forum.opennet.ru - "cisco 1841: не могу настроить gre+ipsec туннель" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco 1841: не могу настроить gre+ipsec туннель"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"cisco 1841: не могу настроить gre+ipsec туннель"	+/–
Сообщение от demchenko on 30-Июн-10, 11:37
Доброго времени суток, есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются. конфиг: ####### cisco 1841 - piter ######## ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key {key} address {msk-ext-ip} no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac ! crypto ipsec profile myprofile set transform-set vpn1 ! ! interface Tunnel1 ip address 192.168.3.1 255.255.255.252 ip mtu 1420 tunnel source {piter-ext-ip} tunnel destination {msk-ext-ip} tunnel protection ipsec profile myprofile ! ####### cisco 1841 - msk ################ ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key {key} address {piter-ext-ip} no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac ! crypto ipsec profile myprofile set transform-set vpn1 ! interface Tunnel1 ip address 192.168.3.2 255.255.255.252 ip mtu 1420 tunnel source {msk-ext-ip} tunnel destination {piter-ext-ip} tunnel protection ipsec profile myprofile shared ! обмен ключами успешен, насколько могу судить по этому: #sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 213.182.181.66 212.45.2.67 QM_IDLE 1018 ACTIVE IPv6 Crypto ISAKMP SA #sh crypto ipsec sa interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr {msk-ext-ip} protected vrf: (none) local ident (addr/mask/prot/port): ({msk-ext-ip}/255.255.255.255/47/0) remote ident (addr/mask/prot/port): ({piter-ext-ip}/255.255.255.255/47/0) current_peer {piter-ext-ip} port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: {msk-ext-ip}, remote crypto endpt.: {piter-ext-ip} path mtu 1500, ip mtu 1500, ip mtu idb Vlan2 current outbound spi: 0x39AC5EB5(967597749) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x6916F589(1763112329) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2043, flow_id: FPGA:43, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4471926/84077) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0xC20B462A(3255518762) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2045, flow_id: FPGA:45, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4384769/84852) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xC788A48C(3347621004) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2044, flow_id: FPGA:44, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4471922/84077) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0x39AC5EB5(967597749) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2046, flow_id: FPGA:46, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4384765/84852) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в которых сложно. Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ ) : аналогично - просто туннель работает, как только применяешь крипто мап - не работает. Прошу помощи!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 12:09 , 30-Июн-10, (1) +1

cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 13:06 , 30-Июн-10, (2)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 13:29 , 30-Июн-10, (3) +1

cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 13:48 , 30-Июн-10, (4)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 14:07 , 30-Июн-10, (5) +1

cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 14:54 , 30-Июн-10, (6)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 15:57 , 30-Июн-10, (7) +1

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 16:19 , 30-Июн-10, (8) +1

cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 16:36 , 30-Июн-10, (9)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 10:48 , 01-Июл-10, (11)

cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 11:52 , 02-Июл-10, (13)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 14:20 , 02-Июл-10, (14)
cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 15:27 , 02-Июл-10, (15)
cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 09:58 , 04-Июл-10, (16) +1
cisco 1841: не могу настроить gre+ipsec туннель, demchenko, 16:53 , 06-Июл-10, (17)

cisco 1841: не могу настроить gre+ipsec туннель, BOJIKA, 16:50 , 30-Июн-10, (10)

cisco 1841: не могу настроить gre+ipsec туннель, karen durinyan, 11:07 , 01-Июл-10, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 30-Июн-10, 12:09

>[оверквотинг удален]
>
>
>В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в
>которых сложно.
>
>Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/
>) : аналогично - просто туннель работает, как только применяешь крипто
>мап - не работает.
>
>Прошу помощи!
1. poprobuite:
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen propustit' gre + esp (+ah) + udp 500 (+ udp 4500 esli u vas nat) mezhdu peerami.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 30-Июн-10, 13:06

>1. poprobuite:
>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
> mode transport
попробовал - все равно не пингуются концы туннеля
>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>esli u vas nat) mezhdu peerami.
acl-ов на внешних интерфейсах нет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 30-Июн-10, 13:29

