Forum

asa cisco ve junipe...
 
Bildirimler
Hepsini Temizle

asa cisco ve juniper ssg20 arasında ipsec site to side vpn bağlantı sorunu

3 Yazılar
3 Üyeler
0 Reactions
715 Görüntüleme
(@Ayhankiziloglu)
Gönderiler: 30
Trusted Member
Konu başlatıcı
 

Merhaba arkadaşlar

 

juniper ssg20 ve asa cisco arasında vpn yapmak istiyorum fakat paketlerde bir engelleme oluyor ve vpn bir türlü yapamadım

loglara bakınca tunnel up diyor 1 dakika sonra düşen logda ise tünnel down diyor

ve aşağıdaki hata loglarını alıyorum

 

2014-01-18 17:09:49 info IKE 212.174.5.238 Phase 2 msg ID 034dad47: Completed negotiations with SPI 3afee5c1, tunnel ID 4, and lifetime 3600 seconds/10 KB.
2014-01-18 17:09:49 info IKE 212.174.5.238 phase 2:The symmetric crypto key has been generated successfully.
2014-01-18 17:09:49 info IKE 212.174.5.238 Phase 2: Initiated negotiations.

 

bilgisi olan arkadaşlar yardımcı olursanız çok memnun olurum

 

saygılarımla 

 
Gönderildi : 18/01/2014 19:02

(@seyitozgur)
Gönderiler: 219
Estimable Member
 

Down olduğundada aldığın logu gönderebilirsen, daha kolay cevap verelim.

Ayrıca Phase 1 ve Phase 2 'yi custom yapman gerekebilir. Juniper'in üzerindeki olanlarla Cisco ASA'nin süreleri uyuşmuyor olabilir.

Logları daha ayrıntılı gönderebilirsen cevap verelim. 

 
Gönderildi : 20/01/2014 20:02

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

SSG'de faz 1 de lifetime 28800, faz 2 de 3600 second. bunlar ASA tarafında da aynı mı ? kontrol eder misinzi. aşağıda aktif çalışan bir ssg'den alınmış ipsec vpn tunel tanımlarını örnek olarka inceleyeibilirsiniz..

set interface tunnel.1 ip unnumbered interface ethernet0/2 ( wan interface'm )

set address "Untrust" "192.168.1.0/24" 192.168.1.0 255.255.255.0 ( remote erişeceğim network ü  tanımlıyoruz )

unset ike policy-checking
set ike gateway "Dc_Sites_Gw" address 212.174.5.238 Main outgoing-interface "ethernet0/2" preshare "Yxn4==hashlenmiskey" proposal "pre-g2-3des-sha"
set ike respond-bad-spi 1
set ike ikev2 ike-sa-soft-lifetime 60
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set vpn "DC_Sites_VPNS" gateway "Dc_Sites_Gw" no-replay tunnel idletime 0 proposal "nopfs-esp-3des-sha"
set vpn "DC_Sites_VPNS" monitor optimized rekey
set vpn "DC_Sites_VPNS" id 0x1 bind interface tunnel.1
set vpn "DC_Sites_VPNS" dscp-mark 0

 
Gönderildi : 20/01/2014 20:13

Paylaş: