«Нет ikev1 sa»

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:32 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:32 GMT

Я добавил команду nat в группу объектов onPremNetwork, и, похоже, туннель работает. Команда «show crypto ikev1 sa» показывает, что туннель сейчас активен, но я по-прежнему не могу получить доступ к сети Azure. Кроме того, нужно ли мне сохранять динамический NAT (PAT), поскольку я не использую брандмауэр для доступа в Интернет, а только для доступа к VPN? У меня есть ACL, который я использую с моей криптографической картой: access-list s2s-vpn-acl extended permit ip object onPremNetwork object azureNetwork Но нужно ли мне добавить второй ACL, который разрешает обратное: access-list s2s-vpn-acl extended permit ip object azureNetwork object onPremNetwork ? EDIT: Теперь все работает, мне просто нужно подождать (немного дольше). Спасибо за помощь. Ввод packet-tracer внутри tcp 172.18.64.2 3344 10.0.1.4 80 подробно Фаза: 1
Тип: UN-NAT
Подтип: статический
Результат: РАЗРЕШИТЬ
Конфигурация:
nat (внутри, снаружи) источник статический onPremNetwork onPremNetwork назначение статический azureNetwork azureNetwork
Дополнительная информация:
NAT перенаправление на выходной интерфейс снаружи
Непереводимый 10.0.1.4/50 в 10.0.1.4/50
Фаза: 2
Тип: NAT
Подтип:
Результат: ALLOW
Конфигурация:
nat (inside,outside) source static onPremNetwork onPremNetwork destination static azureNetwork azureNetwork
Дополнительная информация:
Статический перевод 172.18.64.2/3344 в 172.18.64.2/3344
Передача Поиск на основе потока дает правило:
в id=0xb5bf78c8, priority=6, domain=nat, deny=false
hits=2, user_data=0xb61ba6a0, cs_id=0x0, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=10.0.0.0, mask=255.255.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside
Фаза: 3
Тип: NAT
Подтип: per-session
Результат: ALLOW
Конфигурация:
Дополнительная информация:
Передача Поиск на основе потока дает правило:
in id=0xb5458090, priority=0, domain=nat-per-session, deny=false
hits=22, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=any, output_ifc=any
Фаза: 4
Тип: IP-OPTIONS
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе прямого потока дает правило:
в id=0xb5bb46d8, priority=0, domain=inspect-ip-options, deny=true
hits=16, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
Фаза: 5
Тип: VPN
Подтип: encrypt
Результат: ALLOW
Конфигурация:
Дополнительная информация:
Пересылка Поиск по потоку дает правило:
out id=0xb61ba398, priority=70, domain=encrypt, deny=false
hits=3, user_data=0x342c, cs_id=0xb610aa18, reverse, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=10.0.0.0, mask=255.255.0.0, port=0, tag=0, dscp=0x0
input_ifc=any, output_ifc=outside
Фаза: 6
Тип: NAT
Подтип: rpf-check
Результат: ALLOW
Конфигурация:
nat (inside,outside) source static onPremNetwork onPremNetwork destination static azureNetwork azureNetwork
Дополнительная информация: Поиск на
основе прямого потока дает правило:
out id=0xb5779058, priority=6, domain=nat-reverse, deny=false
hits=3, user_data=0xb5be9460, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, порт=0, тег=0
ip/id назначения=10.0.0.0, маска=255.255.0.0, порт=0, тег=0, dscp=0x0
input_ifc=inside, output_ifc=outside
Фаза: 7
Тип: VPN
Подтип: ipsec-tunnel-flow
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb5777fc0, priority=70, domain=ipsec-tunnel-flow, deny=false
hits=3, user_data=0x5fa4, cs_id=0xb610aa18, reverse, flags=0x0, protocol=0
src ip/id=10.0.0.0, mask=255.255.0.0, port=0, tag=0
dst ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0, dscp=0x0
input_ifc=outside, output_ifc=any
Фаза: 8
Тип: NAT
Подтип: per-session
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb5458090, priority=0, domain=nat-per-session, deny=false
hits=24, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=any, output_ifc=any
Фаза: 9
Тип: IP-OPTIONS
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb5b8cc28, priority=0, domain=inspect-ip-options, deny=true
hits=20, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=outside, output_ifc=any
Фаза: 10
Тип: FLOW-CREATION
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Создан
новый поток с id 22, пакет отправлен в следующий модуль
Информация о модуле для прямого потока ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_encrypt
snp_fp_fragment
snp_ifc_stat
Информация о модуле для обратного потока ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_ipsec_tunnel_flow
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Результат:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Действие: разрешить

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:31 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:31 GMT

