errore VPN: IPSEC(validate_proposal): invalid local address

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
rrroberto
Cisco power user
Messaggi: 120
Iscritto il: mer 19 ott , 2005 3:06 pm

ho configurato vpn tra pix501 e pix515 come consigliatomi nel precedente post (vpn tra pix501 e pix515)
articolo: Configuring PIX-to-PIX-to-PIX IPSec (http://www.cisco.com/en/US/products/hw/ ... 4761.shtml)

inizialmente sembrava funzionare, ora non va, facendo debug esce:

sul 515:

Codice: Seleziona tutto

IPSEC(validate_proposal): invalid local address 192.168.200.74
IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with   IPPUBBLICO501

sul 501:

Codice: Seleziona tutto

IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= IPPUBBLICO501, remote= IPPUBBLICO515,
    local_proxy= 10.1.3.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4)
IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0x6ad37818(1792243736) for SA
        from   IPPUBBLICO515 to   IPPUBBLICO501 for prot 3
IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with   IPPUBBLICO515

notare che il 515 è per varie ragioni dietro un router che fa il nat per cui l'indirizzo pubblico a cui risponde non coincide con quel 192.168.200.74 che gli è assegnato sull'interfaccia pubblica.

una cosa che ho notato è che se faccio
show crypto map

sul 515 esce:

Codice: Seleziona tutto

Crypto Map: "newmap" interfaces: { }

Crypto Map "newmap" 30 ipsec-isakmp
        Peer = IPPUBBLICO501
        access-list 130 permit ip 10.1.1.0 255.255.255.0 10.1.3.0 255.255.255.
0 (hitcnt=0)
        Current peer: IPPUBBLICO501
        Security association lifetime: 4608000 kilobytes/28800 seconds
        PFS (Y/N): N
        Transform sets={ myset, }
mentre sul 501:

Codice: Seleziona tutto

Crypto Map: "newmap" interfaces: { outside }

Crypto Map "newmap" 10 ipsec-isakmp
        Peer = IPPUBBLICO515
        access-list 110; 1 elements
        access-list 110 line 1 permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.2
55.255.0 (hitcnt=161)
        Current peer: IPPUBBLICO515
        Security association lifetime: 4608000 kilobytes/28800 seconds
        PFS (Y/N): N
        Transform sets={ myset, }

10.1.1.0 è la rete interna del 515
10.1.2.0 è quella del 501.

le uniche cose che sembrano diverse dal dovuto nelle configurazioni sono quelle voci in show crypto map per cui nel 515 non sono associate interfacce.
a me pare di ricordare che quando al mio primo tentativo tutto era funzionato le due schermate fossero uguali.

grazie a tutti
Roberto
Top
Rispondi

Torna a “VPN”