Сообщения без ответов | Активные темы Текущее время: 21 окт 2019, 18:00



Ответить на тему  [ Сообщений: 6 ] 
isr4321 ipsec 
Автор Сообщение

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
Всем привет!

Поднял на роутере vpn ipsec с филиалом.
В логах постоянно появляется вот такая запись:
"
router01: Oct 2 12:33:39.243: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:35:08.259: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:36:34.023: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:38:03.111: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:39:28.812: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:40:57.923: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
router01: Oct 2 12:42:23.842: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 80.82.44.18
"
Это не мой ip и не моих филиалов! Это пытаются хакнуть ipsec?
Как забанить не нужные адреса?
Стандартными средствами acl не знаю куда вешать.


02 окт 2019, 16:21
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 47
какие настройки ipsec?

роутер настраивался с 0?


02 окт 2019, 18:14
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
[quote="Praporwik"]какие настройки ipsec?

роутер настраивался с 0?[/quote

настраивался с 0

настройки вот такие
Код:
crypto isakmp policy 4
 encr aes XXX
 hash shaXXX
 authentication pre-share
 group 2
crypto isakmp key ******** address ********
crypto isakmp keepalive 15
!
!
crypto ipsec transform-set HUB1 esp-aes *** esp-sha***-hmac
 mode tunnel
!
!
!
crypto map HUB_SPOKEs 1 ipsec-isakmp
 set peer ******
 set transform-set HUB
 set pfs group2
 match address SPOKE

interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *****
 ppp chap password *****
 crypto map HUB_SPOKEs

ip access-list extended SPOKE
 permit ip local_net filial_net


02 окт 2019, 18:59
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 47
djakson писал(а):
Стандартными средствами acl не знаю куда вешать.


Можно попробовать создать acl и повесить его inbound interface dialer0

что-то типа
ip access-list extended wan

01 deny ip 80.82.44.18 any
02 permit ip any any

и на int dialer0
ip access-group wan in

но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте


03 окт 2019, 10:23
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
Praporwik писал(а):
djakson писал(а):
Стандартными средствами acl не знаю куда вешать.


Можно попробовать создать acl и повесить его inbound interface dialer0

что-то типа
ip access-list extended wan

01 deny ip 80.82.44.18 any
02 permit ip any any

и на int dialer0
ip access-group wan in

но если будете делать все удаленно, да и вообще для перестраховки, сделайте релоад ин 15 и не сохраняйте


Я не знал что на Dialer можно acl вешать.
Большое спасибо помогло!


03 окт 2019, 10:47
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 47
в принципе, можно повесить acl на любой интерфейс - tunnel, dialer, subinterface.
но только один в одном направлении, т.е. может быть

int gi0/0
ip access-group wan in
ip access-group wan2 out

как-то так. насчет применения двух acl in/out на int dialer - не уверен, точнее лично не делал.


03 окт 2019, 11:11
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Feedfetcher и гости: 18


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB