![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
лучшее - враг хорошего
2018-May-29, Tuesday 11:43когда-то Cisco выпускало PIX'ы. у нас было штук сто 506E. 5 лет назад прекратилась их поддержка - перешли на ASA 5505. а теперь уже и 5505 не сыщешь - принесли мне 5506 на замену. а тут как раз 5505 выгорел в отделении. настроил я 5506, поставил - нет связи с центром.
достал из списанных PIX 506E, поставил временно - прекрасно завелся!
пошел разбираться с 5506. вроде всё по букварю сделано, а связи нет. погуглил ругань из логов - давно народ с этим бьется. и каждый раз кто-то что-то забыл прописать. ну и я следом: проверил 100500 раз свои настройки - нет, всё на месте, ничего не забыл.
в инсайде стоит ноут с пингом в сеть HQ. пинги не проходят.
ASA 5506 пишет:
IKEv1 was unsuccessful at setting up a tunnel. Map Tag = map. Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA.
All configured IKE versions failed to establish the tunnel.
смотришь на туннель, пишет: Type: user, а должно быть L2L.
может простоять так час, а потом вдруг тип становится как надо: L2L, но пинги все равно не идут. и к ругани в логах, которая выше, еще добавляется:
IP = (HQ-tun-IP), Header invalid, missing SA payload! (next payload = 4)
sh conn показывает при этом, что есть соединение.
ACL на туннеле показывает счетчик в 2 раза больший, чем на инсайдовом интерфейсе.
NAT аналогично:
translate_hits = 9719, untranslate_hits = 3981
решил я попробовать ASDM. может я отстал от жизни, и в CLI чего-то не хватает? а ASDM требует JAVA. день бился с ней на линуксе - ни в какую не запускается. решил притащить из дома ноут с виндой - Cisco же винду обожает. дома включил ноут - он у меня всю ночь обновлялся! стал на нем JAVA ставить - а она человеческим языком пишет: Хром не поддерживает, Сафари не поддерживает. т.е. ТОЛЬКО винду. да и винду-то - ТОЛЬКО лохматый IE! ладно хоть в Edge есть режим IE...
ну вот зашел на эту ASA 5506 через ASDM - хрентотам: ничего нового для себя не обнаружил. только дополнительные глюки: выполнил по шагам то что визард велел, нажимаю "сохранить", а оно мне говорит: вы не разрешили доступ через порт "inside", если сохраните эту конфигурацию, то не сможете зайти через существующее подключение. блин! ну ладно, добавил разрешение для inside. сохраняю конфиг, а оно ругается уже из самой ASA: нет такого порта inside. суть в том, что порт-то такой есть, но он не физический, а BVI. и через CLI - да, оно мне не давало inside прописывать. плюнул на ругань ASDM, сохранил, доступ не пропал. сравнил конфиги: мой, и который визард от ASDM наваял - никаких отличий! зря время потратил на траходром с виндой и ADSM!
щас сижу, не знаю что делать - на поставщиков наезжать? что за хрень у них там происходит?
вообще, с момента прекращения поддержки PIX у них (у cisco) каждый год правила для ASA менялись! но до такого ступора, как щас, никогда не доходило.
достал из списанных PIX 506E, поставил временно - прекрасно завелся!
пошел разбираться с 5506. вроде всё по букварю сделано, а связи нет. погуглил ругань из логов - давно народ с этим бьется. и каждый раз кто-то что-то забыл прописать. ну и я следом: проверил 100500 раз свои настройки - нет, всё на месте, ничего не забыл.
в инсайде стоит ноут с пингом в сеть HQ. пинги не проходят.
ASA 5506 пишет:
IKEv1 was unsuccessful at setting up a tunnel. Map Tag = map. Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA.
All configured IKE versions failed to establish the tunnel.
смотришь на туннель, пишет: Type: user, а должно быть L2L.
может простоять так час, а потом вдруг тип становится как надо: L2L, но пинги все равно не идут. и к ругани в логах, которая выше, еще добавляется:
IP = (HQ-tun-IP), Header invalid, missing SA payload! (next payload = 4)
sh conn показывает при этом, что есть соединение.
ACL на туннеле показывает счетчик в 2 раза больший, чем на инсайдовом интерфейсе.
NAT аналогично:
translate_hits = 9719, untranslate_hits = 3981
решил я попробовать ASDM. может я отстал от жизни, и в CLI чего-то не хватает? а ASDM требует JAVA. день бился с ней на линуксе - ни в какую не запускается. решил притащить из дома ноут с виндой - Cisco же винду обожает. дома включил ноут - он у меня всю ночь обновлялся! стал на нем JAVA ставить - а она человеческим языком пишет: Хром не поддерживает, Сафари не поддерживает. т.е. ТОЛЬКО винду. да и винду-то - ТОЛЬКО лохматый IE! ладно хоть в Edge есть режим IE...
ну вот зашел на эту ASA 5506 через ASDM - хрентотам: ничего нового для себя не обнаружил. только дополнительные глюки: выполнил по шагам то что визард велел, нажимаю "сохранить", а оно мне говорит: вы не разрешили доступ через порт "inside", если сохраните эту конфигурацию, то не сможете зайти через существующее подключение. блин! ну ладно, добавил разрешение для inside. сохраняю конфиг, а оно ругается уже из самой ASA: нет такого порта inside. суть в том, что порт-то такой есть, но он не физический, а BVI. и через CLI - да, оно мне не давало inside прописывать. плюнул на ругань ASDM, сохранил, доступ не пропал. сравнил конфиги: мой, и который визард от ASDM наваял - никаких отличий! зря время потратил на траходром с виндой и ADSM!
щас сижу, не знаю что делать - на поставщиков наезжать? что за хрень у них там происходит?
вообще, с момента прекращения поддержки PIX у них (у cisco) каждый год правила для ASA менялись! но до такого ступора, как щас, никогда не доходило.
