль оказалась в особенностях настройки NAT'а на оборудовании оператора сотовой связи. В связи с этим была подключена услуга "Статический IP", в настройках VPN-соединения на GSM-модеме и ASA отключен параметр NAT-traversal (он же NAT-T). После этих достаточно нехитрых действий было установлено двустороннее соединение между подсетью, расположенной за ASA 5510 и подсетью за MOXA OnCell G3110. В связи с этим, при создании L2L соединений с использованием вышеуказанного оборудования MOXA рекомендуется использовать статический IP-адрес со стороны GSM-модема. В противном случае, ASA Site-to-Site (оно же L2L) соединение с использованием протокола IPSec обрабатывает некорректно, в лучшем случае устанавливая коннект исключительно между пирами. Двусторонняя связь между подмапливаемыми подсетями отсутствует.
  2. FZigen
    Конфигурация ASA выглядит следующим образом (из листинга исключил лишние строки). ASA Version 8.2(1) ! interface Ethernet0/0 shutdown nameif ADSL_VPN security-level 0 ip address A.A.A.A 255.255.255.0 ! interface Ethernet0/1 speed 10 duplex full nameif GOODNET security-level 0 ip address dhcp setroute ! interface Ethernet0/2 nameif LAN_TPA security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/3 nameif VPN_LOCAL security-level 100 ip address 10.10.0.1 255.255.255.0 ! interface Management0/0 nameif management security-level 100 ip address 192.168.100.1 255.255.255.0 management-only ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface object-group protocol TCPUDP protocol-object udp protocol-object tcp object-group service ctcpport tcp port-object eq 10000 object-group service udp500 udp port-object eq 4500 port-object eq isakmp access-list GOODNET_access_in extended permit esp any any access-list GOODNET_access_in extended permit udp any any eq isakmp access-list GOODNET_access_in extended permit udp any any eq 4500 access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.0.0 255.255.255.224 access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.16.0 255.255.255.0 access-list LAN_TPA_access_in extended permit ip any any access-list LAN_TPA_access_out extended permit ip any any access-list VPN_LOCAL_access_out extended permit ip any any access-list VPN_LOCAL_access_in extended permit ip 192.168.1.0 255.255.255.0 any access-list VPN_LOCAL_access_in extended permit ip any 10.10.16.0 255.255.255.0 access-list LAN_TPA_nat0_outbound_1 extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list GOODNET_cryptomap_1 extended permit ip 10.10.0.0 255.255.255.0 10.10.16.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu ADSL_VPN 1500 mtu GOODNET 1500 mtu LAN_TPA 1500 mtu VPN_LOCAL 1500 mtu management 1500 ip local pool VPN_POOL REMOTE-192.168.1.210 mask 255.255.255.0 ip local pool VPN_WRK_POOL 10.10.0.10-10.10.0.20 mask 255.255.255.0 ip verify reverse-path interface ADSL_VPN no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat-control global (ADSL_VPN) 101 interface global (GOODNET) 101 interface nat (LAN_TPA) 0 access-list LAN_TPA_nat0_outbound_1 outside nat (LAN_TPA) 101 192.168.1.0 255.255.255.0 dns nat (VPN_LOCAL) 0 access-list VPN_LOCAL_nat0_outbound access-group ADSL_VPN_access_in in interface ADSL_VPN access-group ADSL_VPN_access_out out interface ADSL_VPN access-group GOODNET_access_in in interface GOODNET access-group LAN_TPA_access_in in interface LAN_TPA access-group LAN_TPA_access_out out interface LAN_TPA access-group VPN_LOCAL_access_in in interface VPN_LOCAL access-group VPN_LOCAL_access_out out interface VPN_LOCAL route ADSL_VPN 0.0.0.0 0.0.0.0 A.A.A.A 1 track 1 route GOODNET 0.0.0.0 0.0.0.0 B.B.B.B 220 route VPN_LOCAL 10.10.0.0 255.255.255.0 10.10.0.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart sysopt connection tcpmss 0 sla monitor 1 type echo protocol ipIcmpEcho 194.87.0.50 interface ADSL_VPN sla monitor schedule 1 life forever start-time now crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-MD5 ESP-DES-SHA crypto dynamic-map MOXA1 2 match address GOODNET_cryptomap_2 crypto dynamic-map MOXA1 2 set pfs group1 crypto dynamic-map MOXA1 2 set transform-set ESP-DES-MD5 ESP-DES-SHA crypto dynamic-map MOXA1 2 set reverse-route crypto map ADSL_VPN_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map ADSL_VPN_map interface ADSL_VPN crypto map VPN_LOCAL_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map VPN_LOCAL_map interface VPN_LOCAL crypto map GOODNET_map 2 ipsec-isakmp dynamic MOXA1 crypto map GOODNET_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map GOODNET_map interface GOODNET crypto isakmp enable ADSL_VPN crypto isakmp enable GOODNET crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 30 crypto isakmp ipsec-over-tcp port 10000 ! track 1 rtr 1 reachability telnet 192.168.1.0 255.255.255.0 LAN_TPA telnet 192.168.100.0 255.255.255.0 management telnet timeout 5 ssh timeout 5 console timeout 0 dhcp-client client-id interface GOODNET no threat-detection basic-threat threat-detection scanning-threat shun duration 3600 threat-detection statistics threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 dynamic-filter enable interface ADSL_VPN classify-list ADSL_VPN_access_in webvpn group-policy VPNG1 internal group-policy VPNG1 attributes wins-server value 192.168.1.90 dns-server value 192.168.1.90 vpn-tunnel-protocol IPSec svc default-domain value tpa.ru group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpn group-policy VPNG5 internal group-policy VPNG5 attributes wins-server value 192.168.1.90 dns-server value 192.168.1.90 vpn-tunnel-protocol IPSec webvpn vpn-group-policy VPNG1 tunnel-group DefaultRAGroup general-attributes address-pool VPN_WRK_POOL default-group-policy VPNG1 tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication none tunnel-group VPNG1 type remote-access tunnel-group VPNG1 general-attributes address-pool VPN_POOL default-group-policy VPNG1 tunnel-group VPNG1 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication none tunnel-group VPNG4 type remote-access tunnel-group VPNG4 general-attributes address-pool VPN_WRK_POOL tunnel-group VPNG4 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication none tunnel-group VPNG2 type remote-access tunnel-group VPNG2 general-attributes address-pool VPN_WRK_POOL tunnel-group VPNG2 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication none tunnel-group VPNG5 type remote-access tunnel-group VPNG5 general-attributes address-pool VPN_POOL default-group-policy VPNG5 tunnel-group VPNG5 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication none tunnel-group MOXA1 type ipsec-l2l tunnel-group MOXA1 ipsec-attributes pre-shared-key * isakmp keepalive disable tunnel-group VPNG3 type remote-access tunnel-group VPNG3 ipsec-attributes isakmp ikev1-user-authentication none ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect tftp ! : end
  3. FZigen
    При организации LAN-to-LAN соединения между GSM-модемом MOXA OnCell G3110 (версия прошивки 2.5 Build 11100811, заводская) и CISCO ASA5510 (IOS 8.2, лицензия Security Plus) с использованием протокола IPSec модем ASA не принимает входящие подключения от модема. Конфигурирование базовых параметров соединения произведено корректно (в данный момент к маршрутизатору подключено иное оборудование связи с использованием технологий L2L и Remote Access VPN). Принципиальная схема подключения и конфиг модема в аттаче. (Примечание: IPSec туннель на схеме на указан). Настройки соответствующего профиля подключения на ASA аналогичны параметрам, указанным на модеме. Замечено следующее. При отключении NAT-T на любом из устройств или же на обоих одновременно соединение устанавливается, однако, из сети 10.10.0.0/24 не проходят пакеты в сеть 10.10.16.0/24 и наоборот, так подключение является мнимым по причине соединения «точка-точка» исключительно между CISCO ASA 5510 и отсутствия протокола NAT-T, который как раз и необходим для реализации подобного рода задач. При изменении параметра Identity Option на модеме и соответствующей настройке CISCO соединения также не происходит. В процессе тестирования выявлено следующее. В случае, если на модеме или маршрутизаторе в настройках профиля подключения параметр NAT-Traversal (NAT-T) отключен, соединение проходит успешно. При иной конфигурации на стадии привязки удаленного абонента (модема) к туннельной группе согласно профиля, шифрования и генерации хэш-ключей ASA 5510 не получает подтверждения о приеме пакета от OnCell G3110. В связи с этим, происходит повторный обмен данными в соответствии первой фазы подключения (PHASE1). Информация получена при подробном анализе информационных сообщений ISAKMP в режиме отладки на CISCO. Для более точного представления Вами ситуации ниже прикладываю часть отладочного лог-файла. Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ke payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ISA_KE payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing nonce payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ID payload Aug 06 16:23:47 [iKEv1 DECODE]: IP = 80.83.238.4, ID_FQDN ID received, len 4 0000: 4D4F5841 MOXA Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal RFC VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal ver 02 VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received DPD VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, Connection landed on tunnel_group MOXA Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, processing IKE SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 3 Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ISAKMP SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ke payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing nonce payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Generating keys for Responder... Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing hash payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Computing hash for ISAKMP Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Cisco Unity VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing xauth V6 VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing dpd vid payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Traversal VID ver 02 payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Fragmentation VID + extended capabilities payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Send Altiga/Cisco VPN3000/Cisco ASA GW VID Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + KE (4) + NONCE (10) + ID (5) + HASH (8) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 428 Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM В системном журнале модема при неудачной попытке соединения указано лишь, что PHASE1 прервана по таймауту. Подскажите пожалуйста, какие существуют варианты решения моей проблемы. OCG3110_V2.txt
×
×
  • Create New...