LINUX.ORG.RU
ФорумAdmin

OpenSwan и Cisco ASA


0

1

Всем привет!
Борюсь с настройкой IPsec между OpenSwanом и Cisco ASA.
Проблема в том, что канал устанавливается, но через несколько секунд отваливается и далее не подключается.

]# ipsec auto --up cisco
104 «cisco» #21: STATE_MAIN_I1: initiate
003 «cisco» #21: ignoring Vendor ID payload [FRAGMENTATION c0000000]
106 «cisco» #21: STATE_MAIN_I2: sent MI2, expecting MR2
003 «cisco» #21: received Vendor ID payload [Cisco-Unity]
003 «cisco» #21: received Vendor ID payload [XAUTH]
003 «cisco» #21: ignoring unknown Vendor ID payload [2689e0c61f6be50a1c7b0758c0135ea0]
003 «cisco» #21: ignoring Vendor ID payload [Cisco VPN 3000 Series]
108 «cisco» #21: STATE_MAIN_I3: sent MI3, expecting MR3
003 «cisco» #21: received Vendor ID payload [Dead Peer Detection]
004 «cisco» #21: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_128 prf=oakley_sha group=modp1024}
117 «cisco» #22: STATE_QUICK_I1: initiate
003 «cisco» #22: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME msgid=c8ecb078
004 «cisco» #22: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x941e6ed1 <0xd6631d78 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=none DPD=none}

Проходят 5-6 пингов, после этого связь рвётся, а ipsec auto --status показывает:

000 «cisco»: 10.192.1.64/26===*<*>[+S=C]...*<*>[+S=C]===10.177.0.0/18; erouted; eroute owner: #26
000 «cisco»: myip=unset; hisip=unset;
000 «cisco»: ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 «cisco»: policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+lKOD+rKOD; prio: 26,18; interface: eth0.41;
000 «cisco»: newest ISAKMP SA: #0; newest IPsec SA: #26;
000 «cisco»: IKE algorithms wanted: AES_CBC(7)_128-SHA1(2)-MODP1536(5), AES_CBC(7)_128-SHA1(2)-MODP1024(2), AES_CBC(7)_128-MD5(1)-MODP1536(5), AES_CBC(7)_128-MD5(1)-MODP1024(2), 3DES_CBC(5)_000-MD5(1)-MODP1536(5), 3DES_CBC(5)_000-MD5(1)-MODP1024(2), 3DES_CBC(5)_000-SHA1(2)-MODP1536(5), 3DES_CBC(5)_000-SHA1(2)-MODP1024(2); flags=-strict
000 «cisco»: IKE algorithms found: AES_CBC(7)_128-SHA1(2)_160-5, AES_CBC(7)_128-SHA1(2)_160-2, AES_CBC(7)_128-MD5(1)_128-5, AES_CBC(7)_128-MD5(1)_128-2, 3DES_CBC(5)_192-MD5(1)_128-5, 3DES_CBC(5)_192-MD5(1)_128-2, 3DES_CBC(5)_192-SHA1(2)_160-5, 3DES_CBC(5)_192-SHA1(2)_160-2,
000 «cisco»: ESP algorithms wanted: AES(12)_128-MD5(1), AES(12)_128-SHA1(2), AES(12)_256-MD5(1), AES(12)_256-SHA1(2), 3DES(3)_000-MD5(1), 3DES(3)_000-SHA1(2); flags=-strict
000 «cisco»: ESP algorithms loaded: AES(12)_128-MD5(1)_128, AES(12)_128-SHA1(2)_160, AES(12)_256-MD5(1)_128, AES(12)_256-SHA1(2)_160, 3DES(3)_192-MD5(1)_128, 3DES(3)_192-SHA1(2)_160
000 «cisco»: ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=<N/A>
000
000 #26: «cisco»:500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 5s; newest IPSEC; eroute owner; isakmp#25; idle; import:admin initiate
000 #26: «cisco» esp.e6c8a0ce@91.217.220.2 esp.3d4b5f38@109.73.14.252 tun.0@91.217.220.2 tun.0@109.73.14.252 ref=0 refhim=4294901761
000

Вот конфиг OpenSwanа:
version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# Debug-logging controls: «none» for (almost) none, «all» for lots.
# klipsdebug=none
# plutodebug=«control parsing»
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
protostack=netkey
#nat_traversal=yes
virtual_private=cisco
#oe=off
# Enable this if you see «failed to find any available worker»
nhelpers=0
interfaces=%defaultroute
klipsdebug=all
plutodebug=«all control parsing»

conn cisco
type = tunnel
authby = secret
left = *
leftsubnet = 10.192.1.64/26
right = *
rightsubnet = 10.177.0.0/18
pfs = no
esp = aes128-md5,aes128-sha1,aes256,3des-md5,3des
ike = aes128-sha1,aes128-md5,3des-md5,3des-sha1
keyexchange = ike
keylife = 8h
Ikelifetime = 8h

ПС: внешние ip заменил на * :)


посоветовал бы попробовать оставить поменьше (вплоть до одного) протоколов шифрования. Кстати, в те несколько секунд между подъёмом канала и его падением, траффик через тоннель ходит нормально?

spunky ★★ ()
Ответ на: комментарий от spunky

Кстати, в те несколько секунд между подъёмом канала и его падением, траффик через тоннель ходит нормально?

Виноват, плохо читал, вопрос снимается.

spunky ★★ ()
Ответ на: комментарий от spunky

Всё дело было в циске - отключили keepalive и канал заработал! Видно OpenSwan не очень - то совместим с cisco asa...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.