Anticisco http://www.anticisco.ru/forum/ |
|
isr4321 ipsec http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11126 |
Страница 1 из 1 |
Автор: | djakson [ 02 окт 2019, 16:21 ] |
Заголовок сообщения: | isr4321 ipsec |
Всем привет! Поднял на роутере vpn ipsec с филиалом. В логах постоянно появляется вот такая запись: " router01: Oct 2 12:33:39.243: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:35:08.259: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:36:34.023: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:38:03.111: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:39:28.812: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:40:57.923: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 router01: Oct 2 12:42:23.842: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18 " Это не мой ip и не моих филиалов! Это пытаются хакнуть ipsec? Как забанить не нужные адреса? Стандартными средствами acl не знаю куда вешать. |
Автор: | Praporwik [ 02 окт 2019, 18:14 ] |
Заголовок сообщения: | Re: isr4321 ipsec |
какие настройки ipsec? роутер настраивался с 0? |
Автор: | djakson [ 02 окт 2019, 18:59 ] |
Заголовок сообщения: | Re: isr4321 ipsec |
[quote="Praporwik"]какие настройки ipsec? роутер настраивался с 0?[/quote настраивался с 0 настройки вот такие Код: crypto isakmp policy 4 encr aes XXX hash shaXXX authentication pre-share group 2 crypto isakmp key ******** address ******** crypto isakmp keepalive 15 ! ! crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac mode tunnel ! ! ! crypto map HUB_SPOKEs 1 ipsec-isakmp set peer ****** set transform-set HUB set pfs group2 match address SPOKE interface Dialer0 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip nat outside encapsulation ppp ip tcp adjust-mss 1432 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname ***** ppp chap password ***** crypto map HUB_SPOKEs ip access-list extended SPOKE permit ip local_net filial_net |
Автор: | Praporwik [ 03 окт 2019, 10:23 ] |
Заголовок сообщения: | Re: isr4321 ipsec |
djakson писал(а): Стандартными средствами acl не знаю куда вешать. Можно попробовать создать acl и повесить его inbound interface dialer0 что-то типа ip access-list extended wan 01 deny ip 80.82.44.18 any 02 permit ip any any и на int dialer0 ip access-group wan in но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте |
Автор: | djakson [ 03 окт 2019, 10:47 ] |
Заголовок сообщения: | Re: isr4321 ipsec |
Praporwik писал(а): djakson писал(а): Стандартными средствами acl не знаю куда вешать. Можно попробовать создать acl и повесить его inbound interface dialer0 что-то типа ip access-list extended wan 01 deny ip 80.82.44.18 any 02 permit ip any any и на int dialer0 ip access-group wan in но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте Я не знал что на Dialer можно acl вешать. Большое спасибо помогло! |
Автор: | Praporwik [ 03 окт 2019, 11:11 ] |
Заголовок сообщения: | Re: isr4321 ipsec |
в принципе, можно повесить acl на любой интерфейс - tunnel, dialer, subinterface. но только один в одном направлении, т.е. может быть int gi0/0 ip access-group wan in ip access-group wan2 out как-то так. насчет применения двух acl in/out на int dialer - не уверен, точнее лично не делал. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |