Мб совсем глупый вопрос, но зависит ли работа ipsec на cisco (asa/ios) от времени на устройстве? Достался продакшен с кривым временем, и видимо у меня от win-доменов паранойя осталась)))

Здравствуйте! Уже как больше недели назад нам провели новый канал связи от МГТСа (ONT терминал Sercomm RV6688BCM, который еле-еле сделали в режиме ';мост'; - заставили сделать провайдера, для того, чтобы получала наша Циса белый Ip-адрес), и вот я пытаюсь тоже уж более недели поднять между нашими отделениями фирмы VPN IKEv1 IPsec Site-to-Site туннель. Настраивала и с помощью визарда в АСДМ и ручками в CLI, итог один, соединение не поднимается. Версия Цысы 9.2(2), обпаз Цисы asa922-k8.bin, версия лицензии Security Plus, версия ASDM 7.2(2). Что делать, ума не приложу... Полный конфиг и дебаг прикладываю ниже. Помогите, чем можите, пожалуйста! Я уже совсем измучилась! Конфиг: Result of the command: ';sh run'; : Saved :: Serial Number: XXXXXXXXXXXX : Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz : ASA Version 9.2(2) ! hostname gate-71 enable password F6OJ0GOws7WHxeql encrypted names ip local pool vpnpool 10.1.72.100-10.1.72.120 mask 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 10.1.72.254 255.255.255.0 ! interface Vlan2 nameif outside_mgts security-level 0 ip address 62.112.100.R1 255.255.255.252 ! ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup inside dns server-group MGTS name-server 195.34.31.50 same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network obj_any subnet 0.0.0.0 0.0.0.0 object network NET72 subnet 10.1.72.0 255.255.255.0 object network obj-0.0.0.0 host 0.0.0.0 object network Nafanya host 10.1.72.5 object network obj-10.1.72.0 subnet 10.1.72.0 255.255.255.0 object network NET61 subnet 10.1.61.0 255.255.255.0 object network NETWORK_OBJ_10.1.72.96_27 subnet 10.1.72.96 255.255.255.224 object network NETT72 subnet 10.1.72.0 255.255.255.0 object network NET30 subnet 10.1.30.0 255.255.255.0 object network NETWORK_OBJ_10.1.72.0_24 subnet 10.1.72.0 255.255.255.0 object-group service OG-FROM-INET service-object icmp echo service-object icmp echo-reply service-object icmp traceroute service-object icmp unreachable service-object tcp-udp destination eq echo object-group network DM_INLINE_NETWORK_1 network-object object NET30 network-object object NET72 object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq https access-list inside_access_in extended permit ip object NET72 object-group DM_INLINE_NETWORK_1 access-list inside_access_in extended permit ip 10.1.72.0 255.255.255.0 any access-list inside_access_in extended permit ip object Nafanya any inactive access-list inside_access_in extended permit object-group OG-FROM-INET any any access-list inside_access_in extended permit ip any any access-list inside_access_in extended deny ip any any log alerts access-list outside_mgts_access_in extended permit object-group OG-FROM-INET any any access-list outside_mgts_access_in extended permit tcp any any object-group DM_INLINE_TCP_1 access-list outside_mgts_access_in extended deny ip any any log alerts access-list outside_mgts_cryptomap extended permit ip 10.1.72.0 255.255.255.0 object NET61 access-list VPN-ST_splitTunnelAcl standard permit 10.1.72.0 255.255.255.0 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside_mgts 1500 ip verify reverse-path interface outside_mgts no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside_mgts) source static NET72 NET72 destination static NETWORK_OBJ_10.1.72.96_27 NETWORK_OBJ_10.1.72.96_27 no-proxy-arp route-lookup nat (inside,outside_mgts) source static NETWORK_OBJ_10.1.72.0_24 NETWORK_OBJ_10.1.72.0_24 destination static NET61 NET61 no-proxy-arp route-lookup ! object network obj_any nat (inside,outside_mgts) dynamic obj-0.0.0.0 object network NET72 nat (inside,outside_mgts) dynamic interface dns access-group inside_access_in in interface inside access-group outside_mgts_access_in in interface outside_mgts route outside_mgts 0.0.0.0 0.0.0.0 62.112.100.R 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy no user-identity enable user-identity default-domain LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL http server enable http 10.1.72.0 255.255.255.0 inside no snmp-server location no snmp-server contact crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_mgts_map 1 match address outside_mgts_cryptomap crypto map outside_mgts_map 1 set pfs group1 crypto map outside_mgts_map 1 set peer 91.188.180.42 crypto map outside_mgts_map 1 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_mgts_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_mgts_map interface outside_mgts crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map inside_map interface inside crypto ca trustpoint ASDM_TrustPoint0 enrollment self email felix1988@mail.ru subject-name CN=gate-71 serial-number ip-address 62.112.100.42 proxy-ldc-issuer crl configure crypto ca trustpoint ASDM_TrustPoint1 enrollment self keypair ASDM_TrustPoint1 crl configure crypto ca trustpool policy