cisco asa - sitetosite - rb750 gr

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

1) в filter rules и нат.

Код: Выделить всё

add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related

Код: Выделить всё

ip firewall nat add action=masquerade chain=srcnat comment=NAT src address=10.10.188.0/24

10.10.188.0 - сеть за микротиком
2) cisco l2tp server

Код: Выделить всё

crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES256-SHA1_TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES128-SHA1_TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES256-SHA1 esp-aes-256 esp-sha-hmac
crypto dynamic-map DYN_OUTSIDE 10000 set ikev1 transform-set ESP-AES256-SHA1_TRANS ESP-AES128-SHA1_TRANS ESP-AES256-SHA1
!
crypto map MAP_OUTSIDE 10000 ipsec-isakmp dynamic DYN_OUTSIDE
crypto map MAP_OUTSIDE interface outside
crypto ikev1 enable outside
!
crypto ikev1 policy 1000
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 2000
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 3000
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
group-policy EMPLOYEES_L2TP_IPSEC internal
group-policy EMPLOYEES_L2TP_IPSEC attributes
dns-server value 8.8.8.8
vpn-tunnel-protocol l2tp-ipsec
default-domain value domain.local
!
username vlad password uEwG7U3yQ+zmShyEXyAkEQ== nt-encrypted
!
tunnel-group DefaultRAGroup general-attributes
address-pool POOL1
default-group-policy EMPLOYEES_L2TP_IPSEC
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2


Лог с асы

Код: Выделить всё

%ASA-6-713172: Group = DefaultRAGroup, IP = 31.Y.Y.Y, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
%ASA-6-713905: Group = DefaultRAGroup, IP = 31.Y.Y.Y, Floating NAT-T from 31.Y.Y.Y port 1025 to 31.Y.Y.Y port 4500
%ASA-6-113009: AAA retrieved default group policy (L2TP_IPSEC) for user = DefaultRAGroup
%ASA-5-713119: Group = DefaultRAGroup, IP = 31.Y.Y.Y, PHASE 1 COMPLETED

%ASA-5-713904: Group = DefaultRAGroup, IP = 31.Y.Y.Y, All IPSec SA proposals found unacceptable!
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.Y.Y.Y, QM FSM error (P2 struct &0xae9c0758, mess id 0xef18049d)!
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.Y.Y.Y, Removing peer from correlator table failed, no match!
%ASA-6-713905: Group = DefaultRAGroup, IP = 31.Y.Y.Y, Warning: Ignoring IKE SA (src) without VM bit set
%ASA-5-713259: Group = DefaultRAGroup, IP = 31.Y.Y.Y, Session is being torn down. Reason: Phase 2 Mismatch
%ASA-4-113019: Group = DefaultRAGroup, Username = , IP = 31.Y.Y.Y, Session disconnected. Session Type: IKEv1, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch

31.Y.Y.Y - соответственно ip провайдера за которым микротик


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

На первый взгляд все хорошо. Нашел в загашнике 5506, соберу схему, проверю в чем причина.


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

добавьте в асашку

Код: Выделить всё

crypto dynamic-map DYN_OUTSIDE 10000 set pfs


Вернуться к началу
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

К сожалению результат пока что прежний.
Из выше описанных постов никак не могу понять, где косяк в настройках крипто мапа или на микротике...

Код: Выделить всё

%ASA-5-713904: Group = DefaultRAGroup, IP = 31.Y.Y.Y, All IPSec SA proposals found unacceptable!
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.Y.Y.Y, QM FSM error (P2 struct &0xae9c0758, mess id 0xef18049d)!

All IPSec SA proposals found unacceptable!


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

qbk писал(а):К сожалению результат пока что прежний.
Из выше описанных постов никак не могу понять, где косяк в настройках крипто мапа или на микротике...

Код: Выделить всё

%ASA-5-713904: Group = DefaultRAGroup, IP = 31.Y.Y.Y, All IPSec SA proposals found unacceptable!
%ASA-3-713902: Group = DefaultRAGroup, IP = 31.Y.Y.Y, QM FSM error (P2 struct &0xae9c0758, mess id 0xef18049d)!

All IPSec SA proposals found unacceptable!

что в IPsec Proporsal default на Микротике прописано?


Вернуться к началу
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

default

Код: Выделить всё

sha1 - auth algorithms
3des - encr algorithms
pfs group - none

пробовал так же тупо перебрать и выставлял

Код: Выделить всё

md5 - auth algorithms
3des - encr algorithms
pfs group - none

после добавления Вашей строчке на асе стало

Код: Выделить всё

sha1 - auth algorithms
3des - encr algorithms
pfs group - modp1024


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

по дефолту на микротике pfs group = modp1024.
Покажите

Код: Выделить всё

/ip ipsec proposal print


Вернуться к началу
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

Пока так

Код: Выделить всё

/ip ipsec proposal print
Flags: X - disabled, * - default
 0  * name="default" auth-algorithms=md5 enc-algorithms=3des lifetime=1d
      pfs-group=none

Я отключил pfs, ибо при его включении даже простые с ноута не цепляются.
Но когда прописал pfs, то pfs group - modp1024 выставлял


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

приведите к виду
auth-algorithms=sha256,sha1,md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

если отключаете pfs на asa то и на микротике надо none


Вернуться к началу
qbk
Сообщения: 8
Зарегистрирован: 28 дек 2017, 17:38

ааааааааааааааааааааааааааааа =))))))))))
получилось )))))))))))))))))))))))))))))) спасибо огромное.
pfs выключен у меня был первоначально и в поле pfs none стоял )))
поправил как Вы отписали

Код: Выделить всё

auth-algorithms=sha256,sha1,md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

Спасибо огпромное


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»