Spotkał się ktoś może z problemem z certyfikatami na ASA (5520) ? Konfiguracja poniżej - problem pojawił sie w chwili gdy zdefiniowałem więcej niż jedną policy isakmp wygląda to tak jak by ASA w ogóle nie wysyłała policy z auth rsa-sig ? Wersja ASA to 8.0(5) identyczna sytuacja jest na 8.2(1)
ASA
access-list CRYPTO extended permit ip 136.1.121.0 255.255.255.0 136.1.23.0 255.255.255.0
tunnel-group 136.1.123.3 type ipsec-l2l
tunnel-group 136.1.123.3 ipsec-attributes
trust-point IE
R3
ip access-list extended CRYPTO
permit ip 136.1.23.0 0.0.0.255 136.1.121.0 0.0.0.255
crypto isakmp policy 10
encr aes
group 2
!
!
crypto ipsec transform-set AES esp-aes esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 136.1.123.12
set transform-set AES
match address CRYPTO
!
!
!
interface FastEthernet0/0
ip address 136.1.123.3 255.255.255.0
duplex auto
speed auto
crypto map VPN
Błędy jakie dostaję przy takiej konfiguracji na ASA:
Feb 08 09:07:16 [IKEv1]: There is no valid IKE proposal available, check IPSec SA configuration!
Feb 08 09:07:16 [IKEv1]: Removing peer from peer table failed, no match!
Feb 08 09:07:16 [IKEv1]: Error: Unable to remove PeerTblEntry
Feb 08 09:07:18 [IKEv1 DEBUG]: Pitcher: receive...
Na wielu routerach (szczególnie tych tańszych) podawany jest parametr o nazwie "zdolność przełączania".
W związku z tym mam pytanie czy jest to ten sam parametr który nazywa się po angielsku System Capacity(podawany w jupkach) ?
Na switchach z kolei podawany jest parametr o nazwie Packet Switching Capacities. Czy ktoś mógłby mnie uświadomość czym jest ta "zdolność przełączania" i jak te parametry mają się do siebie
Czy na ASA da się przepuścić ruch zawierający IP options?
W logach mam:
Code:
Feb 07 2010 17:19:36: %ASA-6-106012: Deny IP from 136.1.121.1 to 150.1.3.3, IP options: "Record Route"
Feb 07 2010 17:22:44: %ASA-6-106012: Deny IP from 136.1.123.3 to 150.1.1.1, IP options: "Loose Src Routing"
Dropowanie jest niezależnie od kierunku - zarówno ruch inside->outside jak i outside->inside.
Access-listy na interfejsach INSIDE i OUTSIDE to permit ip any any.
Dropowany jest ruch idący zarówno przez ASA jak i do ASA, ale ja bym chciał przepuścić ten ruch idący "przez", ten ruch "do" mniej mnie interesuje.
Dla TCP options jest tcp-map, ale czy da się przepuścić IP options?
Soft na ASA to 8.0(4).
W całym Configuration Guide (dla 8.0) zarówno "ip option" jak i "ip-option" występuje zero razy, więc może się tego w ogóle nie da przepuścić?
Opis loga oczywiście czytałem: http://www.cisco.com/en/U....html#wp4768924
ale w niczym on mi nie pomaga.
Witam,
Chciałbym wykorzystać do podziału mojego łącza router 1711.
Mój provider dostarcza stały niepubliczny adres IP. [zakończone ethernetem]
Konfiguracja NATa oraz routingu nie była problemem.
Problem dotyczy natomiast prędkości uzyskiwanych przy takiej konfiguracji.
Łącze posiada następujące parametry Download- 20Mb/s Upload-/4Mb/s, jednak maksymalna prędkość jaką udało mi się uzyskać podczas testów to 10Mb/s.
Według specyfikacji technicznej osiągnięcie na tym sprzecie prędkości 20Mb/s nie powinno być problemem, w związku z tym jeżeli ktoś byłby w stanie podpowiedzieć i pomóc w rozwiązaniu problemu będę bardzo wdzięczny.
Podłączony zarówno laptop jak i wrt54gs linksysa osiągają deklarowane przez mojego ISP parametry.
Wersja flasha to:c1700-k9o3sy7-mz.123-11.T11.bin
Wynik polecenia: show running-config
Router#sh
*Mar 1 09:53:20.455: %SYS-5-CONFIG_I: Configured from console by console run
Building configuration...
Current configuration : 1086 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
no crypto isakmp ccm
!
!
!
interface FastEthernet0
ip address 10.10.10.25 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface Vlan1
ip address 192.168.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
!
interface Async1
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.10
no ip http server
no ip http secure-server
!
ip nat inside source list 100 interface FastEthernet0 overload
!
!
access-list 100 ...
In total there are 28 users online :: 7 Registered, 1 Hidden and 20 Guests Registered Users: byegood, garfield, jepes, lbromirs, lukibest, sobolaqe1, xal Most users ever online was 168 on 25 June 2007, 21:48
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc.
Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries.