ASA与SSG建立L2L VPN排错一例

背景：客户要求使用ASA与公司的SSG防火墙建立L2L VPN

难点：虽然对两种防火墙非常熟悉，但是还没有做过这两个防火墙互通的配置

但是客户可不会听你的解释，给你时间研究；只能硬着头皮上了，幸运的是ASA的配置权限也在我这，这样排错什么的就方便了。

ASA配置：没有特别要说明的和普通ASA与ASA建立L2L一样

access-list acl_l2l extended permit ip 10.10.1.0 255.255.255.0 host 172.16.1.1

access-list nonat extended permit ip 10.10.1.0 255.255.255.0 host 172.16.1.1

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map vpn 10 match address acl_l2l

crypto map vpn 10 set peer x.x.x.x

crypto map vpn 10 set transform-set myset

crypto map vpn 10 set security-association lifetime seconds 28800

crypto map vpn 10 set security-association lifetime kilobytes 4608000

crypto map vpn interface outside

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

tunnel-group x.x.x.x type ipsec-l2l

tunnel-group x.x.x.x ipsec-attributes

pre-shared-key *

*****************************************************************************

SSG配置与正常的ipsec vpn配置一样没什么特殊的首先定义gateway中的一阶段参数其次定义第二阶段参数，图形化界面非常简单；不再赘述。本例中模式使用Main

配置完成后问题来了：

show cry isakmp sa

显示信息如下

IKE Peer: x.x.x.x
Type : L2L Role : initiator
Rekey : no State : MM_WAIT_MSG6

根据IKE协商状态的定义，MM_WAIT_MSG6表示PSK密钥不匹配，但是我能够确保预共享密钥是匹配的，又让我百思不得其解。反复查看了SSG的配置，灵光一闪，第一阶段ASA有个参数没有配置，修改后VPN就立即起来了。

这个命令就是isakmp identity address

因为在SSG上配置了使用对方地址作为标识，ASA上也必须这么配置，否则就会一直卡在MSG6.

ASA与SSG建立L2L VPN排错一例

时间： 2024-10-20 19:15:02

ASA与SSG建立L2L VPN排错一例的相关文章

ASA L2L VPN 排错一例

客户ASA与公司ASA建立l2l vpn 配置么无外乎就那些但是vpn一直无法建立 show cry isa sa 显示 IKE Peer: x.x.x.x Type : user Role : initiator Rekey : no State : MM_WAIT_MSG2 在本端ASA上开启了debug cry isa sa 显示报错如下 IP = X.X.X.X ,Removing peer from p

如何在ASA防火墙上实现ipsec vpn

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec vpn故障排查 ②如何在ASA防火墙上配置ipsec VPN ③防火墙与路由器配置ipsec VPN的区别说明:在ASA防火墙配置ipsec VPN与路由器的差别不是很大,而且原理相同,就是个别命令不一样. 一.ipsec VPN故障排查 1.show crypto isakmp sa命令通过这

ROS IPsec L2L VPN搭建

ROS IPsec L2L VPN搭建: 测试环境: Side-One PC-ONE: 192.168.214.10 255.255.255.0 192.168.214.20 Router-One: Ether1:10.10.0.1 Ether2:192.168.214.20 Side-Two PC-TWO: 172.16.100.10 255.255.255.0 172.16.100.20 Router-Two: Ether1:10.20.0.1 Ether2:172.16.100.20 环境

SRX与NetScreen建立Site-to-Site VPN问题

PS:很久又没有更新过了,刷一下存在感吧. SRX与NetScreen之间建立点对点VPN的配置其实和普通的SRX与SRX之间或者NetScreen与NetScreen之间的配置一样,没有什么特别的地方,但是这次在做一个SRX与NetScreen之间的VPN时遇到了点问题. VPN做好后,在Netscreen侧出现如下错误提示: 2014-09-22 11:39:46 info Rejected an IKE packet on ethernet0/0 from x.x.x.x::500 to

thinkphp3.2开发排错一例——当APP的值变化后，需要删除缓存~runtime.php文件

经过是这样的: 在根目录下建立了一个文件夹weixin,之前通过www.domain.com/weixin访问,后来想改成二级域名weixin.domain.com访问,但通过U方法生成的路径中仍含有weixin/,通过输出__APP__的值发现也带weixin/,删除缓存~runtime.php文件后解决问题 thinkphp3.2开发排错一例--当__APP__的值变化后,需要删除缓存~runtime.php文件,布布扣,bubuko.com

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息二.创建vpn第二阶段配置信息说明:好像vpn两端配置的源地

使用TMG 2010建立IPSec VPN

1．概述 1.1. 前言在跨地域的网络环境之间,建立无需拨号连接的VPN连接.在没有点对点专线.硬件VPN设备等条件下,是否可以使用软件来实现? 本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec VPN. 1.2. 网络拓扑拓扑说明 A站: ? 局域网内有1个子网10.2.4.0/24 ? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG ? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火

ASA防火墙上配置IPSEC VPN和SSL VPN

二:实验要求:1:PC1属于上海分公司内网主机,PC2属于总公司主机.要求上海分公司的用户直接可以和总公司的PC2通信.(Site-to-Site IPSEC VPN实现) 2:公网上用户可以访问总公司的OA服务器PC2.(SSL VPN实现)三:配置过程:1:基本配置:ASA1(config)# int e0/1ASA1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.A

2012 R2 Active Directory NTFRS复制问题排错一例

故障现象: 场景中若干台域控服务器的组策略文件复制出现问题.由于是真实环境截图,水印较多见谅. 使用dcdiag的时候会有提示NTFRS复制问题,要求管理员查看Q312862 事件Event ID 13562,此nTFRSMember对象 cn=域控计算机名,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=contoso,dc=com的属性ServerReference有一个无效的值.