forum.opennet.ru - "Периодически отваливается GRE-туннель закрытый IPSec" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Периодически отваливается GRE-туннель закрытый IPSec"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Периодически отваливается GRE-туннель закрытый IPSec"		+/–
Сообщение от _RAW_ (ok) on 04-Дек-09, 18:18
Добрый всем вечер. Поднят GRE тоннель между двумя цисками. Закрыт IPSec-ом. Периодически проявляются повисшие translations из за которых перестает пинговаться дальний конец туннеля. Реальные адреса пингуются - туннельный дальний нет. помогает clea ip nat trans. После этого все работает... Повисания апериодичны. Может месяцами рбаотать, а может повиснуть два раза за день. Не сталкивались?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Периодически отваливается GRE-туннель закрытый IPSec, j_vw, 21:45 , 04-Дек-09, (1)

Периодически отваливается GRE-туннель закрытый IPSec, _RAW_, 11:38 , 15-Дек-09, (2)

Периодически отваливается GRE-туннель закрытый IPSec, Николай, 18:11 , 15-Дек-09, (3)

Периодически отваливается GRE-туннель закрытый IPSec, _RAW_, 09:31 , 24-Дек-09, (4)
Периодически отваливается GRE-туннель закрытый IPSec, _RAW_, 09:36 , 24-Дек-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Периодически отваливается GRE-туннель закрытый IPSec" +/–

Сообщение от j_vw on 04-Дек-09, 21:45

>Поднят GRE тоннель между двумя цисками. Закрыт IPSec-ом. Периодически проявляются повисшие translations
>из за которых перестает пинговаться дальний конец туннеля.
О как!!!
Ээээ...
Конфиг показывайте....
Пока не понимаю связь НАТа с source-destination у тунелей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Периодически отваливается GRE-туннель закрытый IPSec" +/–

Сообщение от _RAW_ (ok) on 15-Дек-09, 11:38

>>Поднят GRE тоннель между двумя цисками. Закрыт IPSec-ом. Периодически проявляются повисшие translations
>>из за которых перестает пинговаться дальний конец туннеля.
>
>О как!!!
>
>Ээээ...
>Конфиг показывайте....
>
>Пока не понимаю связь НАТа с source-destination у тунелей.
прошу прощения за отсутствие - не было на месте... вот конфиг в части касающейся организации туннелей и маршрутизации. ACL не привожу - там они толстые, но по ним затыков нет, что надо разрешено.
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
lifetime 7200
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
crypto isakmp key ***key1*** address 61.140.107.247 no-xauth
crypto isakmp key ***key2*** address 212.86.1.164 no-xauth
crypto ipsec security-association idle-time 3600
crypto ipsec transform-set transform1 esp-3des esp-sha-hmac
crypto ipsec transform-set transform2 esp-3des esp-md5-hmac
crypto ipsec profile profile1
set transform-set transform1
crypto ipsec profile profile2
set transform-set transform2
interface Tunnel0
ip address 10.3.2.9 255.255.255.192
no ip redirects
ip accounting output-packets
ip mtu 1416
ip nat outside
ip nhrp authentication ocsic
ip nhrp map 10.3.2.1 61.140.107.247
ip nhrp map multicast 61.140.107.247
ip nhrp network-id 24
ip nhrp nhs 10.3.2.1
tunnel source 61.116.86.5
tunnel destination 61.140.107.247
tunnel key 54321
tunnel protection ipsec profile profile1 shared
interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip access-group lvsin in
ip accounting output-packets
ip mtu 1500
ip nat inside
no ip mroute-cache
ip policy route-map prov-map
tunnel source 61.116.86.5
tunnel destination 212.86.1.164
tunnel protection ipsec profile profile2 shared
interface FastEthernet0/0
description LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.3.1 255.255.255.0
ip access-group lvsin in
ip accounting output-packets
ip nat inside
no ip mroute-cache
ip policy route-map prov-map
duplex auto
speed 100
interface FastEthernet0/1
description DMZ
ip address 86.244.130.17 255.255.255.240 secondary
ip address 76.107.89.129 255.255.255.192 secondary
ip address 76.107.71.1 255.255.255.240
ip access-group dmzin in
ip accounting output-packets
ip nat inside
no ip mroute-cache
ip policy route-map prov-map
duplex auto
speed 100
interface FastEthernet2/0
description PROV
ip address 61.116.86.5 255.255.255.252
ip access-group 118 in
ip access-group provout out
ip verify unicast reverse-path
ip nat outside
duplex auto
speed auto
ip nat log translations syslog
ip nat pool prov-space 61.116.86.5 61.116.86.5 netmask 255.255.255.252
ip nat inside source list client1 interface Tunnel0 overload
ip nat inside source route-map prov-map pool prov-space overload
ip route 0.0.0.0 0.0.0.0 61.116.86.6
ip route 10.10.0.0 255.255.240.0 Tunnel1
ip route 76.107.71.0 255.255.255.240 FastEthernet0/1
ip route 76.107.89.128 255.255.255.192 FastEthernet0/1
ip route 86.244.130.16 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.0.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.0 FastEthernet0/0
route-map prov-map permit 20
match ip address permitinternet
match interface FastEthernet2/0
set default interface FastEthernet2/0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Периодически отваливается GRE-туннель закрытый IPSec" +/–

