FZigen Posted August 6, 2012 Share Posted August 6, 2012 При организации LAN-to-LAN соединения между GSM-модемом MOXA OnCell G3110 (версия прошивки 2.5 Build 11100811, заводская) и CISCO ASA5510 (IOS 8.2, лицензия Security Plus) с использованием протокола IPSec модем ASA не принимает входящие подключения от модема. Конфигурирование базовых параметров соединения произведено корректно (в данный момент к маршрутизатору подключено иное оборудование связи с использованием технологий L2L и Remote Access VPN). Принципиальная схема подключения и конфиг модема в аттаче. (Примечание: IPSec туннель на схеме на указан). Настройки соответствующего профиля подключения на ASA аналогичны параметрам, указанным на модеме. Замечено следующее. При отключении NAT-T на любом из устройств или же на обоих одновременно соединение устанавливается, однако, из сети 10.10.0.0/24 не проходят пакеты в сеть 10.10.16.0/24 и наоборот, так подключение является мнимым по причине соединения «точка-точка» исключительно между CISCO ASA 5510 и отсутствия протокола NAT-T, который как раз и необходим для реализации подобного рода задач. При изменении параметра Identity Option на модеме и соответствующей настройке CISCO соединения также не происходит. В процессе тестирования выявлено следующее. В случае, если на модеме или маршрутизаторе в настройках профиля подключения параметр NAT-Traversal (NAT-T) отключен, соединение проходит успешно. При иной конфигурации на стадии привязки удаленного абонента (модема) к туннельной группе согласно профиля, шифрования и генерации хэш-ключей ASA 5510 не получает подтверждения о приеме пакета от OnCell G3110. В связи с этим, происходит повторный обмен данными в соответствии первой фазы подключения (PHASE1). Информация получена при подробном анализе информационных сообщений ISAKMP в режиме отладки на CISCO. Для более точного представления Вами ситуации ниже прикладываю часть отладочного лог-файла. Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ke payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ISA_KE payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing nonce payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ID payload Aug 06 16:23:47 [iKEv1 DECODE]: IP = 80.83.238.4, ID_FQDN ID received, len 4 0000: 4D4F5841 MOXA Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal RFC VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal ver 02 VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received DPD VID Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, Connection landed on tunnel_group MOXA Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, processing IKE SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 3 Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ISAKMP SA payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ke payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing nonce payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Generating keys for Responder... Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing hash payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Computing hash for ISAKMP Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Cisco Unity VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing xauth V6 VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing dpd vid payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Traversal VID ver 02 payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Fragmentation VID + extended capabilities payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing VID payload Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Send Altiga/Cisco VPN3000/Cisco ASA GW VID Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + KE (4) + NONCE (10) + ID (5) + HASH (8) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 428 Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet. Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM В системном журнале модема при неудачной попытке соединения указано лишь, что PHASE1 прервана по таймауту. Подскажите пожалуйста, какие существуют варианты решения моей проблемы. OCG3110_V2.txt Link to comment
Komantsev Posted August 7, 2012 Share Posted August 7, 2012 Здравствуйте, Спасибо за детальное описание проблемы! Не могли бы Вы прислать настройки устройства Cisco для анализа? Link to comment
FZigen Posted August 7, 2012 Author Share Posted August 7, 2012 Конфигурация ASA выглядит следующим образом (из листинга исключил лишние строки). ASA Version 8.2(1) ! interface Ethernet0/0 shutdown nameif ADSL_VPN security-level 0 ip address A.A.A.A 255.255.255.0 ! interface Ethernet0/1 speed 10 duplex full nameif GOODNET security-level 0 ip address dhcp setroute ! interface Ethernet0/2 nameif LAN_TPA security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/3 nameif VPN_LOCAL security-level 100 ip address 10.10.0.1 255.255.255.0 ! interface Management0/0 nameif management security-level 100 ip address 192.168.100.1 255.255.255.0 management-only ! same-security-traffic permit inter-interfacesame-security-traffic permit intra-interfaceobject-group protocol TCPUDP protocol-object udp protocol-object tcpobject-group service ctcpport tcp port-object eq 10000object-group service udp500 udp port-object eq 4500 port-object eq isakmpaccess-list GOODNET_access_in extended permit esp any anyaccess-list GOODNET_access_in extended permit udp any any eq isakmpaccess-list GOODNET_access_in extended permit udp any any eq 4500access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.0.0 255.255.255.224access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.16.0 255.255.255.0access-list LAN_TPA_access_in extended permit ip any anyaccess-list LAN_TPA_access_out extended permit ip any anyaccess-list VPN_LOCAL_access_out extended permit ip any anyaccess-list VPN_LOCAL_access_in extended permit ip 192.168.1.0 255.255.255.0 anyaccess-list VPN_LOCAL_access_in extended permit ip any 10.10.16.0 255.255.255.0access-list LAN_TPA_nat0_outbound_1 extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0access-list GOODNET_cryptomap_1 extended permit ip 