» Настройка Cisco PIX Firewall / ASA

Подскажите кто настраивал access VPN, что разрешается пользователям из VPN сети?
Я пытался пинговать внутренние хосты - работает. А пытался установаить ssh соединение, не работает и почемуто web не открывается куда копать ?

Всем доброго времени суток!
Есть PIX и ASA между ними поднят VPN ipesec-l2l.Ситуация следующая: хост А за pix-ом пингует хост B за ASА, icmp пакеты успешно ходят по туннелю до того момента, как только каким-нибуть из хостов не будет инициировано NetBios соединение затем пинги пропадают и устанавливается NetBios сессия. Через некоторое время происодит обратное. acl настройки касающиеся vpn для pix:
access-list test_nat0_outbound extended permit ip 172.16.0.0 255.255.0.0 192.168.12.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 172.16.0.0 255.255.0.0 192.168.12.0 255.255.255.0
access-list test_access_in extended permit ip 172.16.0.0 255.255.0.0 192.168.12.0 255.255.255.0
nat (dmz2) 0 access-list test_nat0_outbound outside
access-group test_access_in in interface dmz2

Как такое может быть?

Здравствуйте, где можно подробно почтитать как правилньо использовать ASDM Packet Tracer. Поставил на всех интерфесах разрешающие правила, но почему-то они игнорируются и после них срабатывают теже самые запрещающие правила.
Пытаюсь разобраться с настройкой Cisco Asa 5250 (8.0 (4))

lexx
а уверены, что разрешающие правила в конфиге выше запрещающих?
cle xla делали?

Да, добавлено разрешающее правило на входящее и исходящее направление на интерфейсе...
вот вроде так

Код:
access-list Outside_access_out extended permit ip any any
access-list Outside_access_in extended permit ip any any

lexx
Дык, sh route что показывает?
Моть просто маршрут не прописан?

Разве между двумя интерфейсами маршрут надо прописывать?

Код:
Gateway of last resort is not set

S VPN_AP 255.255.255.255 [50/0] via 10.50.113.69, Outside
C 10.50.113.64 255.255.255.248 is directly connected, Outside
C 192.168.1.0 255.255.255.0 is directly connected, management

lexx

Цитата:

Разве между двумя интерфейсами маршрут надо прописывать

Вообще-то нужно

Цитата:

Вообще-то нужно

Код:
C 172.16.0.0 255.255.255.0 is directly connected, Inside
C 10.50.113.64 255.255.255.248 is directly connected, Outside

Уважаеммый, lexx позволю заметить что интерфейсы былоб неплохо показать. От того какие уровни безопасности стоят зависит многое. В Вашем случае необходимо настрооить чистую маршрутизацию, рекомендовал бы использовать команду no nat control которая отключит необзходимый нат. В следствие того что аса это девайс для защиты просто так он не разрешает ходить траффику и если итерфейсы имеют различные уровни безопасноти трфф будет бегать через нат.

Security level на inside - 100 на outside - 0.
Попробую через NAT пропустить...столько уже мучений с ней Сначала с добавлением второго адреса на сетевом интерфейсе, теперь вот с маршрутизацией

Отлично, не забудьте проверить, что в access-group именно тот access-list. Для теста рекомендую повесить на все интерфейсы один и тот же акцес лист который разрешит все. А затем уже можно будет , что то ограничивать. Учитывайте тотже факт что с интерфейса с более высоким уровнем безопасности на интерфейс с более низким трафик идет без правил, а наоборот необходимо правило разрешающее это.

Прошу помощи (первый пост за 6 лет чтения форума)
возможно офф..
есть девайс pix515e - не использовался
хочу запустить
пробовал соеденится через терминальный (9600-8-нет-1, и скорости от 2400 до 115200)
включал кису с уже подключенным кабелем и терминалом
результат на экране ничего

пробовал подключить к сети на eth1 и сканировать 192.168.0.1/24 192.168.1.1/24
пробовал как в мануале hттps://192.168.1.1

Вопрос- есть ли ошибки в моих действиях и что еще можно попробовать?

нашел прошивку PIX 7.2(2)+ASDM 5.2(2) хочу прошить не знаю как
не пинайте - наверно не правильно писал запросы в поисковике
(пренесено из http://forum.ru-board.com/topic.cgi?forum=35&topic=15299&start=360#15

UPD проблема решилась заменой консольного кабеля

tanner, есть возможность перезагрузить девайс ? Попробуйте, перезагрузить. Возьмите гипертерминал. В настройках гипер-терминала выставить различные значения скорости. Также рекомендую при подключении втыкать сразу в свой ПК, вооружитесь сниффером и по арп запросам станет понятно. Но думаю что это не оч полезно. Если вы Вы не знаете пароль, то зайти на железку не сможете. Поэтому самым резонным считаю ковырять консоль, именно с нее можно будет потом сбросить пароль.

всем привет. вроде конфиг был готов - прочтение этой статьи меня озадачило:

Задача:
1. Организовать Static NAT что бы сервера могли бы выходить наружу под определёнными адресами
и что бы могли быть доступны из мира по определёнными сервисами(http,https.smtp) под теми же адресами


Цитата:

(config)# static (DMZ,Untrust) 11.31.137.56 10.0.2.56 netmask 255.255.255.255 0 0

и дальше резрешающие правила на Untrust.

Следуя статье что я привёл выше - необходимо настроить и обратный NAT, т.е для входящих соединений

Цитата:

(config)# static (Untrust,DMZ) 10.0.2.56 11.31.137.56 netmask 255.255.255.255 0 0

Нужны оба правила ?
или всё же хватит первого. Хотя по логике вроде 2 нужно.

Спасибо.

Добавлено:
хотя в этой же статье другой пример показывает что вроде нужна только одна команда.

slech
Оба решения правильные, но для разных задач.
В вашем случае, как я понимаю, каждому внутреннему серверу вы выделяете внешний адрес, и хотите, что б извне по каждому внешнему адресу был доступен соответствующий внутренний сервер.
В этом случае достаточно одного правила типа (inside=100,outside=0):
static (inside,outside) 211.0.0.11 10.0.0.11 netmask 255.255.255.255,
т.е. чистый NAT сервера с адресом 10.0.0.11 во внешний адрес 211.0.0.11.
Ну, и, соответственно, acl, разрешающий сервисы, на outside.

slut спасибо
да выделяем каждому свой адрес.
но мне так же важно что бы сервер сам мог выходить в Internet для установки соединения, т.е. сам инициализировал сооединение.
этого будет достаточно ?

а в каком случае необходимы оба NAT ?

Цитата:

static (inside,outside)
static (outsideбinside)

slech

Цитата:

но мне так же важно что бы сервер сам мог выходить в Internet для установки соединения, т.е. сам инициализировал сооединение.
этого будет достаточно ?

Вполне достаточно для инициализации соединения внутренним хостом, только не забудьте разрешающий acl на outside.


Цитата:

а в каком случае необходимы оба NAT ?

Это скорее для случаев с наличием dmz и inside, когда нужно получить подобное для узлов в dmz. Маловстречаемо

Цитата:

только не забудьте разрешающий acl на outside

правила есть


Цитата:

Это скорее для случаев с наличием dmz и inside, когда нужно получить подобное для узлов в dmz. Маловстречаемо

у меня как раз 3 интерфейса. я это сделал так вот

Цитата:

(config)# static (Trust,DMZ) 10.0.1.0 10.0.1.0 netmask 255.255.255.0
(config)# static (DMZ,Trust) 10.0.2.0 10.0.2.0 netmask 255.255.255.0

Untrust=0
DMZ=50
Trust=100

добрый день.
есть проблема в потерянном пароле на ASA5510.
попробовал восстановить пароль как написано здесь. захожу в консоль, выполняю все пункты. устанавливаю стандартный пароль. загружаю конфигурацию, нормально захожу в привелегированный режим, но при попытке зайти через сеть по https://192.168.1.1 у меня опять спрашивают пароль. установленный пароль не подходит. скажите, есть ли возможность сбросить настройки на стандартные (с пустым паролем) с фозможностью входа через https

надеюсь, что написал все правильно. ибо хуже тетки со шваброй.

Всем привет. Очень непонятный глюк случился.
Есть Cisco PIX Firewall Version 6.3(4)
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
Cisco поднимает ВПН до филиала, в филиале стоит D-link DI-804HV.
На данный момент таким образом подключено 20 филиалов, все работает. При подключении 21-го филиала ВПН поднимается, но не идут пинги, не цепляется к серваку почта, не работает IP телефония, НО работает Radmin, работает корпоративная аська, работает файловый обмен. Все филиалы настроены аналогично друг другу, разница лишь в подсетях.
Настроено вот так (на примере одного филиала):
…
access-list no_nat permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
access-list no_nat permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list no_nat permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
access-list no_nat permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list no_nat permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list no_nat permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
…
access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
access-list my_acl permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list my_acl permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
access-list my_acl permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list my_acl permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
access-list my_acl permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0
…
global (outside) 1 interface
nat (inside) 0 access-list no_nat
route outside 0.0.0.0 0.0.0.0 х.х.х.х 1
…
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map mymap 18 ipsec-isakmp
crypto map mymap 18 match address my_acl
crypto map mymap 18 set pfs group2
crypto map mymap 18 set peer х.х.х.х
crypto map mymap 18 set transform-set myset
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address х.х.х.х netmask 255.255.255.0
isakmp identity address
isakmp log 20000
isakmp policy 15 authentication pre-share
isakmp policy 15 encryption 3des
isakmp policy 15 hash md5
isakmp policy 15 group 2
isakmp policy 15 lifetime 86400

Для остальных все тоже, изменяется только имя аксес листа с подсетью, myset, mymap №.
Может кто сталкивался?

Galagend, а у вас сервер хттп включен, ну судя по тому что пасс спрашивают да, но включена аутентификация какая ? попробуйте создать пользователя и добавить privilege 15
те user test password test privilege 15




Добавлено:
msdie15, очень странная ситуация.
Пробывали дебажить ?
Вообще рекомендовал бы проверить аскес листы, с обоих сторон, ну точнее со всторой стороны настройки длинка, поменять длинк. Пока идей нет

Sterh84, аксес листы впоряде, в филиале заменил все, сетевуху, кабель, длинк. Дело в циске, тестил из дома, таже фигня. Работают подсети с 201 по 220, дальше никак. Пробовал переводить филиал в 208 подсеть, все работает, вернул в 221 не работает. Еще смущает то, что впн подключений ровно 20, никих ограничений не может быть?

Кто-нибудь использует PIX OS 8.0(4) ( или 8.0.(4)32) в кластерной конфигурации? Есть какие-либо проблемы?

всем привет - есть такая проблема - не могу резрешить ping и snmp скажем на любой интерфейс - работает только для хостов которые на том же инетерфейсе


есть ASA 5510 - e0/0 e0/1 e0/2
как разрешить хосту на e0/0 пинговать все 3-и интерфейса ?
или как ему разрешить по snmp подключаться к любому их 3-ёх интерфейсов ?
стандартные правила не дают результата.


спасибо

slech, а можно немного поподробнее ? Дайте уровни безопасности интерфейсов и правила которые писали. Мне думется надо разрешить входящие правила и на этом все .. хотя эт мне только думается


Добавлено:
msdie15, ограничечня есть. Но в вашем случае я даже не знаю где посмотреть, разведаю подскажу.
но в общем надо запустить дебаг (debug crypto isakmp 7 ; debug crypto sa 7 ) там думаю проясниться.

Цитата:

slech, а можно немного поподробнее ? Дайте уровни безопасности интерфейсов и правила которые писали. Мне думется надо разрешить входящие правила и на этом все .. хотя эт мне только думается

К сожалению не все так просто.. там какая-то засада, но мне не до конца понятно какая. У меня тоже ASA 5510 и тоже были с этим нюансы. Если интересно, в понедельник выложу конфиг как раз где эта фишка не идеально, но работает. У меня была точно такая проблема. Условия: 4 сети. 1-я локалка - безопасность 100, 2-я - DMZ - 50 и два канала в интернет - уровень безопасности 0. Так вот, что я не делал пинги с хоста на внешние интерфейсы не ходили. Решение, парадокс но работает: Не считая всех остальных правил, кто куда может, разрешить на внешнем интерфейсе ( безопасность 0) исходящий!!!!! icmp от всех для всех. Все... Пинги пошли везде и от то всюду.

Теперь абсолютно дебильный вопрос
А я не хочу все пинги!!!! Я хочу избранные. Так вот, как я эти правила не менял, не работает. Я писал от локалки всем и от всех локалке. От локалки хосту, от всех в DMZ, и на оборот и т.д. Никакие из остальных вариантов у меня не заработали. Хотя если следовать логике, если я пингую с локалки(с моего компа) внешний интерфейс, и в правилах стоит на этом же внешнем интерфейсе разрешить все исходящие пинги с локальной сети для всех и все ответы от всех для этой локалки тоже разрешены. То почему это не работает, а разрешить всем ICMP работает??? Может из-за того, что на этом же внешнем интерфейсе NAT ??? И адреса уже преобразованные не попадают под правила.??? И вообще, на Unix я бы c большим удовольствием динамические правила написал, что если пинг вышел, то фаервол сам бы пустил ответ назад....а так все закрыто на вход для локальной сети. А здесь я даже не знаю как динамические правила организовывать.

yarasha
stateful механизм срабатывает когда включена инспекция icmp - т.е. он по логике должен пропустить ответ обратно - если было исходящее правило.