Сообщение от Николай (??) on 15-Дек-09, 18:11

Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками динамический протокол пустит - он Неllo пакетами будет его инициализировать - рекомендации по теме Cisco DPD.
а вообще введи следующее может поможет
crypto isakmp keepalive 10
crypto isakmp invalid-spi-recovery

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Периодически отваливается GRE-туннель закрытый IPSec" +/–

Сообщение от _RAW_ (ok) on 24-Дек-09, 09:31

>Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками
>динамический протокол пустит - он Неllo пакетами будет его инициализировать -
>рекомендации по теме Cisco DPD.
>а вообще введи следующее может поможет
>
>crypto isakmp keepalive 10
>crypto isakmp invalid-spi-recovery
принято, спасибо. Сейчас впишу, посмотрим что получится :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Периодически отваливается GRE-туннель закрытый IPSec" +/–

Сообщение от _RAW_ (ok) on 24-Дек-09, 09:36

>Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками
>динамический протокол пустит - он Неllo пакетами будет его инициализировать -
>рекомендации по теме Cisco DPD.
>а вообще введи следующее может поможет
>
>crypto isakmp keepalive 10
>crypto isakmp invalid-spi-recovery
К сожалению invalid-spi-recovery нет в моем иосе...
c7206(config)#crypto isakmp ?
  aggressive-mode  Disable ISAKMP aggressive mode
  client           Set client configuration policy
  enable           Enable ISAKMP
  identity         Set the identity which ISAKMP will use
  keepalive        Set a keepalive interval for use with IOS peers
  key              Set pre-shared key for remote peer
  nat              Set a nat  keepalive interval for use with IOS peers
  peer             Set Peer Policy
  policy           Set policy for an ISAKMP protection suite
  profile          Define ISAKMP Profiles
  xauth            Set Extended Authentication values
Буду пробовать поднять туннели через DPD