10.10.0.0 255.255.255.0 10.10.16.0 255.255.255.0pager lines 24logging enablelogging asdm informationalmtu ADSL_VPN 1500mtu GOODNET 1500mtu LAN_TPA 1500mtu VPN_LOCAL 1500mtu management 1500ip local pool VPN_POOL REMOTE-192.168.1.210 mask 255.255.255.0ip local pool VPN_WRK_POOL 10.10.0.10-10.10.0.20 mask 255.255.255.0ip verify reverse-path interface ADSL_VPNno failovericmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400nat-controlglobal (ADSL_VPN) 101 interfaceglobal (GOODNET) 101 interfacenat (LAN_TPA) 0 access-list LAN_TPA_nat0_outbound_1 outsidenat (LAN_TPA) 101 192.168.1.0 255.255.255.0 dnsnat (VPN_LOCAL) 0 access-list VPN_LOCAL_nat0_outboundaccess-group ADSL_VPN_access_in in interface ADSL_VPNaccess-group ADSL_VPN_access_out out interface ADSL_VPNaccess-group GOODNET_access_in in interface GOODNETaccess-group LAN_TPA_access_in in interface LAN_TPAaccess-group LAN_TPA_access_out out interface LAN_TPAaccess-group VPN_LOCAL_access_in in interface VPN_LOCALaccess-group VPN_LOCAL_access_out out interface VPN_LOCALroute ADSL_VPN 0.0.0.0 0.0.0.0 A.A.A.A 1 track 1route GOODNET 0.0.0.0 0.0.0.0 B.B.B.B 220route VPN_LOCAL 10.10.0.0 255.255.255.0 10.10.0.1 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00dynamic-access-policy-record DfltAccessPolicyno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartsysopt connection tcpmss 0sla monitor 1 type echo protocol ipIcmpEcho 194.87.0.50 interface ADSL_VPNsla monitor schedule 1 life forever start-time nowcrypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmaccrypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmaccrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfscrypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-MD5 ESP-DES-SHAcrypto dynamic-map MOXA1 2 match address GOODNET_cryptomap_2crypto dynamic-map MOXA1 2 set pfs group1crypto dynamic-map MOXA1 2 set transform-set ESP-DES-MD5 ESP-DES-SHAcrypto dynamic-map MOXA1 2 set reverse-routecrypto map ADSL_VPN_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAPcrypto map ADSL_VPN_map interface ADSL_VPNcrypto map VPN_LOCAL_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAPcrypto map VPN_LOCAL_map interface VPN_LOCALcrypto map GOODNET_map 2 ipsec-isakmp dynamic MOXA1crypto map GOODNET_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAPcrypto map GOODNET_map interface GOODNETcrypto isakmp enable ADSL_VPNcrypto isakmp enable GOODNETcrypto isakmp policy 10 authentication pre-share encryption des hash md5 group 2 lifetime 86400crypto isakmp policy 30 authentication pre-share encryption des hash sha group 2 lifetime 86400crypto isakmp nat-traversal 30crypto isakmp ipsec-over-tcp port 10000!track 1 rtr 1 reachabilitytelnet 192.168.1.0 255.255.255.0 LAN_TPAtelnet 192.168.100.0 255.255.255.0 managementtelnet timeout 5ssh timeout 5console timeout 0dhcp-client client-id interface GOODNETno threat-detection basic-threatthreat-detection scanning-threat shun duration 3600threat-detection statisticsthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200dynamic-filter enable interface ADSL_VPN classify-list ADSL_VPN_access_inwebvpngroup-policy VPNG1 internalgroup-policy VPNG1 attributes wins-server value 192.168.1.90 dns-server value 192.168.1.90 vpn-tunnel-protocol IPSec svc default-domain value tpa.rugroup-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec webvpngroup-policy VPNG5 internalgroup-policy VPNG5 attributes wins-server value 192.168.1.90 dns-server value 192.168.1.90 vpn-tunnel-protocol IPSec webvpn vpn-group-policy VPNG1tunnel-group DefaultRAGroup general-attributes address-pool VPN_WRK_POOL default-group-policy VPNG1tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication nonetunnel-group VPNG1 type remote-accesstunnel-group VPNG1 general-attributes address-pool VPN_POOL default-group-policy VPNG1tunnel-group VPNG1 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication nonetunnel-group VPNG4 type remote-accesstunnel-group VPNG4 general-attributes address-pool VPN_WRK_POOLtunnel-group VPNG4 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication nonetunnel-group VPNG2 type remote-accesstunnel-group VPNG2 general-attributes address-pool VPN_WRK_POOLtunnel-group VPNG2 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication nonetunnel-group VPNG5 type remote-accesstunnel-group VPNG5 general-attributes address-pool VPN_POOL default-group-policy VPNG5tunnel-group VPNG5 ipsec-attributes pre-shared-key * isakmp ikev1-user-authentication nonetunnel-group MOXA1 type ipsec-l2ltunnel-group MOXA1 ipsec-attributes pre-shared-key * isakmp keepalive disabletunnel-group VPNG3 type remote-accesstunnel-group VPNG3 ipsec-attributes isakmp ikev1-user-authentication none!class-map inspection_default match default-inspection-traffic!!policy-map type inspect dns preset_dns_map parameters message-length maximum 512policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect tftp!: end Link to comment
FZigen Posted October 30, 2012 Author Share Posted October 30, 2012 Добрый день! Тему можно закрывать, проблема была решена после некоторого перерыва. Соль оказалась в особенностях настройки NAT'а на оборудовании оператора сотовой связи. В связи с этим была подключена услуга "Статический IP", в настройках VPN-соединения на GSM-модеме и ASA отключен параметр NAT-traversal (он же NAT-T). После этих достаточно нехитрых действий было установлено двустороннее соединение между подсетью, расположенной за ASA 5510 и подсетью за MOXA OnCell G3110. В связи с этим, при создании L2L соединений с использованием вышеуказанного оборудования MOXA рекомендуется использовать статический IP-адрес со стороны GSM-модема. В противном случае, ASA Site-to-Site (оно же L2L) соединение с использованием протокола IPSec обрабатывает некорректно, в лучшем случае устанавливая коннект исключительно между пирами. Двусторонняя связь между подмапливаемыми подсетями отсутствует. Link to comment
Komantsev Posted October 30, 2012 Share Posted October 30, 2012 Здравствуйте, Спасибо Вам большое за отчет и за советы!! Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now