показать crypto ipsec sa peer 52.178.X.X peer address: 52.178.X.X
Crypto map tag: s2s-crypto-map, seq num: 1, local addr: 84.199.X.X
access-list s2s-vpn-acl extended permit ip 172.18.64.0 255.255.255.0 10.0.0.0 255.255.0.0
local ident (addr/mask/prot/port): (172.18.64.0/255.255.255.0/0/0)
удаленная идентификация (адрес/маска/протокол/порт): (10.0.0.0/255.255.0.0/0/0)
текущий_peer: 52.178.X.X
#pkts инкапсуляция: 0, #pkts шифрование: 0, #pkts дайджест: 0
#pkts декапсуляция: 0, #pkts дешифрование: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTU получено: 0, #декапсулированные фрагменты, требующие повторной сборки: 0
#TFC получено: 0, #TFC отправлено: 0
#Допустимые ошибки ICMP получено: 0, #Недопустимые ошибки ICMP получено: 0
#ошибки отправки: 0, #ошибки приема: 0
локальный криптографический конечный пункт: 84.199.X.X/0, удаленная криптографическая конечная точка: 52.178.X.X/0
путь mtu 1500, накладные расходы ipsec 74(44), mtu носителя 1500
Оставшееся время PMTU (сек): 0, политика DF: copy-df
Проверка ошибок ICMP: отключена, пакеты TFC: отключены
текущий исходящий SPI: FE082EF0
текущий входящий SPI : EFB9A569
входящий ESP SAS:
SPI: 0xEFB9A569 (4021921129)
преобразование: esp-aes-256 esp-sha-hmac без сжатия
используемые настройки ={L2L, Tunnel, IKEv1, }
слот: 0, conn_id: 4096, crypto-map: s2s-crypto-map
синхронизация sa: оставшийся срок действия ключа (кБ/сек): (97200000/3472)
Размер IV: 16 байт Поддержка
обнаружения повторного воспроизведения: Y
Бит-мапа защиты от повторного воспроизведения:
0x00000000 0x00000001
исходящий esp sas:
spi: 0xFE082EF0 (4261949168)
преобразование: esp-aes-256 esp-sha-hmac без сжатия
используемые настройки ={L2L, Tunnel, IKEv1, }
слот: 0, conn_id: 4096, crypto-map: s2s-crypto-map
sa timing: оставшийся срок действия ключа (кБ/сек): (97200000/3472)
Размер IV: 16 байт Поддержка
обнаружения повторного воспроизведения: Y
Бит-мапа защиты от повторного воспроизведения:
0x00000000 0x00000001

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:30 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:30 GMT