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Периодически отваливается GRE-туннель закрытый IPSec"		+/–
Сообщение от j_vw on 04-Дек-09, 21:45
>Поднят GRE тоннель между двумя цисками. Закрыт IPSec-ом. Периодически проявляются повисшие translations >из за которых перестает пинговаться дальний конец туннеля. О как!!! Ээээ... Конфиг показывайте.... Пока не понимаю связь НАТа с source-destination у тунелей.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Периодически отваливается GRE-туннель закрытый IPSec"		+/–
	Сообщение от _RAW_ (ok) on 15-Дек-09, 11:38
	>>Поднят GRE тоннель между двумя цисками. Закрыт IPSec-ом. Периодически проявляются повисшие translations >>из за которых перестает пинговаться дальний конец туннеля. > >О как!!! > >Ээээ... >Конфиг показывайте.... > >Пока не понимаю связь НАТа с source-destination у тунелей. прошу прощения за отсутствие - не было на месте... вот конфиг в части касающейся организации туннелей и маршрутизации. ACL не привожу - там они толстые, но по ним затыков нет, что надо разрешено. crypto isakmp policy 2 encr 3des authentication pre-share group 2 lifetime 7200 crypto isakmp policy 3 encr 3des hash md5 authentication pre-share crypto isakmp key *key1* address 61.140.107.247 no-xauth crypto isakmp key *key2* address 212.86.1.164 no-xauth crypto ipsec security-association idle-time 3600 crypto ipsec transform-set transform1 esp-3des esp-sha-hmac crypto ipsec transform-set transform2 esp-3des esp-md5-hmac crypto ipsec profile profile1 set transform-set transform1 crypto ipsec profile profile2 set transform-set transform2 interface Tunnel0 ip address 10.3.2.9 255.255.255.192 no ip redirects ip accounting output-packets ip mtu 1416 ip nat outside ip nhrp authentication ocsic ip nhrp map 10.3.2.1 61.140.107.247 ip nhrp map multicast 61.140.107.247 ip nhrp network-id 24 ip nhrp nhs 10.3.2.1 tunnel source 61.116.86.5 tunnel destination 61.140.107.247 tunnel key 54321 tunnel protection ipsec profile profile1 shared interface Tunnel1 bandwidth 2000 ip address 10.11.0.2 255.255.255.252 ip access-group lvsin in ip accounting output-packets ip mtu 1500 ip nat inside no ip mroute-cache ip policy route-map prov-map tunnel source 61.116.86.5 tunnel destination 212.86.1.164 tunnel protection ipsec profile profile2 shared interface FastEthernet0/0 description LAN ip address 192.168.0.1 255.255.255.0 secondary ip address 192.168.3.1 255.255.255.0 ip access-group lvsin in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map prov-map duplex auto speed 100 interface FastEthernet0/1 description DMZ ip address 86.244.130.17 255.255.255.240 secondary ip address 76.107.89.129 255.255.255.192 secondary ip address 76.107.71.1 255.255.255.240 ip access-group dmzin in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map prov-map duplex auto speed 100 interface FastEthernet2/0 description PROV ip address 61.116.86.5 255.255.255.252 ip access-group 118 in ip access-group provout out ip verify unicast reverse-path ip nat outside duplex auto speed auto ip nat log translations syslog ip nat pool prov-space 61.116.86.5 61.116.86.5 netmask 255.255.255.252 ip nat inside source list client1 interface Tunnel0 overload ip nat inside source route-map prov-map pool prov-space overload ip route 0.0.0.0 0.0.0.0 61.116.86.6 ip route 10.10.0.0 255.255.240.0 Tunnel1 ip route 76.107.71.0 255.255.255.240 FastEthernet0/1 ip route 76.107.89.128 255.255.255.192 FastEthernet0/1 ip route 86.244.130.16 255.255.255.240 FastEthernet0/1 ip route 172.16.0.0 255.255.0.0 Tunnel0 ip route 192.168.0.0 255.255.255.0 FastEthernet0/0 ip route 192.168.3.0 255.255.255.0 FastEthernet0/0 route-map prov-map permit 20 match ip address permitinternet match interface FastEthernet2/0 set default interface FastEthernet2/0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Периодически отваливается GRE-туннель закрытый IPSec"		+/–
	Сообщение от Николай (??) on 15-Дек-09, 18:11
	Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками динамический протокол пустит - он Неllo пакетами будет его инициализировать - рекомендации по теме Cisco DPD. а вообще введи следующее может поможет crypto isakmp keepalive 10 crypto isakmp invalid-spi-recovery
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Периодически отваливается GRE-туннель закрытый IPSec"		+/–
	Сообщение от _RAW_ (ok) on 24-Дек-09, 09:31
	>Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками >динамический протокол пустит - он Неllo пакетами будет его инициализировать - >рекомендации по теме Cisco DPD. >а вообще введи следующее может поможет > >crypto isakmp keepalive 10 >crypto isakmp invalid-spi-recovery принято, спасибо. Сейчас впишу, посмотрим что получится :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Периодически отваливается GRE-туннель закрытый IPSec"		+/–
	Сообщение от _RAW_ (ok) on 24-Дек-09, 09:36
	>Дам общие рекомендации, что бы поднимались быстрее упавшие тунели попробуй меду точками >динамический протокол пустит - он Неllo пакетами будет его инициализировать - >рекомендации по теме Cisco DPD. >а вообще введи следующее может поможет > >crypto isakmp keepalive 10 >crypto isakmp invalid-spi-recovery К сожалению invalid-spi-recovery нет в моем иосе... c7206(config)#crypto isakmp ? aggressive-mode Disable ISAKMP aggressive mode client Set client configuration policy enable Enable ISAKMP identity Set the identity which ISAKMP will use keepalive Set a keepalive interval for use with IOS peers key Set pre-shared key for remote peer nat Set a nat keepalive interval for use with IOS peers peer Set Peer Policy policy Set policy for an ISAKMP protection suite profile Define ISAKMP Profiles xauth Set Extended Authentication values Буду пробовать поднять туннели через DPD
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору