Проблемы с VPN-соединением между Cisco ASA 5510 и Moxa OnCell G3110/

[FZigen]

При организации LAN-to-LAN соединения между GSM-модемом MOXA OnCell G3110 (версия прошивки 2.5 Build 11100811, заводская) и CISCO ASA5510 (IOS 8.2, лицензия Security Plus) с использованием протокола IPSec модем ASA не принимает входящие подключения от модема. Конфигурирование базовых параметров соединения произведено корректно (в данный момент к маршрутизатору подключено иное оборудование связи с использованием технологий L2L и Remote Access VPN). Принципиальная схема подключения и конфиг модема в аттаче.

 

(Примечание: IPSec туннель на схеме на указан).

 

Настройки соответствующего профиля подключения на ASA аналогичны параметрам, указанным на модеме. Замечено следующее. При отключении NAT-T на любом из устройств или же на обоих одновременно соединение устанавливается, однако, из сети 10.10.0.0/24 не проходят пакеты в сеть 10.10.16.0/24 и наоборот, так подключение является мнимым по причине соединения «точка-точка» исключительно между CISCO ASA 5510 и отсутствия протокола NAT-T, который как раз и необходим для реализации подобного рода задач. При изменении параметра Identity Option на модеме и соответствующей настройке CISCO соединения также не происходит.

 

В процессе тестирования выявлено следующее. В случае, если на модеме или маршрутизаторе в настройках профиля подключения

параметр NAT-Traversal (NAT-T) отключен, соединение проходит успешно. При иной конфигурации на стадии привязки удаленного абонента (модема)

к туннельной группе согласно профиля, шифрования и генерации хэш-ключей ASA 5510 не получает подтверждения о приеме пакета от OnCell G3110.

В связи с этим, происходит повторный обмен данными в соответствии первой фазы подключения (PHASE1). Информация получена при подробном анализе

информационных сообщений ISAKMP в режиме отладки на CISCO.

 

Для более точного представления Вами ситуации ниже прикладываю часть отладочного лог-файла.

 

 

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing SA payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ke payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ISA_KE payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing nonce payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing ID payload

Aug 06 16:23:47 [iKEv1 DECODE]: IP = 80.83.238.4, ID_FQDN ID received, len 4

0000: 4D4F5841 MOXA

 

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal RFC VID

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received NAT-Traversal ver 02 VID

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, Received DPD VID

Aug 06 16:23:47 [iKEv1 DEBUG]: IP = 80.83.238.4, processing VID payload

Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, Connection landed on tunnel_group MOXA

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, processing IKE SA payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 3

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ISAKMP SA payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ke payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing nonce payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Generating keys for Responder...

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing ID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing hash payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Computing hash for ISAKMP

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Cisco Unity VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing xauth V6 VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing dpd vid payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Traversal VID ver 02 payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing NAT-Discovery payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, computing NAT Discovery hash

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing Fragmentation VID + extended capabilities payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, constructing VID payload

Aug 06 16:23:47 [iKEv1 DEBUG]: Group = MOXA, IP = 80.83.238.4, Send Altiga/Cisco VPN3000/Cisco ASA GW VID

Aug 06 16:23:47 [iKEv1]: IP = 80.83.238.4, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + KE (4) + NONCE (10) + ID (5) + HASH (8) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 428

Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet.

Aug 06 16:23:54 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM

Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet.

Aug 06 16:24:01 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM

Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet.

Aug 06 16:24:05 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM

Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, Duplicate Phase 1 packet detected. Retransmitting last packet.

Aug 06 16:24:10 [iKEv1]: Group = MOXA, IP = 80.83.238.4, P1 Retransmit msg dispatched to AM FSM

 

 

В системном журнале модема при неудачной попытке соединения указано лишь, что PHASE1 прервана по таймауту.

 

Подскажите пожалуйста, какие существуют варианты решения моей проблемы.

OCG3110_V2.txt

[Komantsev]

Здравствуйте,

 

Спасибо за детальное описание проблемы!

Не могли бы Вы прислать настройки устройства Cisco для анализа?

[FZigen]

Конфигурация ASA выглядит следующим образом (из листинга исключил лишние строки).

 

ASA Version 8.2(1)

!

interface Ethernet0/0

shutdown

nameif ADSL_VPN

security-level 0

ip address A.A.A.A 255.255.255.0

!

interface Ethernet0/1

speed 10

duplex full

nameif GOODNET

security-level 0

ip address dhcp setroute

!

interface Ethernet0/2

nameif LAN_TPA

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet0/3

nameif VPN_LOCAL

security-level 100

ip address 10.10.0.1 255.255.255.0

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.100.1 255.255.255.0

management-only

!