>[оверквотинг удален]
>>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
>> mode transport
>
>попробовал - все равно не пингуются концы туннеля
>
>>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>>esli u vas nat) mezhdu peerami.
>
>acl-ов на внешних интерфейсах нет
tak... kak ponimaju iz show commands na 212.45.2.67:
    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov netu. stranno chto decps i decrypt 0. poxozhe na to chto obratno paketi ne xodjat c 213.182.181.66.
kak vigledit analogichnie show commnads na drugom ciske?
I esho pochemu u vas na "msk" stoit shared na tunnel protection... ? u vas na "msk" est' drugoi tunel s tem zhe crypto map?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 30-Июн-10, 13:48

>[оверквотинг удален]
>tak... kak ponimaju iz show commands na 212.45.2.67:
>    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest:
>40
>    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify:
>0
>paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov
>netu. stranno chto decps i decrypt 0. poxozhe na to chto
>obratno paketi ne xodjat c 213.182.181.66.
>
>kak vigledit analogichnie show commnads na drugom ciske?
вот так:

#sh crypto ipsec sa
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 213.182.181.66
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (213.182.181.66/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (212.45.2.67/255.255.255.255/47/0)
   current_peer 212.45.2.67 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 50, #pkts encrypt: 50, #pkts digest: 50
    #pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 213.182.181.66, remote crypto endpt.: 212.45.2.67
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan3
     current outbound spi: 0xC20B462A(3255518762)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
      spi: 0xC788A48C(3347621004)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2015, flow_id: FPGA:15, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4540168/76298)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0x39AC5EB5(967597749)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2017, flow_id: FPGA:17, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4434487/77073)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x6916F589(1763112329)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2016, flow_id: FPGA:16, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4540168/76298)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0xC20B462A(3255518762)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2018, flow_id: FPGA:18, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4434487/77073)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
213.182.181.66  212.45.2.67     QM_IDLE           1006 ACTIVE
IPv6 Crypto ISAKMP SA

число decaps совпадает с encaps на московской циске. т.е. получается питерская циска отправляет и получает пакеты, а московская - только отправляет.
>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>? u vas na "msk" est' drugoi tunel s tem zhe
>crypto map?
нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной из статей по настройке циски. убрал - ничего не изменилось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 30-Июн-10, 14:07

>[оверквотинг удален]
>
>число decaps совпадает с encaps на московской циске. т.е. получается питерская циска
>отправляет и получает пакеты, а московская - только отправляет.
>
>>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>>? u vas na "msk" est' drugoi tunel s tem zhe
>>crypto map?
>
>нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной
>из статей по настройке циски. убрал - ничего не изменилось.
jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re 100
iz show crypto sa vidno chto ipsec u vas rabotaet. a encap encrypt 0 poxozhe chto vi prosto pinguete is vneshnogo ip a ne iz tunnel ip.
krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full config ne obaitis. (jasno bez passwords :) ).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 30-Июн-10, 14:54

>jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
>
>na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
>
>ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re
>100
>
именно так (только без re 100).
если убрать "tunnel protection ipsec", т.е. оставить только gre туннель - сразу же этими же коммандами начинают пинговаться оба конца туннеля.

#ping 192.168.3.2 so 192.168.3.1 si 1300
Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
.....
Success rate is 0 percent (0/5)
ipgate#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ipgate(config)#int tunnel1
ipgate(config-if)#no tunnel protection ipsec profile myprofile
ipgate(config-if)#^Z
ipgate#ping 192.168.3.2 so 192.168.3.1 si 1300
Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/60 ms
ipgate#traceroute 192.168.3.2
Type escape sequence to abort.
Tracing the route to 192.168.3.2
  1 192.168.3.2 72 msec *  52 msec
>krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full
>config ne obaitis. (jasno bez passwords :) ).
выкладываю полный конфиг, убраны только параметры про пользователей и доступ к консоли.
msk:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
dot11 syslog
ip source-route
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 213.182.181.66 no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source 212.45.2.67
tunnel destination 213.182.181.66
tunnel protection ipsec profile myprofile
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 192.168.2.100 255.255.255.0
ip tcp adjust-mss 1380
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
ip virtual-reassembly
!
interface Vlan2
ip address 212.45.2.67 255.255.255.248
ip virtual-reassembly
!
interface Vlan3
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.45.2.65
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 192.168.1.0 255.255.255.0 Tunnel1
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
!
!

