В настоящее время я учусь в Университете штата Айова и пытаюсь использовать VPN, предлагаемый для подключения к ISU, чтобы запустить свои CAD-программы. Проблема в том, что когда я пытаюсь подключиться к VPN, появляется сообщение, которое я вырезал ниже. Я не знаю, что делать, и хотел бы узнать, может ли кто-нибудь помочь с этой проблемой. [image: 8031dec6062173e33a49d1c73d507aec3405873a.png]

Привет, ребята! Мне нужна срочная помощь. Я пытаюсь настроить туннель ikev2 между двумя маршрутизаторами CISCO. Однако проблема в том, что мой маршрутизатор находится за брандмауэром и не может правильно маршрутизировать трафик на другой маршрутизатор. Однако, когда я подключаюсь напрямую к ISP, туннель ikev2 работает. Я не знаю, в чем моя ошибка.

![] Почему переход на IKEv2 больше не является факультативным Одной из веских причин для перехода с IKEv1 на IKEv2 является безопасность, эффективность и гибкость протокола, но есть одна небольшая деталь, которая часто застает инженеров врасплох: ![:three_o_clock:] туннели IKEv2 по умолчанию сбрасываются каждые 24 часа из-за срока действия ассоциации безопасности (SA). Вы можете подтвердить это поведение с помощью: show crypto session detail Вы заметите, что туннель сбрасывается, но трафик не пропадает. Это нормально — это просто перезаключение, а не сбой. Но вот совет: ![:backhand_index_pointing_right:] Как узнать, действительно ли туннель перезапустился или просто перезаключил соглашение? Потому что через 24 часа показатель show crypto session uptime сбрасывается, даже если ничего не произошло. ![:light_bulb:] В чем секрет? Используйте таблицы CEF и RIB — они не лгут. Запустите: show ip rib <route> Если время работы маршрута RIB осталось стабильным, все в порядке — это было просто обновление таймера. Если время работы сбросилось, это настоящий сбой VPN. --- ![] Совет от профессионала: используйте этот метод для мониторинга NOC или проверки стабильности туннелей в долгосрочной перспективе. Это быстро, понятно и позволяет избежать ложных срабатываний. #Cisco #IKEv2 #VPN #Безопасность #RIB #CEF #СетеваяИнженерия #СоветыПоМиграции #Туннели #КомандыПоказать #Маршрутизация #СетевыеОперации #БезЛишнего #RealWorldCisco ---</route> [image: caa5bff1d7aee4ac40fcf9e6a2f957260fb05612.png] [image: a09ce59bee2eaca7a6d8eb83982dc3525fac4cb1.png] [image: eac85c0a20888880952d424c42917cb557813232.png] [image: 1fb76f0961d76362cc74a47599f1415d6a8b345a.png] [image: c041df42f382effb5aa50c14a4797530486ec3e3.png]

Я настроил VPN-туннель site2site с помощью мастера ASDM. Но я все еще не уверен в некоторых параметрах. Практически во всех настроенных мной туннелях Site2site у меня был выбор между двумя таймерами: Phase 1 (обычно более длительным) и Phase2. Но на ASA есть только один параметр. Мне нужна фаза 1 28800 секунд и фаза 2 3600 секунд. Но какой из них теперь является установленным сроком действия ассоциации безопасности 28800 секунд? И где находится другой? Я не вижу его ни в графическом интерфейсе, ни в командной строке. Есть какие-нибудь предложения? Спасибо.

Я работаю над проблемой с двумя ASA в L2L с использованием IKEv2 Cert Auth. Аутентификация с помощью сертификатов, похоже, застревает. «debug crypto ca 14» показывает: PKI[9]: Оценка политики <trustpoint-name> для типа соединения 0x10 PKI[9]: pki_is_policy_match: политика <trustpoint-name> отклонена (использование: 6784). conn_type 16 не разрешен Я не нашел никаких упоминаний о «conn_type 16». Подозреваю, что это связано с характером сертификатов, используемых в обмене. Я экспериментировал с KU цифровой подписи, шифрованием ключей, невозможностью отказа от авторства (RFC 4945) и тестировал EKU аутентификации сервера, аутентификации клиента и даже тестировал 3 туннельных OID EKU, но без изменений. Кто-нибудь знает, почему моя аутентификация не проходит, или что такое conn_type 16?