crypto ca certificate chain ASDM_TrustPoint0 certificate eff26954 30820395 3082027d a0030201 020204ef f2695430 0d06092a 864886f7 0d010105 019 6460ae26 ec5f301d 0603551d 0e041604 14c9a3f2 d70e6789 38fa4b01 465d1964 60ae26ec 5f300d06 092a8648 86f70d01 01050500 03820101 00448753 7baa5c77 62857b65 d05dc91e 3edfabc6 7b3771af bbedee14 673ec67d 3d0c2de4 b7a7ac05 5f203a8c 98ab52cf 076401e5 1a2c6cb9 3f7afcba 52c617a5 644ece10 d6e1fd7d 28b57d8c aaf49023 2037527e 9fcfa218 9883191f 60b221bf a561f2be d6882091 0222b7a3 3880d6ac 49328d1f 2e085b15 6d1c1141 5f850e5c b6cb3e67 0e373591 94a82781 44493217 38097952 003d5552 5c445f1f 92f04039 a23fba20 b9d51b13 f511f311 d1feb2bb 6d056a15 7e63cc1b 1f134677 8124c024 3af56b97 51af8253 486844bc b1954abe 8acd7108 5e4212df 193b8167 db835d76 98ffdb2b 8c8ab915 0db3dd54 c8346b96 c4f4eff7 1e7cd576 a8b1f86e 3b868a6e 89 quit crypto ca certificate chain ASDM_TrustPoint1 certificate a39a2b54 30820377 3082025f a0030201 020204a3 9a2b5430 0d06092a 864886f7 0d010105 0500304b 3110300e 06035504 03130767 6174652d 36313137 30120603 55040513 c084dcd9 d250e194 abcb3eb8 1da93bd0 fb0dba1a b1c35b43 d547a841 5d4ee1a4 14bdb207 7dd790a4 0cd70471 5f3a896a 07bd56dc ea01b3dd 254cde88 e1490e97 f3e54c05 551adde0 66aa3782 c85880c2 b162ec29 4e49346a df71062d 6d6d8f49 62b9de93 ba07b4f7 a50e77e1 8f54b32b 6627cb27 e982b36f 362973a0 88de3272 9bd6d4d2 8ca1e11f 214f20a9 78bdea95 78fdc45c d6d45674 6acb9bcb d0bd930e 638eedfe cd559ab1 e1205c48 3ee9616f e631db55 e82b623c 434ffdc1 11020301 0001a363 3061300f 0603551d 130101ff 04053003 0101ff30 0e060355 1d0f0101 ff040403 02018630 1f060355 1d230418 30168014 0cea70bf 0d0e0c4b eb34a0b1 8242a549 5183ccf9 301d0603 551d0e04 1604140c ea70bf0d 0e0c4beb 34a0b182 42a54951 83ccf930 0d06092a 864886f7 0d010105 05000382 0101004e 7bfe054a d434a27c 1d3dce15 529bdc5f 70a2dff1 98975de9 96077966 2a97333b 05a8e9ef bf320cbd ecec3819 ade20a86 9aeb5bde bd129c7b 29341e4b edf91473 f2bf235d 9aaeae21 a629ccc6 3c79200b b9a89b08 4745a411 bf38afb6 ea56b957 4430f692 34d71fad 588e4e18 2b2d97af b2aae6b9 b6a22350 d031615b 49ea9b9f 2fdd82e6 ebd4dccd df93c17e deceb796 f268abf1 bd5f7b69 89183841 881409b5 f484f0e7 ebf7481c faf69d3e 9d24df6e 9c2b0791 785019f7 a0d20e95 2ef35799 66ffc819 4a77cdf2 c6fb4380 fe94c13c d4261655 7bf3d6ba 6289dc8b f9aad4e1 bd918fb7 32916fe1 477666ab c2a3d591 a84dd435 51711f6e 93e2bd84 89884c quit crypto isakmp identity address crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside_mgts client-services port 443 crypto ikev2 remote-access trustpoint ASDM_TrustPoint0 crypto ikev1 enable inside crypto ikev1 enable outside_mgts crypto ikev1 policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 40 authentication crack encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 60 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto ikev1 policy 70 authentication crack encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 90 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto ikev1 policy 100 authentication crack encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto ikev1 policy 130 authentication crack encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 crypto ikev1 policy 150 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 no ssh stricthostkeycheck ssh 10.1.72.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 vpnclient server 91.188.180.X vpnclient mode network-extension-mode vpnclient nem-st-autoconnect vpnclient vpngroup VPN-L2L password ***** vpnclient username aradetskayaL password ***** dhcpd auto_config outside_mgts ! dhcpd update dns both override interface inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ssl trust-point ASDM_TrustPoint0 inside ssl trust-point ASDM_TrustPoint0 outside_mgts webvpn enable outside_mgts group-policy GroupPolicy_91.188.180.X internal group-policy GroupPolicy_91.188.180.X attributes vpn-tunnel-protocol ikev1 group-policy VPN-ST internal group-policy VPN-ST attributes dns-server value 195.34.31.50 8.8.8.8 vpn-tunnel-protocol ikev1 split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN-ST_splitTunnelAcl default-domain none username aradetskayaL password HR3qeva85hzXT6KK encrypted privilege 15 tunnel-group 91.188.180.X type ipsec-l2l tunnel-group 91.188.180.X general-attributes default-group-policy GroupPolicy_91.188.180.42 tunnel-group 91.188.180.X ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 remote-authentication certificate ikev2 local-authentication pre-shared-key ***** tunnel-group VPN-ST type remote-access tunnel-group VPN-ST general-attributes address-pool vpnpool default-group-policy VPN-ST tunnel-group VPN-ST ipsec-attributes ikev1 pre-shared-key ***** ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error ! service-policy global_policy global prompt hostname context no call-home reporting anonymous Cryptochecksum:212e4f5035793d1c219fed57751983d8 : end Команда gate-71# sh crypto ikev1 sa There are no IKEv1 SAs Команда gate-71# sh crypto ikev2 sa There are no IKEv2 SAs Команда gate-71# sh crypto ipsec sa