IPSEC между Cisco 871 и pfSense поднят, но ping не идет



  • Доброе время, уважаемые!
    Настройки IPSEC стандартные, работают с другой сетью. Межсетевой экран / Правила / IPsec - у меня стоят все разрешения.
    С подобным конфигом с другим офисом канал есть, пинг идет... Но в данном случае засада.
    Куда копать не знаю... Хелп, плс!

    router#sh crypto session detail

    Crypto session current status

    Code: C - IKE Configuration mode, D - Dead Peer Detection
    K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
    X - IKE Extended Authentication, F - IKE Fragmentation

    Interface: FastEthernet4
    Uptime: 00:48:10
    Session status: UP-ACTIVE
    Peer: 88.88.88.88 port 500 fvrf: (none) ivrf: (none)
    Phase1_id: 88.88.88.88
    Desc: (none)
    IKE SA: local 11.11.11.11/500 remote 88.88.88.88/500 Active
    Capabilities:(none) connid:2001 lifetime:02:11:49
    IPSEC FLOW: permit ip 192.168.155.0/255.255.255.0 192.168.215.0/255.255.255.0
    Active SAs: 4, origin: crypto map
    Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4532256/3590
    Outbound: #pkts enc'ed 495 drop 0 life (KB/Sec) 4532255/3590

    При этом:
    88.88.88.88 - pfSense
    11.11.11.11 - Cisco



  • @SergKosh Здр
    Откуда и куда не идет пинг ?????
    От 155.0 к 215.0 или наоборот ???
    Чтобы попробовать понять проблему для начала покажите настройки фазы 2 pfsense и фазы 2 cisco (acl я вижу) + покажите правила ipsec интерфейса pf + правила lan интерфейса pf
    Попробуйте начать бесконечный ping со стороны pf (на любом хосте из 215.0- не pfsense) и одновременно с этим запустите packet capture на wan интерфейсе ( или tcpdump в консоли и посмотрите , уходят ли esp пакеты в сторону cisco )

    Видеть в идеале Вы должны вот такое

    tcpdump -nettti igb0 esp
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes
     00:00:00.000000 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2dea), length 104
     00:00:00.466163 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2deb), length 104
     00:00:00.052610 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 122: XXXX.XXX.XXX.XX > ZZ.ZZZ.ZZZ.ZZZ: ESP(spi=0xc4d8c098,seq=0x1b4cc), length 88
     00:00:00.061381 00:90:1a:a3:be:e1 > 00:08:a2:0a:ff:72, ethertype IPv4 (0x0800), length 138: YY.YYY.YYY.YY >  XXXX.XXX.XXX.XX: ESP(spi=0xc0ecc541,seq=0x3689), length 104
    

    Меня смущает вот это
    Active SAs: 4, origin: crypto map

    почему 4 - должно быть 2




Log in to reply