IPSEC между Cisco 871 и pfSense поднят, но ping не идет
-
Доброе время, уважаемые!
Настройки IPSEC стандартные, работают с другой сетью. Межсетевой экран / Правила / IPsec - у меня стоят все разрешения.
С подобным конфигом с другим офисом канал есть, пинг идет... Но в данном случае засада.
Куда копать не знаю... Хелп, плс!router#sh crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE FragmentationInterface: FastEthernet4
Uptime: 00:48:10
Session status: UP-ACTIVE
Peer: 88.88.88.88 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 88.88.88.88
Desc: (none)
IKE SA: local 11.11.11.11/500 remote 88.88.88.88/500 Active
Capabilities:(none) connid:2001 lifetime:02:11:49
IPSEC FLOW: permit ip 192.168.155.0/255.255.255.0 192.168.215.0/255.255.255.0
Active SAs: 4, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4532256/3590
Outbound: #pkts enc'ed 495 drop 0 life (KB/Sec) 4532255/3590При этом:
88.88.88.88 - pfSense
11.11.11.11 - Cisco -
@SergKosh Здр
Откуда и куда не идет пинг ?????
От 155.0 к 215.0 или наоборот ???
Чтобы попробовать понять проблему для начала покажите настройки фазы 2 pfsense и фазы 2 cisco (acl я вижу) + покажите правила ipsec интерфейса pf + правила lan интерфейса pf
Попробуйте начать бесконечный ping со стороны pf (на любом хосте из 215.0- не pfsense) и одновременно с этим запустите packet capture на wan интерфейсе ( или tcpdump в консоли и посмотрите , уходят ли esp пакеты в сторону cisco )Видеть в идеале Вы должны вот такое
tcpdump -nettti igb0 esp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes 00:00:00.000000 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2dea), length 104 00:00:00.466163 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2deb), length 104 00:00:00.052610 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 122: XXXX.XXX.XXX.XX > ZZ.ZZZ.ZZZ.ZZZ: ESP(spi=0xc4d8c098,seq=0x1b4cc), length 88 00:00:00.061381 00:90:1a:a3:be:e1 > 00:08:a2:0a:ff:72, ethertype IPv4 (0x0800), length 138: YY.YYY.YYY.YY > XXXX.XXX.XXX.XX: ESP(spi=0xc0ecc541,seq=0x3689), length 104
Меня смущает вот это
Active SAs: 4, origin: crypto mapпочему 4 - должно быть 2
-
https://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/