There are no ipsec sas Команда gate-71# sh crypto isakmp There are no IKEv1 SAs There are no IKEv2 SAs Global IKEv1 Statistics Active Tunnels: 0 Previous Tunnels: 0 In Octets: 0 In Packets: 0 In Drop Packets: 0 In Notifys: 0 In P2 Exchanges: 0 In P2 Exchange Invalids: 0 In P2 Exchange Rejects: 0 In P2 Sa Delete Requests: 0 Out Octets: 0 Out Packets: 0 Out Drop Packets: 0 Out Notifys: 0 Out P2 Exchanges: 0 Out P2 Exchange Invalids: 0 Out P2 Exchange Rejects: 0 Out P2 Sa Delete Requests: 0 Initiator Tunnels: 0 Initiator Fails: 0 Responder Fails: 0 System Capacity Fails: 0 Auth Fails: 0 Decrypt Fails: 0 Hash Valid Fails: 0 No Sa Fails: 0 IKEV1 Call Admission Statistics Max In-Negotiation SAs: 25 In-Negotiation SAs: 0 In-Negotiation SAs Highwater: 0 In-Negotiation SAs Rejected: 0 Global IKEv2 Statistics Active Tunnels: 0 Previous Tunnels: 0 In Octets: 0 In Packets: 0 In Drop Packets: 0 In Drop Fragments: 0 In Notifys: 0 In P2 Exchange: 0 In P2 Exchange Invalids: 0 In P2 Exchange Rejects: 0 In IPSEC Delete: 0 In IKE Delete: 0 Out Octets: 0 Out Packets: 0 Out Drop Packets: 0 Out Drop Fragments: 0 Out Notifys: 0 Out P2 Exchange: 0 Out P2 Exchange Invalids: 0 Out P2 Exchange Rejects: 0 Out IPSEC Delete: 0 Out IKE Delete: 0 SAs Locally Initiated: 0 SAs Locally Initiated Failed: 0 SAs Remotely Initiated: 0 SAs Remotely Initiated Failed: 0 System Capacity Failures: 0 Authentication Failures: 0 Decrypt Failures: 0 Hash Failures: 0 Invalid SPI: 0 In Configs: 0 Out Configs: 0 In Configs Rejects: 0 Out Configs Rejects: 0 Previous Tunnels: 0 Previous Tunnels Wraps: 0 In DPD Messages: 0 Out DPD Messages: 0 Out NAT Keepalives: 0 IKE Rekey Locally Initiated: 0 IKE Rekey Remotely Initiated: 0 CHILD Rekey Locally Initiated: 0 CHILD Rekey Remotely Initiated: 0 IKEV2 Call Admission Statistics Max Active SAs: No Limit Max In-Negotiation SAs: 50 Cookie Challenge Threshold: Never Active SAs: 0 In-Negotiation SAs: 0 Incoming Requests: 0 Incoming Requests Accepted: 0 Incoming Requests Rejected: 0 Outgoing Requests: 0 Outgoing Requests Accepted: 0 Outgoing Requests Rejected: 0 Rejected Requests: 0 Rejected Over Max SA limit: 0 Rejected Low Resources: 0 Rejected Reboot In Progress: 0 Cookie Challenges: 0 Cookie Challenges Passed: 0 Cookie Challenges Failed: 0 Global IKEv1 IPSec over TCP Statistics -------------------------------- Embryonic connections: 0 Active connections: 0 Previous connections: 0 Inbound packets: 0 Inbound dropped packets: 0 Outbound packets: 0 Outbound dropped packets: 0 RST packets: 0 Recevied ACK heart-beat packets: 0 Bad headers: 0 Bad trailers: 0 Timer failures: 0 Checksum errors: 0 Internal errors: 0 Команда gate-71# sh crypto protocol statistics all [IKEv1 statistics] Encrypt packet requests: 0 Encapsulate packet requests: 0 Decrypt packet requests: 0 Decapsulate packet requests: 0 HMAC calculation requests: 0 SA creation requests: 0 SA rekey requests: 0 SA deletion requests: 0 Next phase key allocation requests: 0 Random number generation requests: 0 Failed requests: 0 [IKEv2 statistics] Encrypt packet requests: 0 Encapsulate packet requests: 0 Decrypt packet requests: 0 Decapsulate packet requests: 0 HMAC calculation requests: 0 SA creation requests: 0 SA rekey requests: 0 SA deletion requests: 0 Next phase key allocation requests: 0 Random number generation requests: 0 Failed requests: 0 [IPsec statistics] Encrypt packet requests: 0 Encapsulate packet requests: 0 Decrypt packet requests: 0 Decapsulate packet requests: 0 HMAC calculation requests: 0 SA creation requests: 0 SA rekey requests: 0 SA deletion requests: 0 Next phase key allocation requests: 0 Random number generation requests: 0 Failed requests: 0 [SSL statistics] Encrypt packet requests: 19331 Encapsulate packet requests: 19331 Decrypt packet requests: 437 Decapsulate packet requests: 437 HMAC calculation requests: 19768 SA creation requests: 178 SA rekey requests: 0 SA deletion requests: 176 Next phase key allocation requests: 0 Random number generation requests: 0 Failed requests: 0 [SSH statistics are not supported][SRTP statistics] Encrypt packet requests: 0 Encapsulate packet requests: 0 Decrypt packet requests: 0 Decapsulate packet requests: 0 HMAC calculation requests: 0 SA creation requests: 0 SA rekey requests: 0 SA deletion requests: 0 Next phase key allocation requests: 0 Random number generation requests: 0 Failed requests: 0 [Other statistics] Encrypt packet requests: 0 Encapsulate packet requests: 0 Decrypt packet requests: 0 Decapsulate packet requests: 0 HMAC calculation requests: 6238 SA creation requests: 0 SA rekey requests: 0 SA deletion requests: 0 Next phase key allocation requests: 0 Random number generation requests: 76 Failed requests: 9 Команда gate-71# sh crypto ca trustpoints Trustpoint ASDM_TrustPoint0: Configured for self-signed certificate generation. Trustpoint ASDM_TrustPoint1: Configured for self-signed certificate generation.Если что-то нужно еще, то выложу! Пожалуйста, объясните, почему оно у меня не хочет работать?

