请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 324|回复: 12

5555防火墙与1921 ipsecvpn无法建立

[复制链接]
发表于 2018-10-30 10:34:40 | 显示全部楼层 |阅读模式
本帖最后由 q634153517 于 2018-10-30 10:53 编辑

如题,求大神指导哪里有问题,配置如下

ASA配置
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0

interface GigabitEthernet0/3
nameif inside
security-level 100
ip address 10.136.25.254 255.255.255.0

object network go-internet
subnet 10.136.0.0 255.255.0.0
object network pat-pool
range 1.1.1.1 1.1.1.2
object network Inside
subnet 10.136.64.0 255.255.192.0
object network IDC
subnet 10.132.0.0 255.255.0.0
access-list out-to-in extended permit icmp any any
access-list out-to-in extended permit ip any any
access-list out-to-in extended permit tcp any any
access-list out-to-in extended permit udp any any
access-list vpn extended permit ip object Inside object IDC

nat (inside,outside) source dynamic go-internet pat-pool pat-pool

nat (inside,outside) source static Inside Inside destination static IDC IDC
access-group out-to-in in interface outside

route outside 0.0.0.0 0.0.0.0 1.1.1.254
route inside 10.136.0.0 255.255.0.0 10.136.25.1

crypto ipsec ikev1 transform-set To-IDC esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map cry-map 10 match address vpn
crypto map cry-map 10 set peer 2.2.2.2
crypto map cry-map 10 set ikev1 transform-set To-IDC
crypto map cry-map interface outside
crypto ca trustpool policy
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key 123


路由器配置


crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key 123 address 1.1.1.1

crypto ipsec transform-set NEW-BJBAK-OA esp-3des esp-md5-hmac
mode tunnel

crypto map vpnpeer 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set NEW-BJBAK-OA
match address 125

interface GigabitEthernet0/0
ip address 2.2.2.2 255.255.255.0
ip access-group DenyPort in
ip access-group DenyPort out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map vpnpeer

interface GigabitEthernet0/1
ip address 10.132.4.1 255.255.252.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto

ip nat inside source list 100 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.254

ip access-list extended DenyPort
deny   udp any any eq 445 135 netbios-ns netbios-ss 5357
deny   tcp any any eq 445 135 137 139 5357
permit ip any any

access-list 100 deny   ip 10.132.0.0 0.0.255.255 10.136.64.0 0.0.63.255
access-list 100 permit ip 10.132.4.0 0.0.3.255 any
access-list 125 permit ip 10.132.0.0 0.0.255.255 10.136.64.0 0.0.63.255


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-30 12:13:40 | 显示全部楼层
show crypto isakmp sa
show crypto ipsec sa

看看是卡在那里
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-30 12:46:20 | 显示全部楼层
cisco.feng 发表于 2018-10-30 12:13
show crypto isakmp sa
show crypto ipsec sa

完全没有建立
ASA-2# sh crypto isakmp sa

There are no IKEv1 SAs

There are no IKEv2 SAs
ASA-2# sh crypto ipsec sa

There are no ipsec sas
ASA-2#
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-30 14:42:17 | 显示全部楼层
q634153517 发表于 2018-10-30 12:46
完全没有建立
ASA-2# sh crypto isakmp sa

你的第一阶段都还没有建立呢
show crypto ikev1 sa detail-----这是查看第一阶段是否有建立
show crypto ipsec sa detail-----这是查看第二阶段是否有流量通过
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-30 15:29:05 | 显示全部楼层
wuleihen 发表于 2018-10-30 14:42
你的第一阶段都还没有建立呢
show crypto ikev1 sa detail-----这是查看第一阶段是否有建立
show crypt ...

就是在找是什么原因建立不起来
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-30 15:54:50 | 显示全部楼层
q634153517 发表于 2018-10-30 15:29
就是在找是什么原因建立不起来

底层通吗??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-30 20:26:55 | 显示全部楼层

重启防火墙后,从路由器发起流量能建立VPN,且能访问防火墙侧主机,反之无效
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-31 02:28:47 来自手机 | 显示全部楼层
q634153517 发表于 2018-10-30 20:26
重启防火墙后,从路由器发起流量能建立VPN,且能访问防火墙侧主机,反之无效

ASA的版本多少

access-list vpn extended permit ip object Inside object IDC
ACL不用object,改成ip试试
access-list vpn extended permit ip 10.136.64.0 255.255.192.0 10.132.0.0 255.255.0.0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-31 16:59:28 | 显示全部楼层
要触发感兴趣流才会建立通信呀,没有流量是不建立IPSEC VPN会话的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-31 17:34:53 | 显示全部楼层
YilinChen 发表于 2018-10-31 16:59
要触发感兴趣流才会建立通信呀,没有流量是不建立IPSEC VPN会话的

从路由器端可以触发,可以远程桌面防火墙端服务器,反过来就不行了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-14 09:26 , Processed in 0.099209 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表