• same-security-traffic permit inter-interface
  same-security-traffic permit intra-interface
  object-group protocol TCPUDP
  protocol-object udp
  protocol-object tcp
  object-group service ctcpport tcp
  port-object eq 10000
  object-group service udp500 udp
  port-object eq 4500
  port-object eq isakmp
  access-list GOODNET_access_in extended permit esp any any
  access-list GOODNET_access_in extended permit udp any any eq isakmp
  access-list GOODNET_access_in extended permit udp any any eq 4500
  access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.0.0 255.255.255.224
  access-list VPN_LOCAL_nat0_outbound extended permit ip any 10.10.16.0 255.255.255.0
  access-list LAN_TPA_access_in extended permit ip any any
  access-list LAN_TPA_access_out extended permit ip any any
  access-list VPN_LOCAL_access_out extended permit ip any any
  access-list VPN_LOCAL_access_in extended permit ip 192.168.1.0 255.255.255.0 any
  access-list VPN_LOCAL_access_in extended permit ip any 10.10.16.0 255.255.255.0
  access-list LAN_TPA_nat0_outbound_1 extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
  access-list GOODNET_cryptomap_1 extended permit ip 10.10.0.0 255.255.255.0 10.10.16.0 255.255.255.0
  pager lines 24
  logging enable
  logging asdm informational
  mtu ADSL_VPN 1500
  mtu GOODNET 1500
  mtu LAN_TPA 1500
  mtu VPN_LOCAL 1500
  mtu management 1500
  ip local pool VPN_POOL REMOTE-192.168.1.210 mask 255.255.255.0
  ip local pool VPN_WRK_POOL 10.10.0.10-10.10.0.20 mask 255.255.255.0
  ip verify reverse-path interface ADSL_VPN
  no failover
  icmp unreachable rate-limit 1 burst-size 1
  no asdm history enable
  arp timeout 14400
  nat-control
  global (ADSL_VPN) 101 interface
  global (GOODNET) 101 interface
  nat (LAN_TPA) 0 access-list LAN_TPA_nat0_outbound_1 outside
  nat (LAN_TPA) 101 192.168.1.0 255.255.255.0 dns
  nat (VPN_LOCAL) 0 access-list VPN_LOCAL_nat0_outbound
  access-group ADSL_VPN_access_in in interface ADSL_VPN
  access-group ADSL_VPN_access_out out interface ADSL_VPN
  access-group GOODNET_access_in in interface GOODNET
  access-group LAN_TPA_access_in in interface LAN_TPA
  access-group LAN_TPA_access_out out interface LAN_TPA
  access-group VPN_LOCAL_access_in in interface VPN_LOCAL
  access-group VPN_LOCAL_access_out out interface VPN_LOCAL
  route ADSL_VPN 0.0.0.0 0.0.0.0 A.A.A.A 1 track 1
  route GOODNET 0.0.0.0 0.0.0.0 B.B.B.B 220
  route VPN_LOCAL 10.10.0.0 255.255.255.0 10.10.0.1 1
  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
  timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
  timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
  timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
  timeout tcp-proxy-reassembly 0:01:00
  dynamic-access-policy-record DfltAccessPolicy
  no snmp-server location
  no snmp-server contact
  snmp-server enable traps snmp authentication linkup linkdown coldstart
  sysopt connection tcpmss 0
  sla monitor 1
  type echo protocol ipIcmpEcho 194.87.0.50 interface ADSL_VPN
  sla monitor schedule 1 life forever start-time now
  crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
  crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
  crypto ipsec security-association lifetime seconds 28800
  crypto ipsec security-association lifetime kilobytes 4608000
  crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
  crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-MD5 ESP-DES-SHA
  crypto dynamic-map MOXA1 2 match address GOODNET_cryptomap_2
  crypto dynamic-map MOXA1 2 set pfs group1
  crypto dynamic-map MOXA1 2 set transform-set ESP-DES-MD5 ESP-DES-SHA
  crypto dynamic-map MOXA1 2 set reverse-route
  crypto map ADSL_VPN_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
  crypto map ADSL_VPN_map interface ADSL_VPN
  crypto map VPN_LOCAL_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
  crypto map VPN_LOCAL_map interface VPN_LOCAL
  crypto map GOODNET_map 2 ipsec-isakmp dynamic MOXA1