Здравствуйте! Есть asa5505 9.2(2) Через wizard asdm настроен VPN anyconnect, но при попытке коннекта выдает адрес не отвечает. Пример конфига: Код: ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 webvpn enable outside no anyconnect-essentials anyconnect image disk0:/anyconnect-win-3.1.04072-k9.pkg 1 anyconnect enable tunnel-group-list enable group-policy GroupPolicy_test-vpn internal group-policy GroupPolicy_test-vpn attributes wins-server none dns-server value 8.8.8.8 vpn-tunnel-protocol ssl-client default-domain value test.com username test-vpn password YnJnfghhjjje9WWOu encrypted tunnel-group test-vpn type remote-access tunnel-group test-vpn general-attributes address-pool test-vpn-pool default-group-policy GroupPolicy_test-vpn tunnel-group test-vpn webvpn-attributes group-alias test-vpn enable Коннект происходит на внутренний адрес без проблем, внешний даже не отвечает ни по anyconnect ни по https из разных мест с разными ип. ACL на внешнем access-list outside_access_in extended permit ip any any Как быть? Заранее спасибо.

Привет! Стоит задача - организовать защищенный впн для около 500 удаленных офисов, для работы во внутренних ресурсах. Защита подключения: L2TP VPN + IpSec + radius + ежедневная аутентификация по sms. Посоветуйте, какую железку взять в качестве основы, хватит ли для 500 клиентов железки Cisco ASA5540 ? Вообще, я так понял, что для работы sms passcode нужно будет создавать соединение через цисковский Cisco VPN Client, и установить таким образом соединение на каком-нибудь стороннем роутере (например mikrotik) в удаленном офисе не получится. Выходит, каждый компьютер в удаленном офисе должен устанавливать свое соединение ?

