[uanog] Problem with racoon

30 Jan 2005

      Добрый день!

Есть связка

       Cisco 831<--AES256-->racoon<-AES256->Checkpoint VPN-1
          |                   |                  |
  192.168.38.32/27     192.168.38.0/27     150.0.0.0/16

Проблема заключается в следущем:
Находясь в сети 192.168.38.32/27 если я пытаюсь послать пакетик на сеть 
192.168.38.0/27 IPSEC поднимается и в этом направлении все работает. 
Пытаюсь слать пакетик на 150.0.0.0/16 - тишина. Чищу крипто мапу на 
роутере. Шлю пакетик снова на 150.0.0.0/16. Все работает с точностью до 
наоборот-не ходит траффик в сторону 192.168.38.0/27. Вот мой конфиг racoonа:

         remote 
       {
         exchange_mode main; # For Firewall-1 Aggressive mode
         nonce_size 16;
         lifetime time 1440 min;   # sec,min,hour
         initial_contact on;
         support_mip6 on;
         proposal_check obey;    # obey, strict or claim

         proposal {
                 encryption_algorithm aes 256;
                 hash_algorithm md5;
                 authentication_method pre_shared_key;
                 dh_group 2 ;
                  }
       }

         remote 
         {
         exchange_mode main;
         nonce_size 16;
         lifetime time 1440 min;   # sec,min,hour
         initial_contact on;
         support_mip6 on;
         proposal_check obey;    # obey, strict or claim

         proposal {
         encryption_algorithm aes 256;
         hash_algorithm md5;
         authentication_method pre_shared_key;
         dh_group 2 ;
                 }
         }

         sainfo address 192.168.38.0/24 any address 150.0.0.0/16 any
         {
         pfs_group 2;
         lifetime time 3600 sec;
         encryption_algorithm aes 256;
         authentication_algorithm hmac_md5;
         compression_algorithm deflate ;
         }

         sainfo address 192.168.38.0/27 any address 192.168.38.32/27 any
         {
         pfs_group 2;
         lifetime time 3600 sec;
         encryption_algorithm aes 256;
         authentication_algorithm hmac_md5;
         compression_algorithm deflate ;
         }

        sainfo address 150.0.0.0/16 any address 192.168.38.32/27 any
        {
        pfs_group 2;
        lifetime time 3600 sec;
        encryption_algorithm aes 256;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate ;
        }

  Вот конфиг с роутера Cisco 831 относяшийся к IPSECу:
crypto isakmp policy 1
  encr aes 256
  hash md5
  authentication pre-share
  group 2
crypto isakmp key <key> address <адресс racoonа>

crypto isakmp peer address <адресс racoonа>

crypto ipsec transform-set trans1 esp-aes 256 esp-md5-hmac

crypto map CRYPTO1 10 ipsec-isakmp
  set peer <адрес racoonа>
  set transform-set trans1
  set pfs group2
  match address 199

interface Ethernet1
ip address <адрес cisco 831>
crypto map CRYPTO1

access-list 199 permit ip 192.168.38.32 0.0.0.31 192.168.38.0 0.0.0.31
access-list 199 permit ip 192.168.38.32 0.0.0.31 150.0.0.0 0.0.255.255

Подскажите плз как проблему эту полечить.
Заранее благодарен.

-- 
С уважением
Андрей Логинов.

===================================================================
uanog mailing list.
To Unsubscribe: send mail to majordomo@uanog.kiev.ua
with "unsubscribe uanog" in the body of the message

[uanog] Problem with racoon

Andrey Loginov