VPN Cisco - głupie/ważne pytanie

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
jeromele
fresh
fresh
Posty: 2
Rejestracja: 11 sty 2020, 06:56

VPN Cisco - głupie/ważne pytanie

#1

#1 Post autor: jeromele »

Cześć,
Zestawiłem połączenie VPN między dwoma fizycznymi routerami Cisco 1941SEC/K9 IOS, wszystko działa ok, z tym, że jak daję polecenie show crypto ipsec sa, to nie do końca rozumiem dlaczego wychodzą tak jakby dwie wersje ustawień (sprawdzałem w packet tracerze, tam tego nie ma przy identycznych ustawieniach), odpowiedź pewnie będzie banalna, ale proszę o pomoc bo jako laik nie potrafię na nią wpaść, poniżej log (na obu routerach jest to samo):

Kod: Zaznacz cały

R1#show crypto ipsec sa

interface: GigabitEthernet0/1
    Crypto map tag: VPN-MAP, local addr 10.0.0.1
#O TE USTAWIENIA MI CHODZI:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/1/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/1/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.2
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/1
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

	inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

# Tu już jest ok:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 53914, #pkts encrypt: 53914, #pkts digest: 53914
    #pkts decaps: 26998, #pkts decrypt: 26998, #pkts verify: 26998
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.0.0.2
    path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/1
     current outbound spi: 0x92C7838A(2462548874)
     PFS (Y/N): Y, DH group: none

     inbound esp sas:
      spi: 0x85CBA87A(2244716666)
        transform: esp-256-aes esp-sha512-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: SW:1, sibling_flags 80000040, crypto map: VPN-MAP
        sa timing: remaining key lifetime (k/sec): (4158182/2615)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x92C7838A(2462548874)
        transform: esp-256-aes esp-sha512-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: SW:2, sibling_flags 80000040, crypto map: VPN-MAP
       sa timing: remaining key lifetime (k/sec): (4083059/2615)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:
W wyróżnionym kodzie w pierwszej części jest brak szyfrowania, czego to się tyczy? w drugiej części jest już tak jak powinno być, czyli jest pokazany ruch szyfrowany

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: VPN Cisco - głupie/ważne pytanie

#2

#2 Post autor: drake »

Hej,
A zawsze tak jest? Moze to jeszcze stare SA, sprawdz wynik "sh crypto isakmp sa" czy masz jeden wpis czy wiecej. Jesli mozesz, zresetuj tunel (jesli bez ruchu produkcyjnego/w oknie serwisowym: "clear crypto session") i zobacz czy potem ta sama sytuacja bedzie.

Pozdruffka!
Never stop exploring :)

https://iverion.de

eljan
wannabe
wannabe
Posty: 54
Rejestracja: 01 lut 2011, 10:14

Re: VPN Cisco - głupie/ważne pytanie

#3

#3 Post autor: eljan »

Ja bym jeszcze sprawdził routing czy aby jest prawidłowo skonfigurowany.

ODPOWIEDZ