ASA 5505 上的 Cisco IPSec 直通不起作用

网络工程 思科-ASA 虚拟专用网 ipsec
2022-02-20 22:45:36

几天来我一直在绞尽脑汁,到目前为止我还无法弄清楚这里的问题是什么。

问题:

我无法从另一个 ASA 后面建立客户端到 ASA IPSec 隧道。

情况:

网络情况是这样的:

              +---------------------------------------------------------------------+
              |                              VIA S2S VPN                            |
              |                                                                     |
+-------------v-----+                                                               |
|                   |                                                               |
|                   |                                                               |
|     VLAN 3        |                                                               |
|     "office"      |                                                               |
|     10.20.50.0/24 +---------------+                                               |
|                   |               |                                               | 
+-------------------+           +---v----------------+                              |
                                |                    |               +---------------------------+
                                |                    |               |    Internet  |            |
                                |     ASA 5505       +--------------->              |            |
+-------------------+           |                    |               |              |            |
|                   |           |                    <------------------------+     |            |
|    VLAN 5         +----------->                    |    S2S VPN    |        |     |            |
|    "visitor"      |           |                    |               +---------------------------+
|    192.168.0.0/24 |           |                    |                        |     |
|                   |           +--------------------+                        |     |
+-------------------+                                                 +-------v-----------+
                                                      +------------+  |             |     |
                                                      |            +-->    ASA 5512X|     |
                                                      |  VLAN 99   |  |             |     |
                                                      |  "management" |             |     |
                                                      |  10.20.99.0/24|             |     |
                                                      |            |  |             |     |
                                                      |            |  |             |     |
                                                      +------------+  +-------------------+
                                                                                    |
                                                                   +----------------v+
                                                                   |                 |
                                                                   |   VLAN 10       |
                                                                   |   "servers"     |
                                                                   |   10.20.30.0/24 |
                                                                   |                 |
                                                                   +-----------------+

我有站点到站点的 VPN 隧道工作,如果您在“办公室”vlan 中,您可以毫无问题地访问“服务器”。

我无法做的是在“办公室”或“访客”中从 Win、MacOS 或 Linux 建立客户端到站点 IPsec 隧道。我知道远程端以及我的本地配置都可以,因为:

  • 它一直工作到以前的 ASA 死掉(无法挽救配置)
  • 它可以在家工作
  • 通过手机连接时可以使用

发生什么了:

(如果有帮助,我可以提供更详细的调试日志)

➜  ~ sudo vpnc-connect --dpd-idle 0 --debug 1 --local-port 10000 ~/config.conf

vpnc version 0.5.3r550-3
IKE SA selected psk+xauth-3des-sha1
NAT status: this end behind NAT? YES -- remote end behind NAT? no
got address 10.xx.xx.xx
received notice of type  (ISAKMP_N_INVALID_ID_INFORMATION)(18), giving up


---!!!!!!!!! entering phase2_fatal !!!!!!!!!---


vpnc-connect: quick mode response rejected:  (ISAKMP_N_INVALID_MESSAGE_ID)(9)
this means the concentrator did not like what we had to offer.
Possible reasons are:
  * concentrator configured to require a firewall
     this locks out even Cisco clients on any platform except windows
     which is an obvious security improvement. There is no workaround (yet).
  * concentrator configured to require IP compression
     this is not yet supported by vpnc.
     Note: the Cisco Concentrator Documentation recommends against using
     compression, except on low-bandwith (read: ISDN) links, because it
     uses much CPU-resources on the concentrator

你知道什么?/你试过什么?:

  • 它在最简单的设置设置(接口安全、IP、默认路由、NAT)中不起作用
  • 据我所知,防火墙丢弃数据包不是问题
    • 我可以看到使用 WireShark 双向传输的数据包
    • 特定“通过”防火墙规则的数据包计数器双向增加
    • 所有“trace-packet”命令似乎都给出了一个好的结果
  • 我添加了“允许任何任何”规则作为测试,行为没有改变
  • 我为 UDP 端口添加了拒绝规则 -> 不同的错误(预期)
  • inspect ipsec-pass-thru在默认的全局策略上,无论它是否存在似乎都没有任何区别
  • 站点到站点 VPN 隧道没有干扰,因为大多数测试是在添加任何相关配置之前完成的
  • 我已经阅读了我们其他一些网站的配置,但我找不到任何似乎可以解释它的陈述

我假设 ASA 以某种方式修改了数据包,从而破坏了一些校验和,但我至今无法说服它不这样做。

1个回答

Reddit 用户 /u/Layer8Adjacent 在https://www.reddit.com/r/networking/comments/7bc5pp/cisco_ipsec_passthrough_on_asa_5505_not_working/的讨论中指出,由于在远程端配置了 l2l 隧道,流量可能会获得双重加密。dph5nu4/

为 NAT 目的使用不同的传出 IP 解决了这个问题。

其它你可能感兴趣的问题
上一篇在 MLNX-OS 上配置带外管理 下一篇试图让 DHCP 在 VLAN 中工作