Коллеги, кто-нибудь сталкивался с проблемой следующего типа: Есть ASA 9.2(2). На OUTSIDE интерфейсе поднят SSL VPN для Anyconnect. Юзеры из удаленной сети пытаются подрубиться и я наблюдаю следующую картину: - Windows 7 - ок - Android - ок - iphone/ipad - fail При этом, через браузер с них я спокойно логинуюсь. Дебаг вообще молчит. Anyconnect стоит с Apple Store.

Здравствуйте! Хотел запретить скачивать exe по http всем кроме системного администратора, выходит ошибка: Код: ERROR: Multiple match commands are not supported except for the 'match tunnel-group or default-inspect-traffic' command. Код: access-list user-acl-exe extended permit ip host 192.168.1.2 any http regex FILE_TYPE_EXE ';.+\.'; class-map type regex match-any BAD_FILES match regex FILE_TYPE_EXE class-map HTTP_TRAFFIC match port tcp eq http match access-list user-acl-exe policy-map type inspect http BLOCK_FILES parameters match request uri regex class BAD_FILES drop-connection policy-map INSIDE_POLICY class HTTP_TRAFFIC inspect http BLOCK_FILES service-policy INSIDE_POLICY interface inside Как можно исправить и можно ли вообще так делать?

ASA inside 20.20.20.5/24 router 20.20.20.1/24 host 20.20.20.20/24 host route 0.0.0.0-> 20.20.20.1 router route 10.10.10.0/24 ->20.20.20.5 forward route from host->router->ASA->10.10.10.0/24 receive route from 10.10.10.0/24->ASA->router->host как научить ASA 10.10.10.0/24->ASA->host ?

Всем доброго времени суток!!! Локальная сеть разбита на 2 сети, сеть с серверами 192.168.1.0\24 и сеть с юзерами 192.168.2.0\24. Такая ситуация возникла при пробросе порта во внешку (ip nat source static tcp 192.168.1.13 80 ххх.ххх.ххх.хх 80 extendable), подключится можно извне и из сети 192.168.1.0\24, А вот из сети 192.168.2.0\24 подключится не удается. вот конфиг с циски interface GigabitEthernet0/0 description LAN ip address 192.168.1.1 255.255.255.0 ip nat enable duplex auto speed auto ! interface GigabitEthernet0/0.2 description LAN_CLIENTS encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.1.8 ip nat enable ! interface GigabitEthernet0/1 description INTERNET-CTC ip address х.х.х.х ip access-group WAN-IN in ip nat enable ip virtual-reassembly in duplex auto speed auto ! ! ip nat source route-map CTC interface GigabitEthernet0/1 overload ip nat source static tcp 192.168.1.115 80 80.242.213.86 80 extendable ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 ! ip access-list extended CTC-NAT deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any ip access-list extended WAN-IN permit tcp any host x.x.x.x permit udp any host x.x.x.x eq 1701 permit ip any host x.x.x.x permit udp any eq 20014 any permit udp any eq ntp any ! route-map CTC permit 10 match ip address CTC-NAT match interface GigabitEthernet0/1

Посоветуйте какой дистрибутив/софт выбрать для организации тунеля от cisco 4849 до удаленной виртуальной машины. Шифрование не нужно только выход в интернет с ip виртуалки. Ожидается 40-60Mbps трафика.