Я пытаюсь настроить аутентификацию RSA SAML на нашем VPN AnyConnect, который нормально работал с локальными пользователями. Он нормально работает на веб-VPN без клиента. Аутентификация проходит без проблем, но не проходит на AnyConnect. Я подключаюсь к AnyConnect, и появляется страница входа в RSA. Я прохожу через нее, а затем через страницу 2fa, но как только 2fa вводится в тот же безопасный браузер клиента, просто появляется черный экран с сообщением 404 не найдено. (иногда просто черная страница) Я изменил время на ASA, чтобы оно соответствовало времени на стороне RSA, на случай, если это была проблема со временем (CEST вместо BST), и я знаю, что на стороне RSA есть оба URL-адреса ответа для безклиентского и AnyConnect. URL-адрес ответа нужно ввести где-то в ASA? Я использую ASDM и не смог найти, где его можно ввести. Есть только URL-адрес для выхода из системы, который, как я полагаю, не является тем же самым. Я также выполнил отладку webvpn saml при попытке подключения, но она показывает только это и не показывает ничего в момент появления ошибки 404. FPR1010# debug webvpn saml 255 INFO: отладка webvpn saml включена на уровне 255. FPR1010# [SAML] Использование временного ключа для генерации ретрансляционного хеша: 25 июня 11:05:06 [Lasso] func=xmlSecKeyDuplicate:file=keys.c:line=621:obj=unknown :subj=key != NULL:error=100:assertion: 25 июня 11:05:06 [SAML] build_authnrequest: https://xxxxxxxxx.auth-eu.securid.com/sso/saml/c2639e9e-xxxxxxxxxxxx [SAML] saml_is_idp_internal: получение конфигурации SAML для tg DefaultWEBVPNGroup FPR1010# no debug all Я только что заметил в отладочном режиме, что он использует неверный профиль подключения (defaultWEBVPNGroup). Я попробовал отключить SAML для этого профиля подключения, но тогда страница входа RSA не загружается. Кто-нибудь знает, как исправить эту проблему?

Мы используем Cisco 1140 FTD и недавно обновили версию до 7.4.2.1. При проверке конфигураций я заметил, что в настройках удаленного доступа при редактировании групповой политики теперь появляется красный восклицательный знак для настройки разделенного туннеля и теперь нельзя указать стандартный список доступа в качестве типа сетевого списка. Однако, если я вношу изменения в стандартный список доступа для разделенного туннеля, он по-прежнему работает и проходит. Нужно ли мне создавать новый расширенный ACL? Я не могу найти никакой документации о том, что это было изменено. Для пояснения: мы используем стандартный ACL, чтобы обозначить, какой трафик использует разделенный туннель. Когда он был первоначально настроен, изображенные настройки позволяли мне выбрать стандартный ACL и выбрать наш стандартный ACL, который мы используем. Однако после обновления до новой версии он теперь не принимает стандартный ACL, он требует, чтобы я выбрал расширенный ACL. Однако, когда я вношу изменения в стандартный ACL, он по-прежнему работает и выполняет настройки. Очевидно, что он использует стандартный ACL, даже если в настройках указано, что он больше не принимает стандартный ACL. Мне действительно интересно, если я внесу изменения в настройки удаленного доступа, приведет ли это к отключению существующего разделенного туннеля? ![group_policy.png] [image: 47821e6333740602d4beaeaa442dcff26bd982e3.png]

Добрый вечер, Ранее у меня был VPN-туннель IKEv2 Remote Access, который нормально работал на ASA 5515-X, но, видимо, я внес некоторые изменения, которые нарушили эту функцию, поэтому я буду благодарен за любую помощь в восстановлении функциональности. Я заметил сбои как на устройствах Android, так и на устройствах Windows (всех платформах подключения), подключающихся через Secure Client. Я не вижу никаких различий между рабочей конфигурацией и сохраненными/архивированными конфигурациями, которые работали. Основная точка доверия была обновлена, однако я восстановил предыдущую рабочую точку доверия и столкнулся с теми же проблемами. Аутентификация, по-видимому, проходит успешно (видно в sessiondb), туннель создается, а затем через минуту прерывается, и клиентское устройство не может пропускать трафик. Все остальные функции, по-видимому, не затронуты. Я приложил журнал попытки подключения с ASDM с устройства Android и рабочую конфигурацию ASA. Сообщите, если вам нужна дополнительная информация, и я сделаю все возможное, чтобы предоставить ее в кратчайшие сроки. Спасибо за то, что уделили время прочтению этого сообщения и за помощь в устранении моей ошибки! Изменение: исправлено кодирование приложенного CSV-файла в соответствии с обсуждениями на странице 2.

