Hallo,
ik heb hetvolgende opgezet :
REMOTE SITE ------- INTERNET ------ CISCO2600/PAT -------- PIX501
De remote site legt een tunnel naar de Pix, dit werkt, er is een security association en ik kan de andere kant bereiken.
Op de Cisco forward ik ISAKMP naar de pix :
ip nat inside source static udp 10.10.10.22 500 interface FastEthernet0/1 500
Nu heb ik (denk ik) het volgende probleem :
Wanneer de pix info stuurt naar de remote site over de tunnel, loopt alles goed. Het IPSEC pakket wordt namelijk genatted door de router, en naar de remote site gestuurd. Het antwoord komt ook mooi terug en de router weet door middel van de natting tabel dat het verkeer kwam van de Pix.
Wanneer de remote site verkeer stuurt naar de mijn netwerk, en er is geen entry in de NAT tabel, dan loopt het natuurlijk mis en gaat er een nieuwe IKE negotiatie volgen.
Gevolg : meerdere isakmp sa's op de pix :
Total : 3
Embryonic : 0
dst src state pending created
10.10.10.22 pubic_ip QM_IDLE 0 1
10.10.10.22 pubic_ip QM_IDLE 0 1
10.10.10.22 pubic_ip QM_IDLE 0 1
Na verloop van tijd staan er tientallen, honderden...
crypto isakmp nat keepalive 30 uitgevoerd op de PIX. Op de router zie ik ook zo nu en dan volgende log entry :
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
wat ik niet goed snap want de router doet toch niets met IPSEC buiten forwarden ?
Is er een manier om op de router te zeggen dat alle IPSEC packets naar de pix moeten gestuurd worden ? Of is dit not-done ? (ik hang de pix liever niet achter het Internet, daar heb ik wat DHCP issue's mee)
ik heb hetvolgende opgezet :
REMOTE SITE ------- INTERNET ------ CISCO2600/PAT -------- PIX501
De remote site legt een tunnel naar de Pix, dit werkt, er is een security association en ik kan de andere kant bereiken.
Op de Cisco forward ik ISAKMP naar de pix :
ip nat inside source static udp 10.10.10.22 500 interface FastEthernet0/1 500
Nu heb ik (denk ik) het volgende probleem :
Wanneer de pix info stuurt naar de remote site over de tunnel, loopt alles goed. Het IPSEC pakket wordt namelijk genatted door de router, en naar de remote site gestuurd. Het antwoord komt ook mooi terug en de router weet door middel van de natting tabel dat het verkeer kwam van de Pix.
Wanneer de remote site verkeer stuurt naar de mijn netwerk, en er is geen entry in de NAT tabel, dan loopt het natuurlijk mis en gaat er een nieuwe IKE negotiatie volgen.
Gevolg : meerdere isakmp sa's op de pix :
Total : 3
Embryonic : 0
dst src state pending created
10.10.10.22 pubic_ip QM_IDLE 0 1
10.10.10.22 pubic_ip QM_IDLE 0 1
10.10.10.22 pubic_ip QM_IDLE 0 1
Na verloop van tijd staan er tientallen, honderden...
crypto isakmp nat keepalive 30 uitgevoerd op de PIX. Op de router zie ik ook zo nu en dan volgende log entry :
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi
wat ik niet goed snap want de router doet toch niets met IPSEC buiten forwarden ?
Is er een manier om op de router te zeggen dat alle IPSEC packets naar de pix moeten gestuurd worden ? Of is dit not-done ? (ik hang de pix liever niet achter het Internet, daar heb ik wat DHCP issue's mee)
[ Voor 7% gewijzigd door Dieter op 24-05-2008 13:26 . Reden: Pix : nat keepalive ]