IPSEC VPN
IPSEC VPN
Witam,
Mam oto taki problem. Mam Site z adresacją: 192.168.67.0/24 oraz site z adresami: 10.0.0.0/23 oraz 10.0.5.0/24
tunel sie zestawia wszystko niby ok ale:
1. ping z 10.0.5.0/24 do 192.168.67.0/24 = ok
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = nie działa
po restarcie srx-a pojawia się problem że nic nie działa po restarcie ponownym wstaje tunel i np ruch jest odwrotnie czyli:
1. ping z 10.0.5.0/24 do 192.168.67.0/24 = nie działa
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = ok
co może być ?
Mam oto taki problem. Mam Site z adresacją: 192.168.67.0/24 oraz site z adresami: 10.0.0.0/23 oraz 10.0.5.0/24
tunel sie zestawia wszystko niby ok ale:
1. ping z 10.0.5.0/24 do 192.168.67.0/24 = ok
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = nie działa
po restarcie srx-a pojawia się problem że nic nie działa po restarcie ponownym wstaje tunel i np ruch jest odwrotnie czyli:
1. ping z 10.0.5.0/24 do 192.168.67.0/24 = nie działa
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = ok
co może być ?
Re: IPSEC VPN
... narazie zmineiłem mss=1318 i wygląda że jest ok, ale zobaczymy jutro.
Czy ktos wie dlaczego czasami trzeba zmieniać mtu do jednego sajtu a do drugiego jedzie na defaultowych parametrach ?
Czy ktos wie dlaczego czasami trzeba zmieniać mtu do jednego sajtu a do drugiego jedzie na defaultowych parametrach ?
Re: IPSEC VPN
jednak to nie zadziałało
Czy ktoś ma jakieś pomysły?
Czy ktoś ma jakieś pomysły?
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
Re: IPSEC VPN
po tamtej stronie jest Cisco:
Ph I
PH II
interfaces:
i routing:
Ph I
Kod: Zaznacz cały
proposal ike-prop-01 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
lifetime-seconds 86400;
Kod: Zaznacz cały
policy ike-to-next01 {
mode main;
proposals ike-prop-01;
pre-shared-key ascii-text "$9$CREyM8X7Vb5QzFn9CtuOIEDjp0B1hc"; ## SECRET-DATA
}
Kod: Zaznacz cały
gateway gw-to-next01 {
ike-policy ike-to-next01;
address 81.55.34.xx;
external-interface fe-0/0/0.0;
Kod: Zaznacz cały
proposal ipsec-prop-02 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
Kod: Zaznacz cały
policy ipsec-to-next01 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-prop-02;
}
Kod: Zaznacz cały
vpn to_next01 {
bind-interface st0.1;
ike {
gateway gw-to-next01;
ipsec-policy ipsec-to-next01;
}
traffic-selector ts01 {
local-ip 192.168.67.0/24;
remote-ip 10.0.0.0/23;
}
traffic-selector ts02 {
local-ip 192.168.67.0/24;
remote-ip 10.0.5.0/24;
}
establish-tunnels immediately;
Kod: Zaznacz cały
st0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
Kod: Zaznacz cały
route 10.0.0.0/23 next-hop st0.1;
route 10.0.5.0/24 next-hop st0.1;
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
Re: IPSEC VPN
jak dla mnie jest ok po Twojej stronie - masz coś w logach ? A jakie jest Cisco po 2 stronie ?
Michał
Re: IPSEC VPN
chyba rozwiązałem problem:
mss=1272
Dziekuję
mss=1272
Dziekuję