Вход пакета-трасера внутри icmp 172.18.64.2 8 0 10.0.1.4 подробно Фаза: 1
Тип: UN-NAT
Подтип: статический
Результат: РАЗРЕШИТЬ
Конфигурация:
nat (внутри, снаружи) источник статический onPremNetwork onPremNetwork назначение статический azureNetwork azureNetwork
Дополнительная информация:
NAT перенаправление на выходной интерфейс снаружи
Непереводимый 10.0.1.4/0 в 10.0.1.4/0
Фаза: 2
Тип: NAT
Подтип:
Результат: ALLOW
Конфигурация:
nat (внутри,снаружи) источник статический onPremNetwork onPremNetwork назначение статический azureNetwork azureNetwork
Дополнительная информация:
Статический перевод 172.18.64.2/0 в 172.18.64.2/0
Пересылка Поиск на основе потока дает правило:
в id=0xb5bf78c8, priority=6, domain=nat, deny=false
hits=3, user_data=0xb61ba6a0, cs_id=0x0, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=10.0.0.0, mask=255.255.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=outside
Фаза: 3
Тип: NAT
Подтип: per-session
Результат: ALLOW
Конфигурация:
Дополнительная информация:
Передача Поиск на основе потока дает правило:
in id=0xb545a650, priority=0, domain=nat-per-session, deny=true
hits=13, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=any, output_ifc=any
Фаза: 4
Тип: IP-OPTIONS
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе прямого потока дает правило:
в id=0xb5bb46d8, priority=0, domain=inspect-ip-options, deny=true
hits=17, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
Фаза: 5
Тип: INSPECT
Подтип: np-inspect
Результат: ALLOW
Конфигурация:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
Дополнительная информация:
Поиск на основе пересылки потока дает правило:
in id=0xb61ab210, priority=70, domain=inspect-icmp, deny=false
hits=5, user_data=0xb61a9ab8, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
Фаза: 6
Тип: INSPECT
Подтип: np-inspect
Результат: ALLOW
Конфигурация:
Дополнительная информация:
Передача Поиск на основе потока дает правило:
in id=0xb5bb4178, priority=66, domain=inspect-icmp-error, deny=false
hits=5, user_data=0xb5bb3798, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
Фаза: 7
Тип: VPN
Подтип: encrypt
Результат: ALLOW
Конфигурация:
Дополнительная информация:
Пересылка Поиск по потоку дает правило:
out id=0xb1ba398, priority=70, domain=encrypt, deny=false
hits=4, user_data=0x342c, cs_id=0xb610aa18, reverse, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0
dst ip/id=10.0.0.0, mask=255.255.0.0, порт=0, тег=0, dscp=0x0
input_ifc=any, output_ifc=outside
Фаза: 8
Тип: NAT
Подтип: rpf-check
Результат: ALLOW
Конфигурация:
nat (inside,outside) source static onPremNetwork onPremNetwork destination static azureNetwork azureNetwork
Дополнительная информация: Поиск на
основе прямого потока дает правило:
out id=0xb5779058, priority=6, domain=nat-reverse, deny=false
hits=4, user_data=0xb5be9460, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=172.18.64.0, mask=255.255.255.0, порт=0, тег=0
ip/id назначения=10.0.0.0, маска=255.255.0.0, порт=0, тег=0, dscp=0x0
input_ifc=внутри, output_ifc=снаружи
Фаза: 9
Тип: VPN
Подтип: ipsec-tunnel-flow
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb5777fc0, priority=70, domain=ipsec-tunnel-flow, deny=false
hits=4, user_data=0x5fa4, cs_id=0xb610aa18, reverse, flags=0x0, protocol=0
src ip/id=10.0.0.0, mask=255.255.0.0, port=0, tag=0
dst ip/id=172.18.64.0, mask=255.255.255.0, port=0, tag=0, dscp=0x0
input_ifc=outside, output_ifc=any
Фаза: 10
Тип: NAT
Подтип: per-session
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb545a650, priority=0, domain=nat-per-session, deny=true
hits=15, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=any, output_ifc=any
Фаза: 11
Тип: IP-OPTIONS
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Поиск на
основе обратного потока дает правило:
in id=0xb5b8cc28, priority=0, domain=inspect-ip-options, deny=true
hits=21, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=outside, output_ifc=any
Фаза: 12
Тип: FLOW-CREATION
Подтип:
Результат: ALLOW
Конфигурация:
Дополнительная информация: Создан
новый поток с id 23, пакет отправлен в следующий модуль
Информация о модуле для прямого потока ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_translate
snp_fp_adjacency
snp_fp_encrypt
snp_fp_fragment
snp_ifc_stat
Информация о модуле для обратного потока ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_ipsec_tunnel_flow
snp_fp_translate
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Результат:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Действие: разрешить

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:29 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:29 GMT

Понял, попробую завтра, спасибо.

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:28 GMT

Ajay Saini — Mon, 02 Mar 2026 12:41:28 GMT

да, или попробуйте для трафика tcp, например packet-tracer input inside tcp 172.18.64.2 3344 10.0.1.4 80 det

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:27 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:27 GMT

Например: ввод packet-tracer внутри icmp 172.18.64.2 8 0 10.0.1.4 ?

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:26 GMT

Ajay Saini — Mon, 02 Mar 2026 12:41:26 GMT

Не могли бы вы запустить пакет-трасер, используя источник в качестве вашей подсети и назначение в качестве подсети Azure. - AJ

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:25 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:25 GMT

Хорошо, но я уже пробовал выполнить ping с хоста на виртуальную машину в Azure, но это не сработало.

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:24 GMT

Ajay Saini — Mon, 02 Mar 2026 12:41:24 GMT

Я не это имею в виду. Я имею в виду, что для запуска туннеля IPsec необходимо инициировать некоторый трафик. И этот трафик должен идти из вашей подсети в сеть на сайте Azure. Надеюсь, это поможет. - AJ

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:23 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:23 GMT

Что вы имеете в виду под «выходом»? Я могу выполнить команду ping для ASA с хоста, я также могу выполнить команду ping для шлюза с ASA и я могу выполнить команду ping для Интернета с ASA.

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:22 GMT

Ajay Saini — Mon, 02 Mar 2026 12:41:22 GMT

Чтобы увидеть этот результат, вам необходимо включить некоторый трафик. Попробуйте выполнить команду ping на известный адрес на всех сайтах и посмотрите, сможете ли вы увидеть этот результат. -AJ

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:21 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:21 GMT

Хорошо, теперь я могу подключиться к Интернету, но все еще получаю ошибку «There are no ikev1 sa».

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:20 GMT

Olddddddd — Mon, 02 Mar 2026 12:41:20 GMT

Да, вы правы, я попробую это завтра, спасибо.

Reply to «Нет ikev1 sa» on Mon, 02 Mar 2026 12:41:19 GMT

Ajay Saini — Mon, 02 Mar 2026 12:41:19 GMT

На ASA нет шлюза по умолчанию. Добавьте шлюз по умолчанию, и все должно заработать: route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 x.x.x.x — IP-адрес шлюза по умолчанию. HTH - AJ