доброго времени суток! Имеем один cisco 1801 и пару 871 конфа 1801 interface Tunnel8 ip address 172.8.1.1 255.255.255.252 ip mtu 1492 ip nat inside ip tcp adjust-mss 1360 tunnel source 92.50.133.22 tunnel destination 89.189.149.160 ! interface Tunnel1 ip address 172.1.1.1 255.255.255.0 ip mtu 1492 ip nat inside ip tcp adjust-mss 1360 tunnel source 92.50.133.22 tunnel destination 81.30.216.157 ! interface FastEthernet0 ip address 92.50.133.22 255.255.255.252 ip nat outside duplex auto speed auto ! interface Vlan1 ip address 192.168.9.50 255.255.255.0 ip nat inside ip tcp adjust-mss 1452 ! ip classless ip route 0.0.0.0 0.0.0.0 92.50.133.21 ip route 192.168.1.0 255.255.255.0 172.1.1.2 ip route 192.168.8.0 255.255.255.0 172.8.1.2 ! ip http server ip http authentication local ip http timeout-policy idle 5 life 86400 requests 10000 ip nat inside source list 1 interface FastEthernet0 overload ! access-list 1 permit 192.168.9.0 0.0.0.255 ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet line vty 5 15 privilege level 15 transport input telnet ! no scheduler allocate end первый 871 interface Tunnel8 ip address 172.8.1.2 255.255.255.252 ip mtu 1492 ip tcp adjust-mss 1360 tunnel source 89.189.149.160 tunnel destination 92.50.133.22 ! ! interface FastEthernet4 ip address 89.189.149.160 255.255.255.192 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Vlan1 ip address 192.168.8.50 255.255.255.0 ip nat inside ip virtual-reassembly ! ip classless ip route 0.0.0.0 0.0.0.0 89.189.149.129 ip route 192.168.9.0 255.255.255.0 172.8.1.1 ! ip nat inside source list 1 interface FastEthernet4 overload ! line con 0 no modem enable transport preferred all transport output all stopbits 1 line aux 0 transport preferred all transport output all line vty 0 4 exec-timeout 25 0 timeout login response 20 authorization exec telnet login authentication telnet transport preferred all transport input all transport output all ! scheduler max-task-time 5000 end второй 871 interface Tunnel1 ip address 172.1.1.2 255.255.255.252 ip mtu 1492 ip tcp adjust-mss 1360 tunnel source 81.30.216.157 tunnel destination 92.50.133.22 ! interface FastEthernet4 ip address 81.30.216.157 255.255.255.224 ip mtu 1420 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Vlan1 ip address 192.168.1.50 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 990 ip route 0.0.0.0 0.0.0.0 81.30.216.129 ip route 192.168.9.0 255.255.255.0 172.1.1.1 ! ip nat inside source list 1 interface FastEthernet4 overload ! access-list 1 permit 192.168.1.0 0.0.0.255 ! line con 0 no modem enable transport output all stopbits 1 line aux 0 transport output all line vty 0 4 exec-timeout 25 0 timeout login response 20 login authentication telnet transport input all transport output all ! end оба cisco 871 видят 1801. Проблема: cisco 871 не видят друг друга. Подскажите, где чего недописал. Спасибо!!!

Коллеги, приветствую! Подскажите по DH Group. Насколько я понимаю, группа определяет длину ключа используемого для организации передачи ключа сеанса. Cisco router 2811 с OS Version 12.4(22)T3 поддерживает только group 5 в максимуме. Где-то когда-то сталкивался с тем, что в реальности полноценно работает только group 2. Опять же не могу найти ссылку на просторах сети, но в голове сидит, что при использовании 15 иоса появляется поддержка большей длины ключа. Вообще интересует group 15. Может кто с ходу в курсе, так ли это? Спасибо

Есть настроенный CUCME в среде которого работают SIP-терминалы 9951. Внутренние функции работают замечательно. Однако, с транком происходят странные вещи: удержание вызова, конференция, перевод звонка завершается сообщением ';невозможно завершить перевод'; на инициирующем терминале. В дебаге ничего криминального не вижу Конфигурации роутеров, схему могу скинуть, если найдется специалист, который сталкивался с данной проблемой...

