Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Jozef 13. 05. 2013, 11:34:09

Název: Cisco SA 520 a IPSEC
Přispěvatel: Jozef 13. 05. 2013, 11:34:09

Dobry den,

  mam problem s IPSEC medzi dvoma zariadeniamy ineho vyrobcu. Jedno je Fortigate 60C a druhe CISCO 520SA. Problem je v tom, ze nemozem vytvorit IPSEC tunnel medzi nimy. Toto mi pada do logu:

Mon May 13 10:27:20 2013 (GMT +0100): [Cisco] [IKE] INFO:  Beginning Identity Protection mode.
Mon May 13 10:27:20 2013 (GMT +0100): [Cisco] [IKE] INFO:   [isakmp_ident.c:185]: XXX: NUMNATTVENDORIDS: 3
Mon May 13 10:27:20 2013 (GMT +0100): [Cisco] [IKE] INFO:   [isakmp_ident.c:189]: XXX: setting vendorid: 4
Mon May 13 10:27:20 2013 (GMT +0100): [Cisco] [IKE] INFO:   [isakmp_ident.c:189]: XXX: setting vendorid: 8
Mon May 13 10:27:20 2013 (GMT +0100): [Cisco] [IKE] INFO:   [isakmp_ident.c:189]: XXX: setting vendorid: 9
Mon May 13 10:27:51 2013 (GMT +0100): [Cisco] [IKE] ERROR:  Invalid SA protocol type: 0
Mon May 13 10:27:51 2013 (GMT +0100): [Cisco] [IKE] ERROR:  Phase 2 negotiation failed due to time up waiting for phase1.

Stretli ste sa uz s tym niekto. Neaky napad, rada pomoc? Dakujem...

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Rhinox 13. 05. 2013, 12:43:36

Rekl bych, ze tohle je docela castej pripad, ze zarizeni od jinejch vyrobcu jaksi spolu nedovedou komunikovat, nebo jenom omezene. Nekdy jde o jasnej umysl: To se skratka prida k standardu naka ta "extensions", tim donutime klienta koupit si vsechno jen od nas. Jeste ze treba Cisco dava k dispozici alespon vlastniho vpn-klienta pro komunikaci s jejich SA (jen se obavam, ze Fortinet podporovan neni)...

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Jozef 13. 05. 2013, 12:49:07

Rhinox, dakujem za tip. Len dufam, ze to nebude nas pripad, inak ma cakaju krusne chvile...  :(

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: DgBd 13. 05. 2013, 13:02:59

Tak pokud se nepletu, tak Cisco 520 SA neexistuje. Existuje Cisco ASA-5020. Dál je to bez minimálně části konfigurace úplně k ničemu.

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Radek 13. 05. 2013, 13:05:53

Šlo by poslat z Cisca log po příkazu debug crypto isakmp a pokusu o navázání VPN? Tam by mohlo být vidět proč se IPSec nespojí, obyvkle to bývá díky tomu, že se nenajde společná politika pro výměnu klíčů. Doporučuji nastavit politiku pro výměnu klíčů následovně na obou zařízeních: 3des, sha1, group2. Vlastní šifrování nastavit na 3des + sha1 s tím by se to mělo spojit, takhle mě chodí Linux proti Ciscu bez problémů.

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Jozef 13. 05. 2013, 13:23:49

Nuz, priatelia cisco sa520 je taky mensi "podivin" neni to klasicky router, ale skor firewall a neposkytuje klasicky pristup (cez ssh, alebo telnet) je to skor jednoduche "klikatko", tu je k tomu neaky navod: http://www.cisco.com/en/US/docs/security/multi_function_security/multi_function_security_appliance/sa_500/administration/guide/SA500_AG_OL1911404.pdf
Ked zistim ako zapnut debug a kde potom najdem logy, tak ich sem pastnem.

Dakujem za Vase rady a pomoc, naozaj si to velmi cenim.

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: majky358 14. 05. 2013, 13:09:20

Tiež som našiel, že to beží na nejakom linuxe bez CLI a konzolového portu... omg :) To už radšej PIX od cisca.
Hoď sem konfiguráciu, akú si nastavil na jednotlivých zariadeniach, podla toho vypísu bude problém v autentifikácií, i keď
podla poslednej vety z logu je tam time-up pri prvej fáze. Neviem ako to je pri tej 520, skontrolovať či je nastavený traffic, ktorý
pôjde cez VPN a potom to overovanie, prípadne skús vytvoriť iný typ aut. sady pre overovanie.

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Tom fi 15. 05. 2013, 10:51:29

Pro pomoc je málo informací... z toho co je vidět se neshodli na nějakých parametrech, takže zkusit poladit všechny parametry které můžeš, aby se shodovali. Pokud používáš DNS, tak bych zkusil vytvořit ten tunel přes IP adresy.

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Jozef 15. 05. 2013, 16:46:01

Prepacte tu dlhu dobu, ale mali sme velke problemy s tymto zariadenim... Cele to padalo, a nasa siet zazila tazku skusku...
Takze momentalny stav je, ze SA520 je v servise a my dostaneme novy-iny... Dodavatel uznal, ze takto to byt nemoze. V prvom rade neslo nastavit skoro nic.
Vlastne nastavit to slo, ale nefungovalo to...
Co sa tyka toho IPSEC, tak to sme neako ozeleli, ale aj napriek tomu, ze som ho uplne odstranil z konfigu stale sa snazil pripojit a do logu to hadzalo spuuuustu chyb. Ale ked zacal blbnut QoS, a vypadavat spojenie tak to uz bolo vela a poziadal som dodavatela aby sa na to prisiel pozriet, bez vahania to vzal na reklamaciu a dostaneme novy.
Otazka je teraz ze aky vziat? Podmienka ale je, ze to musi byt cisco, inak ho nevymeni.
Co by ste doporucili? Neake zakladne poziadavky:

samozrejme IPSEC
QoS
Content filtering

Dakujem

Název: Re:Cisco SA 520 a IPSEC
Přispěvatel: Rhinox 16. 05. 2013, 06:56:24

Cisco nedavno uvedlo na trh novou radu ASA 5500-X series next gen firewallu. Dokonce se daji koupit za nakou zavadeci cenu, ktera muze byt i nizsi nez u predesle serie. Zavisi samozrejme od toho co si aktivujete, treba "holatko" 5515-X se da koupit uz od 750€. Nema smysl kupovat starsi kusy ze serie 55xx, ta bude podporovana uz jenom rok nebo dva...