Всем привет! В разделе «Site-to-site VPN» (VPN «сайт-сайт») в меню «Advanced->IKE Policies» (Дополнительно->Политики IKE) мы видим список политик IKEv2. Если мы изменим приоритеты, приведет ли это к простоям в работе установленных VPN? Под изменением приоритетов я имею в виду отмену конфигурации и применение новой, например: !--- удалить --- no crypto ikev2 policy 1 no crypto ikev2 policy 2 no crypto ikev2 policy 3 !--- добавить --- crypto ikev2 policy 5 encryption aes-256 integrity sha512 group 21 prf sha512 lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-256 integrity sha384 group 20 prf sha384 lifetime seconds 28800 Большое спасибо!

ASA5555-X будет снят с производства этой осенью, поэтому нам нужно провести обновление. Рассматриваем возможность использования FPR-1140 с ASA для обеспечения простой миграции более 70 VPN-туннелей. В настоящее время также используем клиент AnyConnect 4.9. Я не нашел никакой информации о том, что я не смогу продолжать использовать AnyConnect 4.9, но перед тем, как разместить заказ, я хочу убедиться, что мне не нужно заказывать также лицензию SecureClient.

Привет, участники сообщества! Я не уверен, какая лицензия потребуется для настройки SSL и Anyconnect VPN для удаленных сотрудников, использующих ISR4331-SEC/K9 или любую другую более новую модель. Мне нужен ваш совет по поводу оборудования и необходимых лицензий, которые нужно приобрести для этой цели. Кроме того, мне также нужны инструкции по настройке этой конфигурации. Спасибо.