piter (эта циска уже "боевая", маршрутизацию и нат настраивал не я):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ipgate
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
no logging monitor
!
aaa new-model
!
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 10.0.0.1
ip address-pool local
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 212.45.2.67 no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile C
set transform-set vpn1
!
!
!
class-map match-all BOSS
match access-group 100
!
!
policy-map QOS-PITER
class BOSS
    shape average 4194304
    bandwidth percent 50
class class-default
    shape average 3000000
    fair-queue
!
!
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source 213.182.181.66
tunnel destination 212.45.2.67
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
bandwidth 4096
ip address 192.168.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1380
ip policy route-map C-OUT
duplex auto
speed auto
no cdp enable
service-policy output QOS-PITER
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 3
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 217.170.93.154 255.255.255.248 secondary
ip address 217.170.93.18 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface Vlan3
ip address 212.119.170.2 255.255.255.240 secondary
ip address 213.182.181.66 255.255.255.240
ip nat outside
ip virtual-reassembly
!
ip local policy route-map M-OUT
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.170.93.17
ip route 10.0.0.0 255.0.0.0 192.168.1.3
ip route 10.0.0.1 255.255.255.255 192.168.1.2
ip route 10.0.0.232 255.255.255.255 192.168.1.2
ip route 10.0.1.43 255.255.255.255 192.168.1.2
ip route 10.0.1.44 255.255.255.255 192.168.1.2
ip route 10.0.1.64 255.255.255.255 192.168.1.2
ip route 10.0.1.65 255.255.255.255 192.168.1.2
ip route 10.0.1.66 255.255.255.255 192.168.1.2
ip route 10.0.1.67 255.255.255.255 192.168.1.2
ip route 10.0.1.75 255.255.255.255 192.168.1.2
ip route 10.0.1.103 255.255.255.255 192.168.1.2
ip route 10.0.1.105 255.255.255.255 192.168.1.2
ip route 10.0.1.106 255.255.255.255 192.168.1.2
ip route 10.0.1.107 255.255.255.255 192.168.1.2
ip route 10.0.1.108 255.255.255.255 192.168.1.2
ip route 10.0.1.114 255.255.255.255 192.168.1.2
ip route 10.0.1.181 255.255.255.255 192.168.1.2
ip route 10.0.1.182 255.255.255.255 192.168.1.2
ip route 10.0.1.183 255.255.255.255 192.168.1.2
ip route 10.0.1.201 255.255.255.255 192.168.1.2
ip route 10.0.1.208 255.255.255.255 192.168.1.2
ip route 10.0.2.1 255.255.255.255 192.168.1.2
ip route 10.0.3.1 255.255.255.255 192.168.1.2
ip route 10.0.4.23 255.255.255.255 192.168.1.2
ip route 10.0.10.20 255.255.255.255 192.168.1.2
ip route 10.0.10.30 255.255.255.255 192.168.1.2
ip route 10.0.11.0 255.255.255.0 192.168.1.2
ip route 94.230.0.254 255.255.255.255 212.119.170.1
ip route 192.168.2.0 255.255.255.0 Tunnel1
!
ip nat inside source list 5 interface Vlan2 overload
ip nat inside source list 7 interface Vlan2 overload
ip nat inside source list 8 interface Vlan3 overload
ip nat inside source list 10 interface Vlan2 overload
ip nat inside source list 11 interface Vlan3 overload
ip nat inside source list 12 interface Vlan2 overload
ip nat inside source list 13 interface Vlan3 overload
ip nat inside source list 14 interface Vlan2 overload
ip nat inside source list 15 interface Vlan3 overload
ip nat inside source list 16 interface Vlan3 overload
ip nat inside source list 17 interface Vlan3 overload
ip nat inside source list 18 interface Vlan3 overload
ip nat inside source list 40 interface Vlan2 overload
ip nat inside source static 10.0.1.44 212.119.170.3
ip nat inside source static 10.0.1.22 212.119.170.4
ip nat inside source static 10.0.3.146 212.119.170.5
ip nat inside source static 10.0.1.126 212.119.170.6
