Dungeons & Dragons Online - сервер Argonnessen

Гильдия Doomdancers

Гильдия Doomdancers

Объявление



Teamspeak: ts3 (скачать). Сервер: doomdancers.cleanvoice.ru:9957
Discord (можно и из браузера, рекомендуется сделать аккаунт). Приглашение: WyuvTcc
АХК

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Гильдия Doomdancers » Технические вопросы » Блин спасите


Блин спасите

Сообщений 61 страница 83 из 83

61

1) IP = 89.90.91.56, IKE Initiator: New Phase 1, Intf inside, IKE Peer 89.90.91.56  local Proxy Address 10.10.20.0, remote Proxy Address 89.90.91.56,  Crypto map (outside_map)
2) Built outbound UDP connection 94 for outside:89.90.91.56/500 (89.90.91.56/500) to NP Identity Ifc:89.90.91.57/500 (89.90.91.57/500)
3) Group = 89.90.91.56, IP = 89.90.91.56, Freeing previously allocated memory for authorization-dn-attributes
4) AAA retrieved default group policy (DfltGrpPolicy) for user = 89.90.91.56
5) Group = 89.90.91.56, IP = 89.90.91.56, PHASE 1 COMPLETED
6) Group = 89.90.91.56, IP = 89.90.91.56, Received non-routine Notify message: Invalid ID info (18)
7) Group = 89.90.91.56, IP = 89.90.91.56, Connection terminated for peer 89.90.91.56.  Reason: Peer Terminate  Remote Proxy N/A, Local Proxy N/A
8) Group = 89.90.91.56, IP = 89.90.91.56, construct_ipsec_delete(): No SPI to identify Phase 2 SA!
9) Group = 89.90.91.56, IP = 89.90.91.56, Removing peer from correlator table failed, no match!
10) Group = 89.90.91.56, Username = 89.90.91.56, IP = 89.90.91.56, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Unknown

Отредактировано Lutique (07.12.2010 14:26:39)

0

62

Lutique написал(а):

Group = 89.90.91.56, Username = 89.90.91.56, IP = 89.90.91.56, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Unknown

lan to lan
Он ждет, если я правильно понимаю, маски в юзернеймах

0

63

С другой стороны
Built inbound UDP connection 98 for inside: 10.10.20.2/68 (10.10.20.2/68) to NP  Identity Ifc: 10.10.20.1/67 (10.10.20.1/67)

0

64

ну я надеюсь ты разрешил udp и ip на any to any на обеих асах?

0

65

http://xgu.ru/wiki/IPsec_в_Cisco
Тут что-то есть это, но там еще НАТ фигурирует. Может нат поставить попробывать?

0

66

Да, разрешил. Но что-то нифига.

0

67

Ладно, пока забью. Дома погуглю по ошибкам.

0

68

Попробуй еще...
crypto isakmp aggressive-mode disable

0

69

Хм, в цисковской книжке в назначении указывается внешний адрес другого устройства, но в интернете я уже который раз вижу внутренние адреса другого устройства.

0

70

В агрессивном режиме пск позволено иметь в более чем в одном экземпляре и устройства должны договорится о том какой пск они будут использовать. Как это сделать - хоть убей не помню. попробуй таки принудительно отключить агрессивный режим.

А у нас по факту на текущий момент рассогласование политик или учетных данных соединения.

Отредактировано Ushat (07.12.2010 15:07:30)

0

71

Пилят, я еще тупица. По идентификатору ацля тут еще указывается какой собственно трафик шифровать..ани ту ани явно не пойдет %)

0

72

Агрессивный выключен, я его даже включить попробывал. Эм, насчет АСЛ вечерком поговорим, ок?

0

73

если отключение агрессивного режима не указано явно циска может попытаться его включить.

0

74

http://www.cisco.com/en/US/products/ps6 … 0890.shtml
В конфиге ASA 5505, я не понял это две строки с маршрутами. Фигня какая-то, откуда берется 172.16.2.1 ?
route outside 10.1.1.0 255.255.255.0 172.16.1.2 1
route outside 192.168.1.0 255.255.255.0 172.16.1.2 1

0

75

влан2 интерфейс как бы

0

76

ээээм....
Он же  172.16.1.1 255.255.255.0.
А 172.16.1.2 и 172.16.2.1 я что-то не понял.
Ааааа, там еще один интерфейс на vlan 2 повешен, но зачем? Типа один для обычного трафика, а второй для шифрованного? Ну ок, 172.16.1.2 я понял, а 172.16.2.1?

Отредактировано Lutique (21.12.2010 11:58:15)

0

77

Group = 89.90.91.56, IP = 89.90.91.56, Freeing previously allocated memory for authorization-dn-attributes
AAA retrieved default group policy (DfltGrpPolicy) for user = 89.90.91.56
Group = 89.90.91.56, IP = 89.90.91.56, PHASE 1 COMPLETED
Group = 89.90.91.56, IP = 89.90.91.56, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 10.10.10.0/255.255.255.0/0/0 local proxy 89.90.91.57/255.255.255.255/0/0 on interface outside
Group = 89.90.91.56, IP = 89.90.91.56, QM FSM error (P2 struct &0x4102b08, mess id 0xed3ae15c)!
Group = 89.90.91.56, IP = 89.90.91.56, Removing peer from correlator table failed, no match!
Group = 89.90.91.56, Username = 89.90.91.56, IP = 89.90.91.56, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: crypto map policy not found

Ошибки на стороне приема, на стороне отправления вся по прежнему...

0

78

QM FSM Error

The IPsec L2L VPN tunnel does not come up on the PIX firewall or ASA, and the QM FSM error message appears.

One possible reason is the proxy identities, such as interesting traffic, access control list (ACL) or crypto ACL, do not match on both the ends. Check the configuration on both the devices, and make sure that the crypto ACLs match.

Мне хочется разбить эту асу.

0

79

есть одна мыслишка, может таки в АЦЛях указывать внутреннюю сеть и удаленную сеть.

0

80

Настроил сраный VPN, теперь как бы заставить пакеты ходить из внутренней сети в другую.
На asa статическая маршрутизация вешается на внутренний или внешний интерфейс. Я что-то не понял прикола.

увеличить

Отредактировано Lutique (29.12.2010 12:17:55)

0

81

Хм, более конкретно. Мне не нужен поидее маршрут между асами, т.к. он и так будет как присоединенный. А вот во внутрь пакеты не идут, что мне там добавить надо?

0

82

Забавно, пакеты приходят, ответ нет.

0

83

Сегодня опять будут глупые вопросы от лютика.

0


Вы здесь » Гильдия Doomdancers » Технические вопросы » Блин спасите