  crypto map GOODNET_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
  crypto map GOODNET_map interface GOODNET
  crypto isakmp enable ADSL_VPN
  crypto isakmp enable GOODNET
  crypto isakmp policy 10
  authentication pre-share
  encryption des
  hash md5
  group 2
  lifetime 86400
  crypto isakmp policy 30
  authentication pre-share
  encryption des
  hash sha
  group 2
  lifetime 86400
  crypto isakmp nat-traversal 30
  crypto isakmp ipsec-over-tcp port 10000
  !
  track 1 rtr 1 reachability
  telnet 192.168.1.0 255.255.255.0 LAN_TPA
  telnet 192.168.100.0 255.255.255.0 management
  telnet timeout 5
  ssh timeout 5
  console timeout 0
  dhcp-client client-id interface GOODNET
  no threat-detection basic-threat
  threat-detection scanning-threat shun duration 3600
  threat-detection statistics
  threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
  dynamic-filter enable interface ADSL_VPN classify-list ADSL_VPN_access_in
  webvpn
  group-policy VPNG1 internal
  group-policy VPNG1 attributes
  wins-server value 192.168.1.90
  dns-server value 192.168.1.90
  vpn-tunnel-protocol IPSec svc
  default-domain value tpa.ru
  group-policy DfltGrpPolicy attributes
  vpn-tunnel-protocol IPSec webvpn
  group-policy VPNG5 internal
  group-policy VPNG5 attributes
  wins-server value 192.168.1.90
  dns-server value 192.168.1.90
  vpn-tunnel-protocol IPSec webvpn
  vpn-group-policy VPNG1
  tunnel-group DefaultRAGroup general-attributes
  address-pool VPN_WRK_POOL
  default-group-policy VPNG1
  tunnel-group DefaultRAGroup ipsec-attributes
  pre-shared-key *
  isakmp ikev1-user-authentication none
  tunnel-group VPNG1 type remote-access
  tunnel-group VPNG1 general-attributes
  address-pool VPN_POOL
  default-group-policy VPNG1
  tunnel-group VPNG1 ipsec-attributes
  pre-shared-key *
  isakmp ikev1-user-authentication none
  tunnel-group VPNG4 type remote-access
  tunnel-group VPNG4 general-attributes
  address-pool VPN_WRK_POOL
  tunnel-group VPNG4 ipsec-attributes
  pre-shared-key *
  isakmp ikev1-user-authentication none
  tunnel-group VPNG2 type remote-access
  tunnel-group VPNG2 general-attributes
  address-pool VPN_WRK_POOL
  tunnel-group VPNG2 ipsec-attributes
  pre-shared-key *
  isakmp ikev1-user-authentication none
  tunnel-group VPNG5 type remote-access
  tunnel-group VPNG5 general-attributes
  address-pool VPN_POOL
  default-group-policy VPNG5
  tunnel-group VPNG5 ipsec-attributes
  pre-shared-key *
  isakmp ikev1-user-authentication none
  tunnel-group MOXA1 type ipsec-l2l
  tunnel-group MOXA1 ipsec-attributes
  pre-shared-key *
  isakmp keepalive disable
  tunnel-group VPNG3 type remote-access
  tunnel-group VPNG3 ipsec-attributes
  isakmp ikev1-user-authentication none
  !
  class-map inspection_default
  match default-inspection-traffic
  !
  !
  policy-map type inspect dns preset_dns_map
  parameters
  message-length maximum 512
  policy-map global_policy
  class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect tftp
  !
  : end
  

[FZigen]

Добрый день! Тему можно закрывать, проблема была решена после некоторого перерыва. Соль оказалась в особенностях настройки NAT'а на оборудовании оператора сотовой связи. В связи с этим была подключена услуга "Статический IP", в настройках VPN-соединения на GSM-модеме и ASA отключен параметр NAT-traversal (он же NAT-T). После этих достаточно нехитрых действий было установлено двустороннее соединение между подсетью, расположенной за ASA 5510 и подсетью за MOXA OnCell G3110.

 

В связи с этим, при создании L2L соединений с использованием вышеуказанного оборудования MOXA рекомендуется использовать статический IP-адрес со стороны GSM-модема. В противном случае, ASA Site-to-Site (оно же L2L) соединение с использованием протокола IPSec обрабатывает некорректно, в лучшем случае устанавливая коннект исключительно между пирами. Двусторонняя связь между подмапливаемыми подсетями отсутствует.

[Komantsev]

Здравствуйте,

Спасибо Вам большое за отчет и за советы!!