Новые ответы

NAT + IPSec проблема,

Евгений, 22-Май-10, 16:58 [смотреть все]

Добрый день.
Возникла проблема с подключение cisco3825 и cisco870. Соединение между ними есть, туннель вроде устанавливается, пакеты не бегают. Гляньте свежим взглядом. Заранее спасибо.
Схема подключения
LAN 192.168.100.144/28---Cisco870----INET----Cisco3825-----LAN 10.0.0.0/8
                                                 |_________LAN 172.30.0.0/16
Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.
sh ver c870-advsecurityk9-mz.124-15.T12.bin
sh ver c3825-advipservicesk9-mz.124-9.T6.bin
Cisco3825
crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ************** address ***** no-xauth
crypto ipsec transform-set APT24_AES-SHA esp-aes esp-sha-hmac
crypto map APT24 29 ipsec-isakmp
description tunnel_to_
set peer **********
set transform-set APT24_AES-SHA
match address APT24PL-1
ip nat inside source list al interface GigabitEthernet0/1.40 overload
ip access-list extended APT24PL-1
permit ip 10.0.0.0 0.0.0.255 192.168.100.144 0.0.0.15
permit ip 172.16.0.0 0.0.15.255 192.168.100.144 0.0.0.15
permit ip 192.168.0.0 0.0.255.255 192.168.100.144 0.0.0.15
deny   ip any any
ip access-list extended al
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any host **************
deny   ip any any
Cisco 870
crypto isakmp policy 20
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ***** address ********* no-xauth
crypto ipsec transform-set VPNSET_AES_SHA esp-aes esp-sha-hmac
crypto map APT24MAP 20 ipsec-isakmp
description tunnel_to_cisco
set peer ************
set transform-set VPNSET_AES_SHA
match address IPSEC_TRAFFIC
ip nat inside source list NONAT interface FastEthernet4 overload
!
ip access-list extended IPSEC_TRAFFIC
permit ip 192.168.100.144 0.0.0.15 10.0.0.0 0.255.255.255
permit ip 192.168.100.144 0.0.0.15 172.16.0.0 0.15.255.255
permit ip 192.168.100.144 0.0.0.15 192.168.0.0 0.0.255.255
ip access-list extended NONAT
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 192.168.100.144 0.0.0.15 any

Crypto map висят на правильных интерфейсах.
В дебаге видно что соединение установлено
*May 22 12:27:43.980: ISAKMP (0:1012): received packet from ******* dport 500 sport 500 Global (R) QM_IDLE
*May 22 12:27:43.980: ISAKMP:(1012):deleting node -864327888 error FALSE reason "QM done (await)"
*May 22 12:27:43.980: ISAKMP:(1012):Node -864327888, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*May 22 12:27:43.980: ISAKMP:(1012):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
*May 22 12:27:43.980: IPSEC(key_engine): got a queue event with 1 KMI message(s)
HeadOffice#
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): enable SA with spi 1489368869/50
sh cry isakmp sa с обоих сторон
показывает наличие активного соединения
sh cry ipsec sa с обоих сторон показывают инкапсулюцию/декапсуляцию пакетов.
Самое главное НО - пакеты не бегают.
Если есть идеи - welcome.

Ответить | Сообщить модератору

NAT + IPSec проблема, Valery12, 08:00 , 24-Май-10 (1)
>[оверквотинг удален]
>
>
>
>    |_________LAN 172.30.0.0/16
>
>Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.
>
>
>
>Если есть идеи - welcome.
Покажите как настроена маршрутизация

Ответить | Сообщить модератору

NAT + IPSec проблема, Евгений, 19:39 , 24-Май-10 (4)
>
>Покажите как настроена маршрутизация
явные маршруты в подсети VPN НЕ прописаны. так как vpn-трафик генерируется по требованию.
Ответить | Сообщить модератору
NAT + IPSec проблема, Евгений, 16:57 , 25-Май-10 (6)

>Покажите как настроена маршрутизация
sh ip ro 192.168.100.144
% Subnet not in table
#sh ip ro 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0, candidate default path
  Redistributing via eigrp 10
  Advertised by eigrp 10
  Routing Descriptor Blocks:
  * 192.168.3.1
      Route metric is 0, traffic share count is 1
Это выход на маршрут по умолчанию на ISA2006
Ответить | Сообщить модератору

NAT + IPSec проблема, Pve1, 09:44 , 24-Май-10 (2)
Маршруты то вы и не показали... где они?
ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией.
Намного проще, наглядней и удобнее...
Ответить | Сообщить модератору

NAT + IPSec проблема, Евгений, 17:02 , 25-Май-10 (7)
>Маршруты то вы и не показали... где они?
>ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией.
>Намного проще, наглядней и удобнее...
traceroute с моего компа
sudo traceroute 192.168.100.145
traceroute to 192.168.100.145 (192.168.100.145), 30 hops max, 60 byte packets
1  ciscod01.office (10.1.11.1)  0.548 ms  0.582 ms  0.620 ms
2  vishnu.office (192.168.253.2)  1.047 ms  1.029 ms  1.018 ms
3  * * *
4  * * *
Ответить | Сообщить модератору

NAT + IPSec проблема, Евгений, 18:04 , 25-Май-10 (8)
Вопрос решен.
Поскольку маршрут по умолчанию уходил на ISA-сервер, маршрут в подсеть 192.168.100.144/28 пришлось прописать таки.
В моей ситуации канал подключенный в Интернет не являлся маршрутом по умолчанию => все пакеты шли на ISA и там рубались. Объяснение довольно сумбурное, но более/менее понятно для меня.
Ответить | Сообщить модератору

NAT + IPSec проблема, sh_, 12:14 , 24-Май-10 (3)
Уберите явное "deny ip any any" на 3825.
Ответить | Сообщить модератору

NAT + IPSec проблема, Евгений, 19:42 , 24-Май-10 (5)
>Уберите явное "deny ip any any" на 3825.
А смысл его убирать? По любому в конце acl есть deny. а так я хоть посмотрю число отказов на создание впн-трафика.
Ответить | Сообщить модератору