Кто-нибудь может мне помочь понять, что здесь происходит? Если нет совпадающих предложений с обеих сторон, то хаб немедленно запрашивает удаление, и я не могу понять, почему. Отладка и соответствующие настройки приведены ниже. *Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Queuing IKE SA delete request reason: Received no proposal chosen notify *Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Sending DELETE INFO message for IPsec SA [SPI: 0xF63B988E] *Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Building packet for encryption. Aug 1 13:15:29.740 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):IPSec policy validate request sent for profile v2-profile with psh index 1. Aug 1 13:15:29.740 pst: IKEv2:(SESSION ID = 300632,SA ID = 1): Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):(SA ID = 1):[IPsec -> IKEv2] Callback received for the validate proposal - FAILED. Aug 1 13:15:29.741 pst: IKEv2-ERROR:(SESSION ID = 300632,SA ID = 1):Received Policies: : Failed to find a matching policyESP: Proposal 1: AES-CBC-128 SHA96 Don't use ESN Aug 1 13:15:29.741 pst: IKEv2-ERROR:(SESSION ID = 300632,SA ID = 1):: Failed to find a matching policy Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending no proposal chosen notify Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get my authentication method Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):My authentication method is 'PSK' Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get peer's preshared key for 151.196.127.11 Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Generate my authentication data Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Use preshared key for id 100.100.100.3, key len 6 Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get my authentication method Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):My authentication method is 'PSK' Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Generating IKE_AUTH message Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Constructing IDr payload: '100.100.100.3' of type 'IPv4 address' Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Building packet for encryption. Payload contents: VID IDr AUTH NOTIFY(NO_PROPOSAL_CHOSEN) Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending Packet [To 151.196.127.11:4500/From 100.100.100.3:4500/VRF i0:f0] Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE Payload contents: ENCR Aug 1 13:15:29.743 pst: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Close PKI Session Aug 1 13:15:29.743 pst: IKEv2:(SA ID = 1):[PKI -> IKEv2] Closing of PKI Session PASSED Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Session with IKE ID PAIR (151.196.127.11, 100.100.100.3) is UP Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Initializing DPD, configured for 20 seconds Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 0,SA ID = 0):IKEv2 MIB tunnel started, tunnel index 1 Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Checking for duplicate IKEv2 SA Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):No duplicate IKEv2 SA found Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Starting timer (8 sec) to delete negotiation context Aug 1 13:15:29.824 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Received Packet [From 151.196.127.11:4500/To 100.100.100.3:4500/VRF i0:f0] Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 2 IKEv2 INFORMATIONAL Exchange REQUEST Payload contents: DELETE Aug 1 13:15:29.825 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Building packet for encryption. Aug 1 13:15:29.825 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending Packet [To 151.196.127.11:4500/From 100.100.100.3:4500/VRF i0:f0] Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 2 IKEv2 INFORMATIONAL Exchange RESPONSE Payload contents: ENCR Aug 1 13:15:29.826 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Process delete request from peer Aug 1 13:15:29.826 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Processing DELETE INFO message for IPsec SA [SPI: 0xF50ABCD1] Конфигурация HUB: crypto ikev2 proposal v2-prop encryption aes-cbc-256 integrity sha256 group 15 ! crypto ikev2 policy v2-policy proposal v2-prop ! crypto ikev2 keyring v2-keyring peer tmz address <not relevant> pre-shared-key ######### ! peer tmz-2 address 151.196.127.11 pre-shared-key ####### ! ! ! crypto ikev2 profile v2-profile match address local interface GigabitEthernet0/0/0 match identity remote address 0.0.0.0 authentication remote pre-share authentication local pre-share keyring local v2-keyring dpd 20 2 periodic ! crypto ikev2 nat keepalive 20 ! ! crypto isakmp policy 1 encryption aes hash sha authentication pre-share group 2 ! crypto isakmp policy 2 encryption aes 256 hash sha256 authentication pre-share group 14 ! crypto ipsec transform-set 2025-v2 esp-aes 256 esp-sha256-hmac mode tunnel crypto ipsec fragmentation after-encryption ! ! crypto ipsec profile 2025-v2 set transform-set 2025-v2 set ikev2-profile v2-profile ! interface Tunnel1 ip address 172.21.8.9 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination 151.196.127.11 tunnel protection ipsec profile 2025-v2 Конфигурация SPOKE: crypto ikev2 proposal v2-prop encryption aes-cbc-256 integrity sha256 group 15 ! crypto ikev2 policy v2-policy proposal v2-prop ! crypto ikev2 keyring v2-keyring peer hub address 100.100.100.3 pre-shared-key ##### ! ! ! crypto ikev2 profile v2-profile match address local interface GigabitEthernet0/0/0 match identity remote address 100.100.100.3 255.255.255.0 identity local address 151.196.127.11 authentication remote pre-share authentication local pre-share keyring local v2-keyring dpd 20 2 periodic ! crypto ikev2 nat keepalive 20 ! ! crypto isakmp policy 1 encryption aes hash sha authentication pre-share group 2 crypto ipsec transform-set 2025-v2 esp-aes 256 esp-sha256-hmac mode tunnel crypto ipsec fragmentation after-encryption ! ! crypto ipsec profile ikev2-v2 set transform-set 2025-v2 set ikev2-profile v2-profile ! interface Tunnel4 ip address 172.21.8.10 255.255.255.252 ip mtu 1400 ip nat inside ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination 100.100.100.3 tunnel protection ipsec profile ikev2-v2