Добрый день! Есть Cisco 2901 и 2921 с софтом Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.1(4)M4 В перечне команд отсутствуют комадны ';tarp';, а очень нужны. Были с релиза 12 по-моему. Не могу понять кто не прав - я или этот софт действительно не содержит команд ';tarp';?

постоянно подбирают пароли к моей асе по ssh. как бы придумать бан по ip на час после 10 неудачных попыток. есть какие мысли? а то я уже устал словари коллекционировать для перебора марс не предлагать..

Уважаемые прошу у Вас помощи. Имею Cisco 2901 на которой поднят сервис телефонии. +++++++++++++++++++++++++++++++++++++++++++++++++ cs.2901#sh telephony-service CONFIG (Version=9.1) ===================== Version 9.1 +++++++++++++++++++++++++++++++++++++++++++++++++ cs.2901#sh version Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M6a, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Tue 15-Apr-14 09:45 by prod_rel_team ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1) cs.2901uptime is 4 weeks, 1 day, 1 hour, 30 minutes System returned to ROM by reload at 14:59:48 Sbp Wed Oct 22 2014 System restarted at 14:01:50 MSK Wed Oct 22 2014 System image file is ';flash:c2900-universalk9-mz.SPA.152-4.M6a.bin'; Last reload type: Normal Reload Last reload reason: Reload Command ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Настроен Sip пир с внешним оператором. sip-ua credentials username 3732076 password 7 0705294A4A030A2D3D343F3E517C3D0E0A realm sip.tel.ru authentication username 3732076 password 7 1518030A0020380C021501104651002923 no remote-party-id retry invite 2 retry register 10 retry options 1 timers connect 100 timers register 300 registrar dns:sip.tel.ru expires 3600 sip-server dns:sip.tel.ru no suspend-resume connection-reuse host-registrar +++++++++++++++++++++++++++++++++++++++++++++++++++++ cs.2901#sh sip-ua register status Line peer expires(sec) registered P-Associ-URI ================================ ========== ============ ========== ============ 3732076 -1 1788 yes ++++++++++++++++++++++++++++++++++++++++++++++++++ Звонки в ТФОП через ! dial-peer voice 2 voip description out translation-profile outgoing out destination-pattern 9.T media flow-around session protocol sipv2 session target sip-server voice-class codec 1 voice-class sip rel1xx supported ';100rel'; voice-class sip dtmf-relay force rtp-nte voice-class sip early-offer forced dtmf-relay rtp-nte no vad ! ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ voice translation-rule 2 rule 1 /^9\(.*\)/ /\1/ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Проблема в том что из десяти звонков в ТФОП половина не проходит, т.е. телефон просто не набирает номер, хотя звонящий абонент номер набирает. И в дебаге я ничего не вижу, т.е. как будто с телефоном ничего не происходило. При это если вызов удается с этого же телефона, то я вижу абсолютно корректный дебаг. Менял прошивки телефонов - не помогло, игрался с настройками Диал-пир и правил трансляции тоже самое, вызов то корректно проходит в ТФОП, но нет. Подскажите плиз куда смотреть.

Приветствую господа. Есть wildcard сертификат от Godaddy, хочу его прибить к ASA чтобы Anyconnect не ругался на недоверенный сервер. В документах что я нашел предлагается сделать CSR, отправить его в CA которого у меня нет и результат работы CA совать в ASA. Можно ли как-то это сделать без CA только имеющимся сертификатом? Возможно вопрос глупый, это не моя тема и в ней я плыву, но больше делать не кому.

Здравствуйте! Прошу помощи в сложном для меня вопросе, но полагаю, что достаточно просто и возможно глуповатым для вас. В аттаче топология и в теле сообщения - конфиг. Есть два хоста: 192.168.56.200 и 192.168.32.200, они подключены к ASA через сетевые интерфейсы 192.168.56.201 и 192.168.32.201. Все сделано в gns3. Как настроить маршрутизацию между этими хостами - иначе говоря, как мне добиться успешного пинга от одного хоста до другого. Спасибо заранее. : Saved : Written by enable_15 at 10:41:13.159 UTC Sat Nov 1 2014 ! ASA Version 8.4(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0 nameif management security-level 100 ip address 192.168.56.201 255.255.255.0 ! interface GigabitEthernet1 nameif outside security-level 0 ip address 192.168.32.201 255.255.255.0 ! interface GigabitEthernet2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet3 shutdown no nameif no security-level no ip address ! interface GigabitEthernet4 shutdown no nameif no security-level no ip address ! interface GigabitEthernet5 shutdown no nameif no security-level no ip address ! ftp mode passive pager lines 24 mtu management 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! ! prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily crashinfo save disable Cryptochecksum:5b66aea976bbad3aee7047935a0643b1 : end

Блин пните меня что я делаю не так глазик видимо совсем замылился Что имеем Cisco 1841 System image file is ';flash:c1841-adventerprisek9-mz.151-4.M8.bin'; Хочу что бы эта железка у меня была NTP в сети ну и соответственно сама брала время из интернетов. Конфигурю следующее interface FastEthernet0/0 description #LAN ip address 192.168.1.253 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface FastEthernet0/1 no ip address ip virtual-reassembly in pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 ppp authentication pap chap callin ppp pap sent-username скфдуч password 7 1011F1A3A no cdp enable ! ip access-list standard NTP_CLIENTS permit 192.168.1.0 0.0.0.255 permit 172.16.100.0 0.0.0.255 ip access-list standard NTP_SERVERS permit 91.226.136.136 permit 88.147.254.232 permit 88.147.254.235 permit 109.195.19.73 ! scheduler allocate 20000 1000 ntp logging ntp source FastEthernet0/0 ntp access-group peer NTP_SERVERS ntp access-group serve-only NTP_CLIENTS ntp master 2 ntp update-calendar ntp server ip 0.ru.pool.ntp.org ntp server ip 1.ru.pool.ntp.org ntp server ip 2.ru.pool.ntp.org ntp server ip 3.ru.pool.ntp.org Проверяю CRALEX-R1#sh ntp ass address ref clock st when poll reach delay offset disp *~127.127.1.1 .LOCL. 1 0 16 377 0.000 0.000 0.227 ~194.190.168.1 .INIT. 16 - 64 0 0.000 0.000 15937. ~178.18.228.131 .INIT. 16 - 64 0 0.000 0.000 15937. ~31.131.249.19 .INIT. 16 - 1024 0 0.000 0.000 15937. ~31.28.25.35 .INIT. 16 - 1024 0 0.000 0.000 15937. * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured CRALEX-R1#sh access-lists NTP_SERVERS Standard IP access list NTP_SERVERS 10 permit 91.226.136.136 20 permit 88.147.254.232 30 permit 88.147.254.235 40 permit 109.195.19.73 CRALEX-R1#sh access-lists NTP_CLIENTS Standard IP access list NTP_CLIENTS 10 permit 192.168.1.0, wildcard bits 0.0.0.255 (365 matches) 20 permit 172.16.100.0, wildcard bits 0.0.0.255 И вижу что клиенты с R1 время берут, а вот сам R1 не горит желание ходить за временем в инет.. Понимаю, что косяк какой то наивно простой, но не вижу... ПОМОГИТЕ

Как в циско аса 5505 настроить приоретизацию трафика телефонии (SIP Voice) через ASDM ? Т.к. Канал вечно забит - много ползователей с циски поднимается тунель в другой филиал если не получается по виду трафика - сип, то приоретет для конкретного хоста по IP (мини АТС ) (только через ASDM)

Добрый день, у меня два роутера из разных точек мира анонсят одну AS но разные 24 префиксы. Хочу на одном из них сделать так так чтобы при падении второго, анонсы того префикса шли через другой. Например сеть 4.40.20.0/23 поделена на 24, сейчас на резервном роутере вот так,: router bgp 1111 no synchronization bgp router-id 4.40.20.1 bgp log-neighbor-changes network 4.40.20.0 mask 255.255.255.0 neighbor 1.1.1.1 remote-as 2222 neighbor 1.1.1.1 soft-reconfiguration inbound neighbor 1.1.1.1 distribute-list default_route in neighbor 1.1.1.1 prefix-list mynetwork out no auto-summary ip route 4.40.20.0 255.255.255.0 Null0 ! ip prefix-list mynetwork seq 5 permit 4.40.20.0/24 ! ip access-list standard default_route permit 0.0.0.0 я в принципе могу везде поменять 24 на 23, правильно ли это?