Anticisco
http://www.anticisco.ru/forum/

isr4321 ipsec
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11126
Страница 1 из 1

Автор:  djakson [ 02 окт 2019, 16:21 ]
Заголовок сообщения:  isr4321 ipsec

Всем привет!

Поднял на роутере vpn ipsec с филиалом.
В логах постоянно появляется вот такая запись:
"
router01: Oct 2 12:33:39.243: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:35:08.259: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:36:34.023: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:38:03.111: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:39:28.812: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:40:57.923: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:42:23.842: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
"
Это не мой ip и не моих филиалов! Это пытаются хакнуть ipsec?
Как забанить не нужные адреса?
Стандартными средствами acl не знаю куда вешать.

Автор:  Praporwik [ 02 окт 2019, 18:14 ]
Заголовок сообщения:  Re: isr4321 ipsec

какие настройки ipsec?

роутер настраивался с 0?

Автор:  djakson [ 02 окт 2019, 18:59 ]
Заголовок сообщения:  Re: isr4321 ipsec

[quote="Praporwik"]какие настройки ipsec?

роутер настраивался с 0?[/quote

настраивался с 0

настройки вот такие
Код:
crypto isakmp policy 4
 encr aes XXX
 hash shaXXX
 authentication pre-share
 group 2
crypto isakmp key ******** address ********
crypto isakmp keepalive 15
!
!
crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac
 mode tunnel
!
!
!
crypto map HUB_SPOKEs 1 ipsec-isakmp
 set peer ******
 set transform-set HUB
 set pfs group2
 match address SPOKE

interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *****
 ppp chap password *****
 crypto map HUB_SPOKEs

ip access-list extended SPOKE
 permit ip local_net filial_net

Автор:  Praporwik [ 03 окт 2019, 10:23 ]
Заголовок сообщения:  Re: isr4321 ipsec

djakson писал(а):
Стандартными средствами acl не знаю куда вешать.


Можно попробовать создать acl и повесить его inbound interface dialer0

что-то типа
ip access-list extended wan

01 deny ip 80.82.44.18 any
02 permit ip any any

и на int dialer0
ip access-group wan in

но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте

Автор:  djakson [ 03 окт 2019, 10:47 ]
Заголовок сообщения:  Re: isr4321 ipsec

Praporwik писал(а):
djakson писал(а):
Стандартными средствами acl не знаю куда вешать.


Можно попробовать создать acl и повесить его inbound interface dialer0

что-то типа
ip access-list extended wan

01 deny ip 80.82.44.18 any
02 permit ip any any

и на int dialer0
ip access-group wan in

но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте


Я не знал что на Dialer можно acl вешать.
Большое спасибо помогло!

Автор:  Praporwik [ 03 окт 2019, 11:11 ]
Заголовок сообщения:  Re: isr4321 ipsec

в принципе, можно повесить acl на любой интерфейс - tunnel, dialer, subinterface.
но только один в одном направлении, т.е. может быть

int gi0/0
ip access-group wan in
ip access-group wan2 out

как-то так. насчет применения двух acl in/out на int dialer - не уверен, точнее лично не делал.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/