Está el tunel establecido?

LordTAPi 22 octubre 2008 09:17

⋮

Hola a tod@s,

Estoy tratando de establecer una VPN con un cliente y el técnico del otro lado me está diciendo que no se establece el tunel, pero en mi lado cuando hago un sh crypto isakmp, me visualiza la siguiente información:

Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: 80.58.61.250
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE

Global IKE Statistics
Active Tunnels: 1
Previous Tunnels: 34
In Octets: 148668
In Packets: 1194
In Drop Packets: 44
In Notifys: 0
In P2 Exchanges: 523
In P2 Exchange Invalids: 0
In P2 Exchange Rejects: 0
In P2 Sa Delete Requests: 0
Out Octets: 140416
Out Packets: 1227
Out Drop Packets: 0
Out Notifys: 79
Out P2 Exchanges: 0
Out P2 Exchange Invalids: 0
Out P2 Exchange Rejects: 0
Out P2 Sa Delete Requests: 522
Initiator Tunnels: 0
Initiator Fails: 0
Responder Fails: 11
System Capacity Fails: 0
Auth Fails: 0
Decrypt Fails: 0
Hash Valid Fails: 0
No Sa Fails: 0

Significa esto qué el tunel está activo?? Cómo puedo saberlo?? Cuando hago un debug crypto isakmp para ver si falla algo, no se me visualiza nada.

Muchas gracias a todos por adelantado. ;)

BocaDePez 22 octubre 2008 10:07

⋮

sh crypto isakmp, te indica que la fase uno se ha completado, pero no necesariamente el tunel puede estar funcionando

haz un sh cry ipsec sa [ip_de_tu_cliente], para ver que ha pasado con la fase 2

✖

BocaDePez 22 octubre 2008 10:20

⋮

Además cuando hagas el sh cry ipsec sa, mira a ver la siguientes lineas

#pkts encaps: 19258, #pkts encrypt: 19258, #pkts digest: 19258
#pkts decaps: 18106, #pkts decrypt: 18106, #pkts verify: 18106

si en alguno de los valores es cero, normalmente es un problema de que no estais enrutando correctamente por el tunel las ips del dominio de encriptación pactadas.

Si el comando lo ejecutas tu, y pkts encaps: 0, #pkts encrypt: 0 el problema es tuyo si es en decaps y decrypt = 0 el problema es de tu cliente

✖

LordTAPi 22 octubre 2008 10:43

⋮

Gracias BocaDePEz,

He ejecutado el comando que me has comentado y creo que tenemos un problema en los dos lados y eso que yo tengo puesto en mi acces-list un any.

sh crypto ipsec sa detail
interface: outside
Crypto map tag: Cliente-CRYPTO, seq num: 1, local addr: 213.

access-list 1 permit ip 192.168.X.X (Ip asignada a la ethernet 5 del ASA 5505 donde tengo conectado un equipo en el rango IP que el cliente me ha dicho) 255.255.255.224 any
local ident (addr/mask/prot/port): (192.168.155.X /255.255.255.224/0/0)
remote ident (addr/mask/prot/port): (192.168.155.X/255.255.255.255/0/0) Máquina a la que debería acceder en el otro lado.
current_peer: 194.X.X.X (IP pública del cliente)

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#pkts no sa (send): 0, #pkts invalid sa (rcv): 0
#pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0
#pkts invalid prot (rcv): 0, #pkts verify failed: 0
#pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0
#pkts invalid pad (rcv): 0,
#pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0
#pkts replay failed (rcv): 0
#pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0
#pkts internal err (send): 0, #pkts internal err (rcv): 0

local crypto endpt.: 213.X.X.X (Mi IP pública), remote crypto endpt.: 194.X.X.X (IP pública del cliente)

path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 495F3FE5

inbound esp sas:
spi: 0x4992A80A (1234348042)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 147456, crypto-map: Cliente-CRYPTO
sa timing: remaining key lifetime (sec): 28720
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x495F3FE5 (1230979045)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 147456, crypto-map: Cliente-CRYPTO
sa timing: remaining key lifetime (sec): 28720
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

Debería añadir una acces-list por cada una de las máquinas a las que me está permitido acceder en el otro lado del tunel?

access-list 1 extended permit ip 192.168.X.X 255.255.255.224 host 192.168.1.1

access-list 1 extended permit ip 192.168.X.X 255.255.255.224 host 192.168.1.2

access-list 1 extended permit ip 192.168.X.X 255.255.255.224 host 192.168.1.3

...o con el any ya debería acceder?

Gracias.

✖

BocaDePez 22 octubre 2008 11:01

⋮

Yo haría lo siguiente:

1.- debug cry ipsec 15

2.- term mon

3.- genera tráfico hacia el tunel

Al no haber tráfico en ningún sentido, parace que la Fase 2 no está muy fina, o las listas de accceso no son exactas en ambos peers

✖

LordTAPi 22 octubre 2008 11:29

⋮

✖

BocaDePez 22 octubre 2008 11:34

⋮

✖

LordTAPi 22 octubre 2008 11:57

⋮

✖

LordTAPi 22 octubre 2008 15:30

⋮