Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    IPSEC между Cisco 871 и pfSense поднят, но ping не идет

    Russian
    3
    3
    108
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      SergKosh last edited by

      Доброе время, уважаемые!
      Настройки IPSEC стандартные, работают с другой сетью. Межсетевой экран / Правила / IPsec - у меня стоят все разрешения.
      С подобным конфигом с другим офисом канал есть, пинг идет... Но в данном случае засада.
      Куда копать не знаю... Хелп, плс!

      router#sh crypto session detail

      Crypto session current status

      Code: C - IKE Configuration mode, D - Dead Peer Detection
      K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
      X - IKE Extended Authentication, F - IKE Fragmentation

      Interface: FastEthernet4
      Uptime: 00:48:10
      Session status: UP-ACTIVE
      Peer: 88.88.88.88 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 88.88.88.88
      Desc: (none)
      IKE SA: local 11.11.11.11/500 remote 88.88.88.88/500 Active
      Capabilities:(none) connid:2001 lifetime:02:11:49
      IPSEC FLOW: permit ip 192.168.155.0/255.255.255.0 192.168.215.0/255.255.255.0
      Active SAs: 4, origin: crypto map
      Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4532256/3590
      Outbound: #pkts enc'ed 495 drop 0 life (KB/Sec) 4532255/3590

      При этом:
      88.88.88.88 - pfSense
      11.11.11.11 - Cisco

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @SergKosh last edited by Konstanti

        @SergKosh Здр
        Откуда и куда не идет пинг ?????
        От 155.0 к 215.0 или наоборот ???
        Чтобы попробовать понять проблему для начала покажите настройки фазы 2 pfsense и фазы 2 cisco (acl я вижу) + покажите правила ipsec интерфейса pf + правила lan интерфейса pf
        Попробуйте начать бесконечный ping со стороны pf (на любом хосте из 215.0- не pfsense) и одновременно с этим запустите packet capture на wan интерфейсе ( или tcpdump в консоли и посмотрите , уходят ли esp пакеты в сторону cisco )

        Видеть в идеале Вы должны вот такое

        tcpdump -nettti igb0 esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0, link-type EN10MB (Ethernet), capture size 262144 bytes
 00:00:00.000000 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2dea), length 104
 00:00:00.466163 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 138: XXXX.XXX.XXX.XX > YY.YYY.YYY.YY: ESP(spi=0xc122c51e,seq=0x2deb), length 104
 00:00:00.052610 00:08:a2:0a:ff:72 > 00:90:1a:a3:be:e1, ethertype IPv4 (0x0800), length 122: XXXX.XXX.XXX.XX > ZZ.ZZZ.ZZZ.ZZZ: ESP(spi=0xc4d8c098,seq=0x1b4cc), length 88
 00:00:00.061381 00:90:1a:a3:be:e1 > 00:08:a2:0a:ff:72, ethertype IPv4 (0x0800), length 138: YY.YYY.YYY.YY >  XXXX.XXX.XXX.XX: ESP(spi=0xc0ecc541,seq=0x3689), length 104

        Меня смущает вот это
        Active SAs: 4, origin: crypto map

        почему 4 - должно быть 2

        1 Reply Last reply Reply Quote 0
        • werter
          werter last edited by

          https://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/

          1 Reply Last reply Reply Quote 0
          • First post
            Last post