Добавлено:
Sterh84
завтра схемку абросаю - у меня этот вопрос давно очень весит нерешённым и сходу он точно не заводится.

Два офиса. В одном ASA 5510, в другом ASA 5505. Версия OS на обоих 8.2(1).
Пробую поднять Site-2-Site туннель, почти строго по доке LAN-to-LAN Tunnel Between ASA 5505 and ASA/PIX Configuration Example.

[more=Вывод комманд на обоих устройствах практически зеркален ]
gades# sh run tunnel-group
tunnel-group 80.x.x.x type ipsec-l2l
tunnel-group 80.x.x.x ipsec-attributes
pre-shared-key *
gades# sh run crypto ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
gades# sh run crypto isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
no crypto isakmp nat-traversal
gades# sh run crypto map
crypto map outside_map 1 match address 100
crypto map outside_map 1 set peer GUARD
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
gades# sh run access-list 100
access-list 100 extended permit ip 192.168.0.0 255.255.255.0 172.16.0.0 255.255.255.0

guard# sh run tunnel-group
tunnel-group 62.y.y.y type ipsec-l2l
tunnel-group 62.y.y.y ipsec-attributes
pre-shared-key *
guard# sh run crypto ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
guard# sh run crypto isakmp
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
no crypto isakmp nat-traversal
guard# sh run crypto map
crypto map outside_map 1 match address 100
crypto map outside_map 1 set peer GADES
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
guard# sh run access-list 100
access-list 100 extended permit ip 172.16.0.0 255.255.255.0 192.168.0.0 255.255.255.0

NAT для трафика между этиме сетями отключен

[/more]

Выполняю команды
debug crypto ipsec 255
debug crypto isakmp 255
clear log buffer
clear crypto isakmp sa
clear crypto ipsec sa
После чего с хоста из сети 172.16.0.0/24 делаю telnet на хост в сети 192.168.0.0/24. И тишина. Туннель не поднимается.

[more=Лог соединения]
gades# Aug 03 21:52:04 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 108
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, processing SA payload
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, Oakley proposal is acceptable
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, processing VID payload
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, Received Fragmentation VID
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, processing IKE SA payload
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 2
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, constructing ISAKMP SA payload
Aug 03 21:52:04 [IKEv1 DEBUG]: IP = 80.x.x.x, constructing Fragmentation VID + extended capabilities payload
Aug 03 21:52:04 [IKEv1]: IP = 80.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 104
Aug 03 21:52:12 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 21:52:12 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 21:52:12 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 104
Aug 03 21:52:20 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 21:52:20 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 21:52:20 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 104
Aug 03 21:52:28 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + NONE (0) total length : 104
Aug 03 21:52:28 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 21:52:28 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 21:52:28 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE MM Responder FSM error history (struct &0xd8d065d8) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_RESEND_MSG-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_TIMEOUT-->MM_WAIT_MSG3, NullEvent
Aug 03 21:52:28 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE SA MM:5ab6b178 terminating: flags 0x01000002, refcnt 0, tuncnt 0
Aug 03 21:52:28 [IKEv1 DEBUG]: IP = 80.x.x.x, sending delete/delete with reason message
Aug 03 21:52:28 [IKEv1]: IP = 80.x.x.x, Removing peer from peer table failed, no match!
Aug 03 21:52:28 [IKEv1]: IP = 80.x.x.x, Error: Unable to remove PeerTblEntry
[/more]

Поиски причины пока ни к чему не привели. Может кто знает куда копать?

Поигрался с настройками, [more=лог]
Aug 03 22:23:38 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 168
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing SA payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, Oakley proposal is acceptable
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing VID payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, Received NAT-Traversal ver 02 VID
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing VID payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, Received NAT-Traversal ver 03 VID
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing VID payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, Received NAT-Traversal RFC VID
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing VID payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, Received Fragmentation VID
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE Peer included IKE fragmentation capability flags: Main Mode: True Aggressive Mode: True
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, processing IKE SA payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE SA Proposal # 1, Transform # 1 acceptable Matches global IKE entry # 2
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, constructing ISAKMP SA payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, constructing NAT-Traversal VID ver 02 payload
Aug 03 22:23:38 [IKEv1 DEBUG]: IP = 80.x.x.x, constructing Fragmentation VID + extended capabilities payload
Aug 03 22:23:38 [IKEv1]: IP = 80.x.x.x, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Aug 03 22:23:46 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 22:23:46 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 22:23:46 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Aug 03 22:23:54 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Aug 03 22:23:54 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 22:23:54 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 22:23:54 [IKEv1]: IP = 80.x.x.x, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 124
Aug 03 22:24:02 [IKEv1]: IP = 80.x.x.x, Duplicate Phase 1 packet detected. Retransmitting last packet.
Aug 03 22:24:02 [IKEv1]: IP = 80.x.x.x, P1 Retransmit msg dispatched to MM FSM
Aug 03 22:24:02 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE MM Responder FSM error history (struct &0xd8d072f0) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG3, EV_RESEND_MSG-->MM_WAIT_MSG3, NullEvent-->MM_SND_MSG2, EV_SND_MSG-->MM_SND_MSG2, EV_START_TMR-->MM_SND_MSG2, EV_RESEND_MSG-->MM_WAIT_MSG3, EV_RESEND_MSG-->MM_WAIT_MSG3, NullEvent
Aug 03 22:24:02 [IKEv1 DEBUG]: IP = 80.x.x.x, IKE SA MM:17accd6f terminating: flags 0x01000002, refcnt 0, tuncnt 0
Aug 03 22:24:02 [IKEv1 DEBUG]: IP = 80.x.x.x, sending delete/delete with reason message
Aug 03 22:24:02 [IKEv1]: IP = 80.x.x.x, Removing peer from peer table failed, no match!
Aug 03 22:24:02 [IKEv1]: IP = 80.x.x.x, Error: Unable to remove PeerTblEntry[/more] изменился, но итог тот же. Соединение пытается установиться, но безуспешно.

rakis
у меня тоже такой тунель - рабочий:
[more=sh run]
ciscoasa5510# sh running-config tunnel-group
tunnel-group 44.xx.xx.xx type ipsec-l2l
tunnel-group 44.xx.xx.xx ipsec-attributes
pre-shared-key *
ciscoasa5510# sh running-config crypto ipsec
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
ciscoasa5510# sh running-config crypto isakmp
crypto isakmp enable Untrust
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
crypto isakmp policy 50
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp disconnect-notify

ciscoasa5510# sh running-config crypto map
crypto map Untrust_map 1 match address Untrust_cryptomap_1
crypto map Untrust_map 1 set pfs
crypto map Untrust_map 1 set peer 44.xx.xx.xx
crypto map Untrust_map 1 set transform-set ESP-AES-128-SHA
crypto map Untrust_map 1 set security-association lifetime seconds 28800
crypto map Untrust_map 1 set security-association lifetime kilobytes 4608000
crypto map Untrust_map interface Untrust

ciscoasa5510# sh running-config access-list Untrust_cryptomap_1
access-list Untrust_cryptomap_1 extended permit ip 10.0.2.0 255.255.255.0 192.168.13.0 255.255.255.0

################

ciscoasa5505# sh running-config tunnel-group
tunnel-group 77.xx.xx.xx type ipsec-l2l
tunnel-group 77.xx.xx.xx ipsec-attributes
pre-shared-key *

ciscoasa5505# sh running-config crypto ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

ciscoasa5505# sh running-config crypto isakmp
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800
crypto isakmp policy 20
authentication pre-share
encryption aes
hash sha
group 2
lifetime 28800
crypto isakmp policy 40
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 60
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 80
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
no crypto isakmp nat-traversal

ciscoasa5505# sh running-config crypto map
crypto map outside_map 1 match address outside_cryptomap_2
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 77.xx.xx.xx
crypto map outside_map 1 set transform-set ESP-AES-128-SHA
crypto map outside_map 1 set security-association lifetime seconds 28800
crypto map outside_map 1 set security-association lifetime kilobytes 4608000

ciscoasa5505# sh running-config access-list outside_cryptomap_2
access-list outside_cryptomap_2 extended permit ip object-group NL_LAN object-group XX_DMZ

[/more]