cpp -dM
предварительно обрабатывает исходный или заголовочный файл и печатает каждый #define
то, что это находит. Это более устойчиво, чем захват через /usr/include/errno.h
, так как это получит каждый файл это /usr/include/errno.h
включает.
Объединение cpp-dM с предложениями других:
function lookuperror
{
cpp -dM /usr/include/errno.h | grep -w "$@"
perl -MPOSIX -e 'print "Description:".strerror($ARGV[0])."\n";' $@
}
Вставьте в .bashrc или поместите его содержание как автономный сценарий оболочки.
Большинство раз я видел эту проблему, это происходило из-за домена шифрования (идентификатор прокси) несоответствие. Поскольку Вы используете основанную на политике VPN на стороне Juniper и не основанную на маршруте VPN, Вы собираетесь видеть, что сторона Juniper пытается создать SAS IPSec, которые соответствуют политикам. Например, если Ваша политика Juniper похожа:
set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"...
Основанная на политике конфигурация VPN будет ожидать, что ASA попытается установить от хоста к хосту IPSec SA, которая идет от 192.168.1.50 до 192.168.2.50, в то время как ASA пытается установить туннель, который идет от 192.168.2.0/24 до 192.168.1.0/24.
Я не могу знать наверняка, что дело обстоит так с Вашей конфигурацией, потому что Вы не отправляете политики со стороны Juniper, но это - проблема, которую я чаще всего видел с признаками, подобными Вашей. Самое легкое решение состояло бы в том, чтобы изменить список доступа на ASA для соответствия политикам в отношении брандмауэра Juniper (с протестом, что это все еще должен быть "IP разрешения" вместо того, чтобы указать L4 + протоколы, так как Вы указываете просто идентификатор прокси).
Juniper VPN может быть известно трудно убедить, чтобы говорить с другими устройствами. IME, они только действительно счастливы когда говорящий с другими устройствами Juniper.
Я подозреваю, что это могло бы быть чем-то подобным.
добавьте локальные и удаленные подсети в идентификаторе прокси - который получит его работа
Не только ответ Tom O'Connor, не полезный, это - FUD. Устройства Juniper точно так же, как любое другое устройство при установке устройства, которое реализует спецификацию IPSec правильно, единственная трудность прибывает из не знания, как сделать так на том устройстве.
Попробуйте статью о КБ Juniper при поиске и устранении неисправностей VPNs. Это могло бы быть более полезно.
http://kb.juniper.net/index?page=content&id=KB9221
На что похожа Ваша конфигурация SSG?
Мой поставщик хотел видеть, что весь мой трафик прибывает из одного IP-адреса. Я настроил основанную на маршруте политику с Туннелем 1 и Циклом 1, создал Цикл с/26, что исходящий IP NAT был в диапазоне (они указали адрес, они хотели видеть мой трафик, и это был широковещательный IP для всех диапазонов, пока я не сделал это/26). Я сделал свой DIP в туннельном интерфейсе (они указали 1 IP, таким образом, DIP был 172.28.1.95 к.95), и создал политики соответствовать их Cisco Crypto_Map исходному переводу моего исходящего DIP.
Хитрая часть была то, что я имел к созданному отдельному II's Фазы (IKE AutoKey VPNs), и используйте идентификатор прокси для соответствия их crypto_map. Когда я сделал первую Фазу II, которая один работала. После того как я сделал более затем один, он перестал работать.
Для фиксации его я должен был адресовать адрес GW к маршруту к адресам, с которыми я соединялся (вместо просто высказывания, спускаются по туннельному 1 интерфейсу, должен был сделать это плюс IP GW), и затем на туннеле 1 интерфейс должен был сделать Следующую Туннельную Привязку Транзитного участка. Я не думаю, что Вы будете даже рассматривать это как опцию, пока Вы не создадите вторую Фазу II и связываете ее с туннельным интерфейсом, потому что, если у Вас только есть один туннель, Вам просто не нужен он. Таким образом для каждой записи в домене шифрования (crypto_map) (и в этом отношении каждая Фаза II я должен был настроить) я создал запись NHTB, которая имела IP удаленного IP стороны (снова от их crypto_map) с записью VPN, являющейся соответствующей Фазой II VPN.