воскресенье, 2 июня 2013 г.

Глюки с esp и листами доступа в CPT6

Обнаружил такой глюк в CPT6.0.1(хотя думаю и в предыдущих версиях такое есть).

Настроил IPSec с ESP между двумя роутерами, все отлично работало, пока я не написал лист доступа и не повесил его на внешний интерфейс для обработки входящего трафика.
access-list 100 permit esp host 209.165.200.1 host 209.165.200.26
access-list 100 permit udp host 209.165.200.1 host 209.165.200.26 eq isakmp
Первая строчка не отрабатывала вообще. PT в симуляции писал что полученный пакет (в пакете значился номер протокола 50 или 0x32) не соответствует ни одному правилу листа и по этому отбрасывается. Вторая строчка отрабатывала правильно.
Дальше выяснилось, что если вместо этих двух строк написать одну
access-list 100 permit ip host 209.165.200.1 host 209.165.200.26 
то в этом случае, роутер получит и расшифровывает пакет. Но затем, после расшифровки, зачем то еще раз проверяет адреса пакета по тому же листу доступа. А так как адреса запакованного в ipsec пакета листу не соответствую, то пакет отбрасывается.
Будьте бдительны.

2 комментария:

  1. R3(config)# access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2
    R3(config)# access-list 102 permit esp host 172.30.2.2 host 172.30.1.2
    R3(config)# access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp

    не?
    в GNS3 всё отлично работает

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.