Pagina 1 di 1
IPSec e Nat-T
Inviato: mar 11 set , 2007 10:41 am
da baol
Salve a tutti. Ho un problema con un Pix 525 ancora in versione 6.3.4.
Ho 10 tunnel attivi, 9 con peer statici e 1 crypto-map dinamica.
Per permettere l'accesso ai Vpn Client da network che fanno PAT ho abilitato il NAT-t col comando "isakmp nat-traversal 20".
In generale questo non dà fastidio alle altre VPN, in un caso pero' devo disabilitare il Nat-T, tirare su la VPN e poi riabilitare il Nat-T. Così va.
Ho visto dai Log che lui tenta di negoziare sulla porta 4500, quella dell'IPSEC Nat-T appunto... senza successo!
Non posso intervenire sulla singola crypto-map in qualche modo per risolvere l'inconveniente, in attesa di passare alla 7 di IOS ? (fra qualche mese purtroppo per esigenze di produzione).
GRAZIE
Inviato: mar 11 set , 2007 11:08 am
da Wizard
Intanto passa alla 6.3.5 di IOS
Se gli altri apparati sono tutti Cisco in teoria non ci dovrebbero essere problemi...
Inviato: mar 11 set , 2007 9:28 pm
da baol
Ricevuto! Si, anche l'altro lato del tunnel é Cisco...
Grazie mille
Inviato: mer 12 set , 2007 8:40 am
da Wizard
Molto strano...magari il problema è sulla config del altro apparato non del pix cmq aggiorna alla 6.3.5 e facci sapere. Se non si risolve facci poi vedere la config del altro apparato Cisco.
Inviato: mer 12 set , 2007 3:07 pm
da baol
Già…. Purtroppo delle 9 VPN che ho su, questa é una delle 2 che non gestisco io anche dall'altro lato del tunnel, difficilmente mi daranno la config. Comunque gli sto rompendo le scatole, appena ho novità vi aggiorno. Nel weekend metto su la 6.3(5).
Qua sotto intanto posto il “debug crypto isakmp” lato mio.
Grazie come sempre.
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
VPN Peer: ISAKMP: Added new peer: ip:Pix_USA Total VPN Peers:5
VPN Peer: ISAKMP: Peer ip: Pix_USA Ref cnt incremented to:1 Total VPN Peers:5
crypto_isakmp_process_block:src:Pix_USA, dest:Pix_Milano spt:4500 dpt:4500
ISAKMP (0): processing DELETE payload. message ID = 1944486418, spi size = 16
ISAKMP (0): deleting SA: src Pix_Milano, dst Pix_USA
return status is IKMP_NO_ERR_NO_TRANS
VPN Peer: ISAKMP: Peer ip:Pix_USA Ref cnt decremented to:0 Total VPN Peers:5
VPN Peer: ISAKMP: Deleted peer: ip:Pix_USA Total VPN peers:4
ISADB: reaper checking SA 0x3f87174, conn_id = 0
ISADB: reaper checking SA 0x3ebaa5c, conn_id = 0
ISADB: reaper checking SA 0x3f81f9c, conn_id = 0
ISADB: reaper checking SA 0x3f8d99c, conn_id = 0
ISADB: reaper checking SA 0x3f78bfc, conn_id = 0
ISAKMP (0:0): sending NAT-T vendor ID - rev 2 & 3
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block:src:Pix_USA, dest:Pix_Milano spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0:0): vendor ID is NAT-T
ISAKMP (0): processing vendor id payload
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
ISAKMP (0:0): constructed HIS NAT-D
ISAKMP (0:0): constructed MINE NAT-D
ISAKMP (0:0): Detected port floating
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:Pix_USA, dest:Pix_Milano spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): processing vendor id payload
ISAKMP (0): processing vendor id payload
ISAKMP (0): received xauth v6 vendor id
ISAKMP (0): processing vendor id payload
ISAKMP (0): speaking to another IOS box!
ISAKMP (0): processing vendor id payload
ISAKMP (0): speaking to a VPN3000 concentrator
SAKMP (0:0): Detected NAT-D payload
ISAKMP (0:0): NAT match MINE hash
ISAKMP (0:0): Detected NAT-D payload
ISAKMP (0:0): NAT does not match HIS hash
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 0
length : 8ISAKMP (0)
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:Pix_USA, dest:Pix_Milano spt:4500 dpt:4500
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): processing vendor id payload
ISAKMP (0): remote peer supports dead peer detection
ISAKMP (0): SA has been authenticated
Inviato: mer 12 set , 2007 3:53 pm
da Wizard
Se proprio non ci salti fuori puoi provare a fare lavorare le vpn client in ipsec over tcp sulla porta 10000 ad esempio...
Inviato: ven 14 set , 2007 4:56 pm
da baol
Ho testato il "salvagente" VpnClient over tcp/10000 e così funziona.
Me lo tengo buono in attesa che gli "amici" dall'altro lato del tunnel si facciano vivi... a questo punto, confortato anche dai tuoi post, l'impressione é che sia un problema loro.
Thanks