LINUX.ORG.RU
ФорумAdmin

Cisco Firepower 1120 + Cisco ASA 5505 (Site-to-Site VPN)

 , ,


0

1

Коллеги, добрый день.

Проблема с настройкой туннеля между двумя цисками.
Туннель: Site to Site
1 железка: Cisco Firepower 1120
2 железка: Cisco ASA 5505

Туннель не поднимается, даже не проходит на фазу 2. Если пинговать с оконечного устройства, которое находится за Firepower, то получаем это:
Jan 04 16:20:41 [IKEv1]: Group = 194.xxx.xxx.15, IP = 194.8.55.15, QM FSM error (P2 struct &0xc98efc88, mess id 0x72047529)!
Jan 04 16:20:41 [IKEv1]: Group = 194.xxx.xxx.15, IP = 194.xxx.xxx.15, Removing peer from correlator table failed, no match!

Почему-то сегодня пропали сообщения, если пинговать с оконечного устройства за ASA.

Конфиг ASA:
ASA Version 8.2(1)
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.8.65 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.xxx.xxx.28 255.255.255.224
!
interface Ethernet0/0
switchport access vlan 2
ftp mode passive
object-group network INSIDE_OG
network-object 192.168.8.0 255.255.255.0
object-group network OUTSIDE_OG
network-object 192.168.253.0 255.255.255.0
access-list ACL-PERMIN_TUNNEL extended permit ip object-group INSIDE_OG object-group OUTSIDE_OG
access-list IN_ACL extended permit ip any any
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
global (outside) 1 interface
nat (inside) 1 access-list ACL-PERMIN_TUNNEL
nat (inside) 1 0.0.0.0 0.0.0.0
access-group IN_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 194.xxx.xxx.1 1
crypto ipsec transform-set TEST_TUNNEL esp-des esp-sha-hmac
crypto ipsec transform-set TEST_TUNNEL mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map CM-TEST_TUNNEL 10 match address ACL-PERMIN_TUNNEL
crypto map CM-TEST_TUNNEL 10 set peer 194.xxx.xxx.15
crypto map CM-TEST_TUNNEL 10 set transform-set TEST_TUNNEL
crypto map CM-TEST_TUNNEL interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 194.xxx.xxx.15 type ipsec-l2l
tunnel-group 194.xxx.xxx.15 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
: end

Может быть, у кого-то есть идеи?
Поп причине того, что FirePower теперь с CLI не дружит, конфиг сбросить не могу. Либо скажите, как.

Заранее благодарю!

Проверь, совпадают ли политики isakmp на обоих сторонах. Они должны быть одинаковые (encryption des, hash sha, group 2). А так же асцесс листы должны быть зеркальными.

Steel901 ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.