У клиента есть сеть MPLS с маршрутизацией BGP, которая используется в качестве основного канала связи между головным офисом и 10 небольшими удаленными сайтами. В качестве резервного канала связи используются VPN-туннели между брандмауэром FTD в головном офисе и маршрутизаторами C1111 IOS XE на удаленных сайтах. Все работало без проблем, и VPN-туннель всегда включался, если возникали проблемы с сетью MPLS. Проблема возникла, когда мы попытались изменить VPN-туннели с IKEv1 на IKEv2. Мы обнаружили, что потеряли связь с удаленным сайтом, и при проверке маршрутизации на FTD увидели, что она изменилась после настройки IKEv2. Вот вывод перед переходом с IKEv1 на IKEv2, показывающий правильный маршрут к удаленному сайту через сеть MPLS. ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0 Известно через «bgp 64900», расстояние 20, метрика 0 Тег 21195, тип внешний Последнее обновление от 10.63.63.1 19:16:55 назад Блоки дескрипторов маршрутизации: 10.63.63.1, от 10.63.63.1, 19:16:55 назад Метрика маршрута — 0, количество долей трафика — 1 AS Hops 2 Тег маршрута 21195 Метка MPLS: строка метки не указана А вот маршрут после перехода на IKEv2 ! ftd-01# show route 10.90.26.129 Запись маршрутизации для 10.90.16.0 255.255.240.0 Известно через «static», расстояние 1, метрика 0 (подключено) Перераспределение через bgp 64900 Блоки дескрипторов маршрутизации: 10.90.16.0, через OUTSIDE Метрика маршрута равна 0, количество долей трафика равно 1 Похоже, что трафик пытается отправить через VPN-туннели вместо использования сети MPLS. Является ли это ожидаемым поведением IKEv2? Как мы можем это исправить? Может быть, с помощью IP SLA на брандмауэре?

Я использовал openssl для создания CSR и digicert для создания сертификата, промежуточного сертификата и корневого сертификата. У меня есть подписанный сертификат, готовый к установке на FMC. Каков правильный порядок настройки сертификата на FMC версии 7.6.0? Правилен ли приведенный ниже порядок? Я уже настроил AnyConnect и мне нужно только обновить просроченный сертификат на FMC. 1 объект —> управление объектами —> pki —> регистрация сертификата —> добавить новую регистрацию сертификата 2. Устройство —> сертификат —> добавить новый —> выбрать устройство —> добавить файл pkcs12 3. Устройство —> сертификат —> добавить. —> введите информацию —> выберите устройство —> выберите только что добавленный сертификат 4. Устройства —> vpn —> удаленный доступ —> выберите свой vpn —> вкладка интерфейса —> выберите сертификат ssl и выберите сертификат ikev2 5. Проверьте и разверните Спасибо за ваш отзыв

Я пытаюсь настроить динамическую политику доступа на ASA, чтобы проверять, установлено ли определенное антивирусное программное обеспечение. Мы используем «Sophos Intercept X» для обеспечения безопасности конечных точек. Мне пока не удалось настроить политику, которая проверяет, установлен ли этот конкретный антивирус. Я попытался добавить атрибут конечной точки типа «Антивирус» в динамическую политику доступа с поставщиком «Sophos Limited» и описанием продукта «Sophos Endpoint Agent», поскольку «Sophos Intercept X» нет в списке доступного антивирусного программного обеспечения, а это казалось наиболее подходящим вариантом, однако антивирус не был распознан. Я думаю, что, возможно, необходимо сопоставить «Sophos Intercept X», который отображается как установленный антивирус в центре безопасности Windows на клиенте, но его нет в списке на ASA. Я смог использовать логическое выражение, чтобы проверить, установлен ли ЛЮБОЙ антивирус, с помощью следующего скрипта LUA, который работает: assert(function for k,v in pairs(endpoint.av) do if (EVAL(v.exists, "EQ", "true", "string")) then return true end end return false end) Есть ли способ добавить новый антивирус к тем, о которых ASA «знает»? Или есть ли способ использовать скрипт LUA для проверки наличия конкретного антивируса по имени? Я не смог найти никакой соответствующей документации или примеров того, как это можно сделать.

Привет всем, Мне нужно настроить несколько VPN-соединений между моей организацией Cisco FTD и Zscaler в облаке. Проблема с Zscaler заключается в том, что пропускная способность VPN-туннеля ограничена 200 Мбит/с. Чтобы превысить 1,5 Гбит/с между центром обработки данных моей организации и Zscaler, мне нужно настроить 8 VPN-туннелей с Zscaler. Однако Zscaler требует, чтобы у меня было 8 разных публичных IP-адресов для завершения VPN на Cisco FTD. На маршрутизаторе Cisco IOS довольно легко настроить 8 разных интерфейсов loopback с публичным IP-адресом и завершить VPN на этих интерфейсах loopback. Как это сделать на Cisco FTD? TIA

Здравствуйте, У меня есть вопрос по поводу SKU «L-AC-APX-LIC-SMART». Я запросил у Cisco пробную версию для клиента, но они предоставили мне только 2 лицензии на экземпляры. Хотел бы узнать, покрывают ли эти два экземпляра все поддерживаемые VPN-узлы на устройстве Cisco FPR (FPR 1010)? С уважением, JG

Всем привет, я настроил GRE через IPSec в транспортном режиме и хотел бы подтвердить конфигурацию. Мне интересно, почему я вижу два ISAKMP SA на каждом маршрутизаторе? Разве ISAKMP SA не должен быть двунаправленным? Похоже, что у меня здесь два однонаправленных SA. Что я не понимаю? Сначала я подумал, что GNS3 не справляется с этой задачей, поэтому попробовал CML2 с образами IOSv, но результат оказался таким же. R1(ipsec-profile)#int tunn 0 R1(config-if)#tunnel protection ipsec profile protect-GRE R1(config-if)#1 августа 10:01:35.356: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP включен1 августа 10:01:36.351: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное1 августа 10:01:38.583: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменено на down1 августа 10:01:56.688: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе Tunnel0, состояние изменено на up R1(config-if)#do sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE 100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE R3(ipsec-profile)#int tunn 0 R3(config-if)#tunnel protection ipsec profile protect-GRE1 августа 10:01:57.664: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP включен1 августа 10:01:58.659: %LINEPROTO-5-UPDOWN: Протокол линии на интерфейсе NVI0, состояние изменено на активное R3(config-if)#do sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 100.0.0.1 200.0.0.2 QM_IDLE 1001 ACTIVE 200.0.0.2 100.0.0.1 QM_IDLE 1002 ACTIVE

Здравствуйте! У меня возникла проблема с установкой второго туннеля IPSec с использованием STVI с Ikev2 на ASA. Опишу свою ситуацию: ![lab.jpg] У меня есть ASA с двумя внешними интерфейсами, как показано на рисунке. Я пытаюсь установить два VPN-туннеля с маршрутизатором vIOS2, используя IKEv2 и SVTI (route base vpn). Маршрутизатор имеет только один IP-адрес 50.50.50.1. Один туннель работает через Gi0/1 на ASA. Но второй (через Gi0/0 на ASA) не может быть установлен, даже если я использую те же команды. На маршрутизаторе посередине я настроил только интерфейсы для обеспечения связи между ASA и vIOS2. Вот моя конфигурация: ASA ciscoasa# sh run : ASA Version 9.8(4)41 ! hostname ciscoasa enable password $sha512$5000$FBjCoJZvSqJDyvXz9T5vug==$ak/p3gNIoXuwENUAXdRVGw== pbkdf2 names no mac-address auto ! interface GigabitEthernet0/0 nameif ISP2 security-level 100 ip address 200.200.200.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif ISP1 security-level 100 ip address 100.100.100.1 255.255.255.0 ! interface Tunnel10 nameif TU-10 ip address 10.14.252.2 255.255.255.0 tunnel source interface ISP1 tunnel destination 50.50.50.1 tunnel mode ipsec ipv4 tunnel protection ipsec profile IPSEC_PROFILE ! interface Tunnel20 nameif TU-20 ip address 10.14.253.2 255.255.255.0 tunnel source interface ISP2 tunnel destination 50.50.50.1 tunnel mode ipsec ipv4 tunnel protection ipsec profile IPSEC_PROFILE ! ftp mode passive same-security-traffic permit intra-interface pager lines 23 mtu ISP1 1500 mtu ISP2 1500 no failover no failover wait-disable icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 8192 router bgp 65000 bgp log-neighbor-changes address-family ipv4 unicast neighbor 10.14.252.1 remote-as 65300 neighbor 10.14.252.1 activate no auto-summary no synchronization exit-address-family ! route ISP1 0.0.0.0 0.0.0.0 100.100.100.2 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 user-identity default-domain LOCAL aaa authentication login-history no snmp-server location no snmp-server contact crypto ipsec ikev2 ipsec-proposal TSET protocol esp encryption aes-256 aes-192 protocol esp integrity sha-512 sha-384 sha-256 crypto ipsec profile IPSEC_PROFILE set ikev2 ipsec-proposal TSET crypto ipsec security-association pmtu-aging infinite crypto ikev2 policy 5 encryption aes-256 integrity sha512 sha384 group 19 14 prf sha512 sha384 lifetime seconds 86400 crypto ikev2 enable ISP1 crypto ikev2 enable ISP2 telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept group-policy VPN-GP internal group-policy VPN-GP attributes vpn-tunnel-protocol ikev2 dynamic-access-policy-record DfltAccessPolicy tunnel-group 50.50.50.1 type ipsec-l2l tunnel-group 50.50.50.1 general-attributes default-group-policy VPN-GP tunnel-group 50.50.50.1 ipsec-attributes ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map global_policy class inspection_default inspect ip-options inspect netbios inspect rtsp inspect sunrpc inspect tftp inspect xdmcp inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect esmtp inspect sqlnet inspect sip inspect skinny policy-map type inspect dns migrated_dns_map_2 parameters message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum client auto message-length maximum 512 no tcp-inspection ! service-policy global_policy global prompt hostname context no call-home reporting anonymous ciscoasa# vIOS2: Router#sh run Building configuration... Current configuration : 4639 bytes ! ! Last configuration change at 20:08:36 UTC Fri Aug 22 2025 ! version 15.7 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! ! ip cef no ipv6 cef ! ! crypto ikev2 proposal PROP-1 encryption aes-cbc-256 integrity sha512 sha384 group 19 14 ! crypto ikev2 policy IKEV2_POLICY proposal PROP-1 ! crypto ikev2 keyring KEYRING peer ALL address 0.0.0.0 0.0.0.0 pre-shared-key local Cisco1234 pre-shared-key remote Cisco1234 ! ! ! crypto ikev2 profile ASA_VTI_PROFILE match identity remote address 100.100.100.1 255.255.255.255 identity local address 50.50.50.1 authentication remote pre-share authentication local pre-share keyring local KEYRING dpd 10 2 on-demand ! crypto ikev2 profile ASA_VTI_PROFILE-2 match identity remote address 200.200.200.1 255.255.255.255 identity local address 50.50.50.1 authentication remote pre-share authentication local pre-share keyring local KEYRING dpd 10 2 on-demand ! ! ! crypto ipsec transform-set TSET esp-aes 256 esp-sha512-hmac mode tunnel ! crypto ipsec profile IPSEC_PROFILE set transform-set TSET set ikev2-profile ASA_VTI_PROFILE ! crypto ipsec profile IPSEC_PROFILE-2 set transform-set TSET set ikev2-profile ASA_VTI_PROFILE-2 ! ! ! interface Tunnel10 ip address 10.14.252.1 255.255.255.0 tunnel source GigabitEthernet0/2 tunnel mode ipsec ipv4 tunnel destination 100.100.100.1 tunnel protection ipsec profile IPSEC_PROFILE ! interface Tunnel20 ip address 10.14.253.1 255.255.255.0 tunnel source GigabitEthernet0/2 tunnel mode ipsec ipv4 tunnel destination 200.200.200.1 tunnel protection ipsec profile IPSEC_PROFILE-2 ! ! interface GigabitEthernet0/2 ip address 50.50.50.1 255.255.255.0 duplex auto speed auto media-type rj45 ! ! router bgp 65300 bgp log-neighbor-changes neighbor 10.14.252.2 remote-as 65000 ! address-family ipv4 neighbor 10.14.252.2 activate exit-address-family ! ip forward-protocol nd ! ! no ip http server no ip http secure-server ip route 100.100.100.0 255.255.255.0 50.50.50.2 ip route 200.200.200.0 255.255.255.0 50.50.50.2 ! end Router# Вывод ASA: show crypto ikev2 sa: ciscoasa# show crypto ikev2 sa IKEv2 SAs: Session-id:1, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 11111205 100.100.100.1/500 50.50.50.1/500 READY INITIATOR Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:19, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/4925 sec Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535 remote selector 0.0.0.0/0 - 255.255.255.255/65535 ESP spi in/out: 0x979c0704/0x2ed10494 Отладка Cisco ASA: ciscoasa# debug crypto ikev2 platform ciscoasa# IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (81): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (81): IKEv2-PROTO-1: (81): Auth exchange failed IKEv2-PROTO-1: (81): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: Failed to receive the AUTH msg before the timer expiredIKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (80): Maximum number of retransmissions reached IKEv2-PROTO-1: (80): IKEv2-PROTO-1: (80): Initial exchange failed IKEv2-PROTO-1: (80): Initial exchange failed IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (82): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (82): IKEv2-PROTO-1: (82): Auth exchange failed IKEv2-PROTO-1: (82): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: (84): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (84): IKEv2-PROTO-1: (84): Auth exchange failed IKEv2-PROTO-1: (84): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (85): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (85): IKEv2-PROTO-1: (85): Auth exchange failed IKEv2-PROTO-1: (85): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (83): Maximum number of retransmissions reached IKEv2-PROTO-1: (83): IKEv2-PROTO-1: (83): Initial exchange failed IKEv2-PROTO-1: (83): Initial exchange failed IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: (86): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (86): IKEv2-PROTO-1: (86): Auth exchange failed IKEv2-PROTO-1: (86): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: Packet is a retransmission IKEv2-PROTO-1: IKEv2-PROTO-1: (88): Failed to receive the AUTH msg before the timer expired IKEv2-PROTO-1: (88): IKEv2-PROTO-1: (88): Auth exchange failed IKEv2-PROTO-1: (88): Auth exchange failed IKEv2-PLAT-1: NO IKEv2 ID IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: IKEv2-PROTO-1: decrypt queuedIKEv2-PROTO-1: Asynchronous request queued IKEv2-PROTO-1: На ASA я вижу пакет, поступающий от маршрутизатора: ciscoasa# show capture cap1 174 packets captured 6: 20:10:05.739723 50.50.50.1.500 > 200.200.200.1.500: udp 350 7: 20:11:06.382411 50.50.50.1.500 > 200.200.200.1.500: udp 350 8: 20:11:08.372768 50.50.50.1.500 > 200.200.200.1.500: udp 350 9: 20:11:12.049054 50.50.50.1.500 > 200.200.200.1.500: udp 350 10: 20:11:19.902602 50.50.50.1.500 > 200.200.200.1.500: udp 350 11: 20:11:34.855165 50.50.50.1.500 > 200.200.200.1.500: udp 350 12: 20:12:05.874619 50.50.50.1.500 > 200.200.200.1.500: udp 350 13: 20:13:03.844560 50.50.50.1.500 > 200.200.200.1.500: udp 350 14: 20:14:07.601424 50.50.50.1.500 > 200.200.200.1.500: udp 350 15: 20:14:09.416100 50.50.50.1.500 > 200.200.200.1.500: udp 350 16: 20:14:13.375362 50.50.50.1.500 > 200.200.200.1.500: udp 350 17: 20:14:20.878998 50.50.50.1.500 > 200.200.200.1.500: udp 350 18: 20:14:36.066463 50.50.50.1.500 > 200.200.200.1.500: udp 350 19: 20:15:06.633298 50.50.50.1.500 > 200.200.200.1.500: udp 350 20: 20:16:04.577377 50.50.50.1.500 > 200.200.200.1.500: udp 350 21: 20:17:08.808857 50.50.50.1.500 > 200.200.200.1.500: udp 350 Таблица маршрутизации ASA: ciscoasa# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 100.100.100.2 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [1/0] via 100.100.100.2, ISP1 C 10.14.252.0 255.255.255.0 is directly connected, TU-10 L 10.14.252.2 255.255.255.255 is directly connected, TU-10 C 100.100.100.0 255.255.255.0 is directly connected, ISP1 L 100.100.100.1 255.255.255.255 is directly connected, ISP1 C 200.200.200.0 255.255.255.0 is directly connected, ISP2 L 200.200.200.1 255.255.255.255 is directly connected, ISP2 Есть идеи, что произошло? [image: 2ff5a8dc6ed44d78eaf97ba12332fc3d813e3d1b.jpg]

Здравствуйте, если мы используем ESP-Null для набора преобразований, верно ли, что: -) лицензия по-прежнему необходима, если трафик превышает 250 Мбит/с -) это дает преимущества в производительности на catalyst 8000/8000v? -) это по-прежнему подходящий вариант, если достаточно незашифрованного туннеля, но gre использовать нельзя br + thx