ASA和pfsense ipsec ikev1对接的调试

最新推荐文章于 2021-12-13 11:57:30 发布
最新推荐文章于 2021-12-13 11:57:30 发布
阅读量265 收藏 1
点赞数
分类专栏: 安全设备 文章标签: debug log4j 人工智能 log4j2 rpm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/116982914
版权

背景:ASA和pfsense在公网用ipsec ikev1 组网 。

ASA 模拟客户 、pfsense是我们这段

在测试环境测试的时候一切正常,但是将ASA配置迁移到客户的时候,两者不能协商成功。

且第一阶段都不能协商成功。

log:

Jun 10 10:09:30 [IKEv1 DEBUG]Group = 公网IP, IP = 公网IP, IKE MM Initiator FSM error history (struct &0x00007fff39eec0c0) <state>,<event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG6, EV_PROB_AUTH_FAIL-->MM_WAIT_MSG6, EV_TIMEOUT-->MM_WAIT_MSG6, NullEvent-->MM_SND_MSG5, EV_SND_MSG-->MM_SND_MSG5, EV_START_TMR-->MM_SND_MSG5, EV_RESEND_MSG-->MM_WAIT_MSG6,EV_TIMEOUT

v2-2bdabbc65844380de79eb0919ec1029f_b.jpg
ASA ikev1 sa

第一极端协商一直卡在MSG6上

v2-90041dab1833f31a1d241d0ce5219b71_b.jpg

这个MSG6这个阶段显示PSK不匹配,但我们和客户都对了密钥都是一样的 。

pfsen这边的日志

v2-1673bfc7a4a3312a2ad08408c893e343_b.png

pfsense日志显示两边的identity不匹配

ASA默认使用的是

v2-9da02aa8f4313708c41c45b126b4f01d_b.jpg

ASA peer id pfsense 的公网ip local id 是自己的内网ip

pfsense peer id 是ASA 的公网ip local id 是自己的公网ip

两边的参数信息并不匹配,由于客户的ASA有许多VPN链接 这个的参数好像是全局配置(不确定)所以只能修改fpsensen peer id 改为ASA内网ID.

v2-3cf2e2ac4719f8973e599915e19cb25d_b.jpg

第一阶段协商成功

第二阶段也没什么问题直接建立了SA.

链路效果 上海 到 法国 延迟160 左右 这个延迟好像还不错的样子。

v2-ce953aa0add1e59d1c37d7128aa17654_b.jpg

期待未来的男孩
关注
专栏目录
5G/NR 随机接入过程之Msg3
欢迎来到小七的博客,这里将带你深入探索5G通信的神秘世界。无论你是通信领域的专业人士还是对这一领域充满好奇心的技术爱好者,这里都有专业协议解读、通信知识普及以及有趣的Python编程内容等你发现。
05-26 1万+
21.7 Msg3 基于非竞争的随机接入过程,preamble是某个UE专用的,所以不存在冲突;又因为该UE已经拥有在接入小区内的唯一标识C-RNTI,所以也不需要gNB给它分配C-RNTI。因此,只有基于竞争的随机接入过程才需要步骤三和步骤四。 之所以将3条消息称为Msg3,而不是某一条具体消息的原因,其在于根据UE状态的不同和应用场景的不同,这条消息也可能不同,...
现任明教教主ASA8.4 ×××试验系列一:IKEv1 L2L
weixin_33834628的博客
06-05 199
最近一直在研究CCNP Security Firewall v1.0,现在基本算是研究完毕了!发现Cisco ASA 8.4的变化特别大,真的是越来越像checkpoint防火墙了,不管是NAT还是最近才出现的全局访问控制列表,都和cp防火墙如出一辙。Firewall v1.0研究完毕后,下一个研究目标就是 ××× v1.0,主要介绍ASA上的×××。ASA8.4之后的×××...
ASA L2L ××× 排错一例
weixin_34203832的博客
08-06 632
客户ASA与公司ASA建立l2l***配置么无外乎就那些但是***一直无法建立 showcryisa sa显示IKE Peer: x.x.x.x Type : user Role : initiator Rekey : no State : MM_WAIT_MSG2在本端ASA上开启了d...
ASA防火墙最实用的排错思路和4种工具.doc
06-28
思科推荐的排错流量: ①ping直连测试,如果不通,就检查接口配置。 ②查看路由,如果没有就写静态或者动态。 ③Packer tracer模拟一个数据包通过,看看ASA防火墙的处理过程。 ④使用Capture分别抓取收包和发包接口的数据,进行对比(ASA自带程序),这也是终极解决方案。
××× 排 错 指 南
weixin_34345753的博客
11-22 1009
1. 没有Debug的情况 1. 理解×××触发过程 2. 可能的错误 2. 有Debug但是无法建立×××的情况 1.MM 1-2个包问题 2.MM ...
两边访问控制列表不对称导致***故障
weixin_33985679的博客
12-11 608
两边访问控制列表不对称上个月在上海分公司出差,协助国内数据中心搬迁工作,在工作过程中碰到了一个因为两端配置的ACL访问控制列表不一致导致,***连接出现异常的现象。网络连接:上海LAN<--->ASA<---------IPSEC×××------------->ASA<--->日本LAN现象:1会话如果从从日本(i...
使用pfsense、华为USG2000搭建ipsec隧道
萌新包大人的博客
11-18 1639
前言:现需求在办公环境和机房之间搭建一个ipsec vpn隧道,用于传输文件。这里使用了两个工具,机房端使用华为usg2000型号的防火墙,本地端使用的pfsense。这两个都支持ipsec隧道,其实配置过程不复杂,难点就是在于要理清路由的走向。 pfsenseipsec隧道配置: 1、配置安全协议 2、设置ipsec隧道协议 3、关闭SNAT 4、防火墙 USG2000端ipsec隧道配置: 1、配置一个安全提议 [USG-1]ike proposal 1 [USG-1-ik.
pfSense2.4.4系统安装和网络配置
12-31
1. 安装pfSense2.4.4系统需要准备的工作包括备份重要数据、准备一个空白U盘、下载pfSense官方安装程序和U盘制作工具。 2. 制作系统启动盘可以使用PE引导工具或写盘工具,将ISO文件复制到U盘上直接引导安装。 3. 在...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通...
pfSense软路由器配置NAT1:1教程
01-06
pfSense软路由器配置NAT1:1教程,图文详细教程。
pfsense说明配置.docx
07-14
pfsense说明配置.docx
ASA与SSG建立L2L ×××排错一例
weixin_34228662的博客
08-11 161
背景:客户要求使用ASA与公司的SSG防火墙建立L2L ×××难点:虽然对两种防火墙非常熟悉,但是还没有做过这两个防火墙互通的配置但是客户可不会听你的解释,给你时间研究;只能硬着头皮上了,幸运的是ASA的配置权限也在我这,这样排错什么的就方便了。ASA配置 :没有特别要说明的 和普通ASAASA建立L2L一样access-list acl_l2l extended perm...
通话故障总结
weixin_33875564的博客
01-10 1706
2019独角兽企业重金招聘Python工程师标准>>> ...
waitMsg提示信息关闭
dfyh1993的博客
03-29 721
转自http://147175882.iteye.com/blog/1764735
一个TCP FIN_WAIT2状态细节引发的感慨
Netfilter
07-28 4万+
昨天下午跟同事讨论TCP挥手断开的细节,越发感到TCP协议真的是非常令人讨厌,这个协议已经成了人们装逼的谈资,就是因为它非常复杂,且毫无确定性可言!如果你能说出它的任何细节方面的前因后果,那你一定就是牛人了,但这其实毫无意义。 如果你阅读TCP的诸多RFC,然后对比着4.4 BSD,Linux,Windows的实现,手边再放一本那被捧为圣经的《TCP/IP详解(卷1)》,你会发现太多类似下面的措...
我用几行 Python 自动化脚本完美解决掉了小姐姐的微信焦虑感
人生苦短, 还不用Python?
09-14 322
前言 本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。 作者: 星安果 PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行获取 python免费学习资料以及群交流解答点击即可加入 准备 在开始实战之前,需要做如下准备: 1、在 PC 端配置 Android 开发环境 2、安装依赖库及应用 其中: uiautomator2 负责自动化;weditor 负责连接设备,查看应用的界面元素 # 安装依赖 pip3 install -
MSG1到MSG4
qq_51087255的博客
12-13 7480
UE入网
IPsec ACL不匹配的典型错误日志
weixin_33734785的博客
05-15 566
IPSec ACL就是我们通常说的×××感兴趣流量。在实际的工作当中,由于这个ACL配置不当而造成的问题是很常见的。典型的报错为“QM FSM error”,可以在PIX/ASA上运行“debug crypto isakmp” 来查看。 May 15 09:17:11 [IKEv1]: Group = X.X.X.X, IP = X.X.X.X, QM FSM...
IPSecIKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值