ip nat inside source static 192.168.1.4 212.119.170.7
ip nat inside source static tcp 10.0.7.32 80 212.119.170.8 80 extendable
ip nat inside source static 10.0.3.147 212.119.170.9
ip nat inside source static 10.0.7.33 212.119.170.10
ip nat inside source static tcp 10.0.1.44 22 212.119.170.12 22 extendable
ip nat inside source static tcp 10.0.7.40 1090 212.119.170.12 1090 extendable
ip nat inside source static tcp 10.0.7.40 1199 212.119.170.12 1199 extendable
ip nat inside source static tcp 10.0.7.40 8083 212.119.170.12 8083 extendable
ip nat inside source static tcp 10.0.7.41 9874 212.119.170.12 9874 extendable
ip nat inside source static tcp 10.0.7.191 9940 212.119.170.12 9940 extendable
ip nat inside source static tcp 10.0.1.44 10022 212.119.170.12 10022 extendable
ip nat inside source static tcp 10.0.1.44 10023 212.119.170.12 10023 extendable
ip nat inside source static tcp 10.0.170.12 80 212.119.170.12 10080 extendable
ip nat inside source static tcp 10.0.7.41 443 212.119.170.12 10443 extendable
ip nat inside source static tcp 10.0.7.40 44499 212.119.170.12 11199 extendable
ip nat inside source static tcp 10.0.1.240 22 212.119.170.14 22 extendable
ip nat inside source static 10.0.3.3 213.182.181.68
ip nat inside source static 10.0.3.1 213.182.181.70
ip nat inside source static tcp 10.0.8.2 25 213.182.181.72 25 extendable
ip nat inside source static tcp 10.0.8.1 143 213.182.181.72 143 extendable
ip nat inside source static tcp 10.0.8.1 443 213.182.181.72 443 extendable
ip nat inside source static 10.0.1.105 213.182.181.73
ip nat inside source static 10.0.170.9 213.182.181.74
ip nat inside source static 10.0.0.4 217.170.93.155
ip nat inside source static 192.168.1.3 217.170.93.156
ip nat inside source static tcp 10.0.2.1 25 217.170.93.157 25 extendable
!
access-list 2 permit 10.0.7.10
access-list 2 permit 10.0.1.103
access-list 2 permit 10.0.1.114
access-list 5 permit 192.168.1.1
access-list 5 permit 192.168.1.2
access-list 5 permit 10.0.0.0 0.0.0.255
access-list 7 permit 192.168.1.3
access-list 10 permit 10.0.10.20
access-list 10 permit 10.0.10.30
access-list 11 permit 10.0.1.0 0.0.0.255
access-list 11 permit 10.0.11.0 0.0.0.255
access-list 12 permit 10.0.2.0 0.0.0.255
access-list 13 permit 10.0.3.0 0.0.0.255
access-list 14 permit 10.0.4.0 0.0.0.255
access-list 15 permit 10.0.5.0 0.0.0.255
access-list 16 permit 10.0.8.0 0.0.0.255
access-list 17 permit 10.0.170.0 0.0.0.255
access-list 18 permit 10.0.7.0 0.0.0.255
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 40 permit 10.0.140.0 0.0.0.255
access-list 66 permit 213.182.181.66
access-list 90 permit 10.0.7.11
access-list 90 permit 10.0.7.10
access-list 90 permit 10.0.3.1
access-list 90 permit 10.0.0.2
access-list 90 permit 10.0.2.1
access-list 90 permit 10.0.1.1
access-list 90 permit 10.0.2.2
access-list 90 permit 10.0.2.3
access-list 90 permit 192.168.1.1
access-list 90 permit 192.168.1.3
access-list 90 permit 192.168.1.2
access-list 90 permit 10.0.1.101
access-list 90 permit 10.0.1.114
access-list 90 permit 10.0.3.148
dialer-list 1 protocol ip permit
!
!
!
route-map M-OUT permit 5
match ip address 66
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 5
match ip address 5 10 15
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 7
match ip address 7 12
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 10
match ip address 8
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 20
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 30
match ip address 17 16
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 40
match ip address 40 14 5
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 99
set interface Null0
!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 30-Июн-10, 15:57

>[оверквотинг удален]
> set ip next-hop 212.119.170.1
>!
>route-map C-OUT permit 40
> match ip address 40 14 5
> set ip next-hop 217.170.93.17
>!
>route-map C-OUT permit 99
> set interface Null0
>!
>
s pervogo vzgljada...
na ciske v moskve:
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
nenuzhni
ipsec peer 213.182.181.66 i eto ip stoit na vlan3 na ciske v pitere.
na ciske v pitere
ipsec peer (moskow endpoint) 212.45.2.67 no default route stoit na 217.170.93.17.
dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw (RPF - revers path filtring).
i nakonec nado proverit' est' li firewall mezhdu piter i msk nepropuskajushi "esp".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 30-Июн-10, 16:19

>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>(RPF - revers path filtring).
izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 30-Июн-10, 16:36

>
>>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>>(RPF - revers path filtring).
>
>izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku
да, и судя по трассировке уходит по правильному шлюзу:

pgate#traceroute 212.45.2.67 so 213.182.181.66 numeric
Type escape sequence to abort.
Tracing the route to 212.45.2.67
  1 213.182.181.65 4 msec 4 msec 0 msec
==cut==
насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я не знаю как проверить режут ли что-либо они или нет.
Если это поможет - через этих же провайдеров (с другими ip есс-но) прокинут виндовый ВПН (isa) и он работает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от karen durinyan (ok) on 01-Июл-10, 10:48

>[оверквотинг удален]
>Tracing the route to 212.45.2.67
>
>  1 213.182.181.65 4 msec 4 msec 0 msec
>==cut==
>
>
>насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я
>не знаю как проверить режут ли что-либо они или нет.
>Если это поможет - через этих же провайдеров (с другими ip есс-но)
>прокинут виндовый ВПН (isa) и он работает.
mozhno posmatret' v route cache i proverit' est' li tam prot 32 mezhdu peerami v oboix napravlenijax. kanechno eto nado delat posle dobovlenija "ip flow in" i "ip flow eg" pod vneshnix interface-ax i posle pinga tunnel-ip s pomoshju "show ip cache flow | in 32" (32 eto esp). esli vse v norme to vi dolzhni uvidet' chto to poxozhe:
Fa-x         peer1-ip   Fa-y       peer2-ip    32 F185 1E32    14
Fa-y         peer2-ip   Fa-x       peer1-ip    32 1E32 F185    14
na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp v oboix ili v odnu storonu ili iz za routinga.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 02-Июл-10, 11:52

32" (32 eto esp). esli vse v norme to vi dolzhni
>[оверквотинг удален]
> 32 F185 1E32    14
> Fa-y         peer2-ip
> Fa-x       peer1-ip
> 32 1E32 F185    14
>
>na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
>
>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>v oboix ili v odnu storonu ili iz za routinga.
попробовал - на обеих цисках в cache flow нет записей с протоколом 32, т.е. esp не проходит :/
фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров нет. Получается пинать нужно провайдеров?
А может ли это быть из-за того, что кабеля от провайдеров заведены в свитч, а из него уже в циски?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от karen durinyan (ok) on 02-Июл-10, 14:20

>[оверквотинг удален]
>>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>>v oboix ili v odnu storonu ili iz za routinga.
>
>попробовал - на обеих цисках в cache flow нет записей с протоколом
>32, т.е. esp не проходит :/
>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>нет. Получается пинать нужно провайдеров?
>А может ли это быть из-за того, что кабеля от провайдеров заведены
>в свитч, а из него уже в циски?
nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v route cache.
net switch ne dolzhen meshat' esli u vas L2 switch a ne L3 s ACL i route interfaicami.
v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix na schet filtraci...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 02-Июл-10, 15:27

>[оверквотинг удален]
>>
>>попробовал - на обеих цисках в cache flow нет записей с протоколом
>>32, т.е. esp не проходит :/
>>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>>нет. Получается пинать нужно провайдеров?
>>А может ли это быть из-за того, что кабеля от провайдеров заведены
>>в свитч, а из него уже в циски?
>
>nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v
>route cache.
не забыл - куча других записей в кэше появляются, но с протоколом 32 - ни одной.
>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>L3 s ACL i route interfaicami.
да, обычный l2 switch
>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>na schet filtraci...
ясно. спасибо за консультацию
пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты эксперемента - будет ли та же проблема с esp.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "cisco 1841: не могу настроить gre+ipsec туннель" +1 +/–

Сообщение от karen durinyan (ok) on 04-Июл-10, 09:58

>[оверквотинг удален]
>>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>>L3 s ACL i route interfaicami.
>
>да, обычный l2 switch
>>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>>na schet filtraci...
>
>ясно. спасибо за консультацию
>пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты
>эксперемента - будет ли та же проблема с esp.
privet,
ja semuliroval vash network u menja.
vse taki "ip route 212.45.2.67 255.255.255.255 213.182.181.65" na pitere pomog reshit' problemu dlja menja!
ptr#ping 192.168.3.2 so 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms
ptr#
msk#ping 192.168.3.1 so 192.168.3.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
msk#
esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto u vas:) tol'ko u mejna na pitere netu poslednei route-map ... NULL0 tak kak u menja router rugajetsa na eto.

posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na oboix peer: "clear crypto isakmp" i "clear crypto sa".
nadejus kak to pomog.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от demchenko on 06-Июл-10, 16:53

>[оверквотинг удален]
>
>esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto
>u vas:) tol'ko u mejna na pitere netu poslednei route-map ...
>NULL0 tak kak u menja router rugajetsa na eto.
>
>
>posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na
>oboix peer: "clear crypto isakmp" i "clear crypto sa".
>
>nadejus kak to pomog.
спасибо за помощь :)
пока возможности проверить нет - циску пришлось снять, стали зависать внешние порты. как только с этим разберемся - снова попробую.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от BOJIKA on 30-Июн-10, 16:50

!
route-map C-OUT permit 3
match ip address 100
set ip next-hop 192.168.3.1
!
ip access-list ext 100
permit ip any 192.168.2.0 0.0.0.255

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "cisco 1841: не могу настроить gre+ipsec туннель" +/–

Сообщение от karen durinyan (ok) on 01-Июл-10, 11:07

>!
>route-map C-OUT permit 3
> match ip address 100
> set ip next-hop 192.168.3.1
>!
>ip access-list ext 100
> permit ip any 192.168.2.0 0.0.0.255
mozhet i oshibajus', no
1. tam zhe est' ip route 192.168.2.0 255.255.255.0 Tunnel1
2. esli problema v route map to pochemu vse rabotajet v sluchae GRE
3. route map C-OUT stoit pod vnutreenem interface a problema v tom chto posle activaci ipseca ping ne vozmozhen mezhdu tunnel interfeisamki a ne mezhdu LAN.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
Сообщение от karen durinyan (ok) on 30-Июн-10, 12:09
>[оверквотинг удален] > > >В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в >которых сложно. > >Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ >) : аналогично - просто туннель работает, как только применяешь крипто >мап - не работает. > >Прошу помощи! 1. poprobuite: crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport 2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen propustit' gre + esp (+ah) + udp 500 (+ udp 4500 esli u vas nat) mezhdu peerami.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 30-Июн-10, 13:06
	>1. poprobuite: >crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac > mode transport попробовал - все равно не пингуются концы туннеля >2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen >propustit' gre + esp (+ah) + udp 500 (+ udp 4500 >esli u vas nat) mezhdu peerami. acl-ов на внешних интерфейсах нет
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
	Сообщение от karen durinyan (ok) on 30-Июн-10, 13:29
	>[оверквотинг удален] >>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac >> mode transport > >попробовал - все равно не пингуются концы туннеля > >>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen >>propustit' gre + esp (+ah) + udp 500 (+ udp 4500 >>esli u vas nat) mezhdu peerami. > >acl-ов на внешних интерфейсах нет tak... kak ponimaju iz show commands na 212.45.2.67: #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov netu. stranno chto decps i decrypt 0. poxozhe na to chto obratno paketi ne xodjat c 213.182.181.66. kak vigledit analogichnie show commnads na drugom ciske? I esho pochemu u vas na "msk" stoit shared na tunnel protection... ? u vas na "msk" est' drugoi tunel s tem zhe crypto map?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 30-Июн-10, 13:48
	>[оверквотинг удален] >tak... kak ponimaju iz show commands na 212.45.2.67: > #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: >40 > #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: >0 >paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov >netu. stranno chto decps i decrypt 0. poxozhe na to chto >obratno paketi ne xodjat c 213.182.181.66. > >kak vigledit analogichnie show commnads na drugom ciske? вот так: #sh crypto ipsec sa interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 213.182.181.66 protected vrf: (none) local ident (addr/mask/prot/port): (213.182.181.66/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (212.45.2.67/255.255.255.255/47/0) current_peer 212.45.2.67 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 50, #pkts encrypt: 50, #pkts digest: 50 #pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 213.182.181.66, remote crypto endpt.: 212.45.2.67 path mtu 1500, ip mtu 1500, ip mtu idb Vlan3 current outbound spi: 0xC20B462A(3255518762) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xC788A48C(3347621004) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2015, flow_id: FPGA:15, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4540168/76298) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0x39AC5EB5(967597749) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2017, flow_id: FPGA:17, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4434487/77073) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x6916F589(1763112329) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2016, flow_id: FPGA:16, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4540168/76298) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0xC20B462A(3255518762) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2018, flow_id: FPGA:18, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4434487/77073) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: #sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 213.182.181.66 212.45.2.67 QM_IDLE 1006 ACTIVE IPv6 Crypto ISAKMP SA число decaps совпадает с encaps на московской циске. т.е. получается питерская циска отправляет и получает пакеты, а московская - только отправляет. >I esho pochemu u vas na "msk" stoit shared na tunnel protection... >? u vas na "msk" est' drugoi tunel s tem zhe >crypto map? нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной из статей по настройке циски. убрал - ничего не изменилось.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
	Сообщение от karen durinyan (ok) on 30-Июн-10, 14:07
	>[оверквотинг удален] > >число decaps совпадает с encaps на московской циске. т.е. получается питерская циска >отправляет и получает пакеты, а московская - только отправляет. > >>I esho pochemu u vas na "msk" stoit shared na tunnel protection... >>? u vas na "msk" est' drugoi tunel s tem zhe >>crypto map? > >нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной >из статей по настройке циски. убрал - ничего не изменилось. jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip? na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100 ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re 100 iz show crypto sa vidno chto ipsec u vas rabotaet. a encap encrypt 0 poxozhe chto vi prosto pinguete is vneshnogo ip a ne iz tunnel ip. krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full config ne obaitis. (jasno bez passwords :) ).
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 30-Июн-10, 14:54
	>jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip? > >na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100 > >ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re >100 > именно так (только без re 100). если убрать "tunnel protection ipsec", т.е. оставить только gre туннель - сразу же этими же коммандами начинают пинговаться оба конца туннеля. #ping 192.168.3.2 so 192.168.3.1 si 1300 Type escape sequence to abort. Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 ..... Success rate is 0 percent (0/5) ipgate#conf t Enter configuration commands, one per line. End with CNTL/Z. ipgate(config)#int tunnel1 ipgate(config-if)#no tunnel protection ipsec profile myprofile ipgate(config-if)#^Z ipgate#ping 192.168.3.2 so 192.168.3.1 si 1300 Type escape sequence to abort. Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/60 ms ipgate#traceroute 192.168.3.2 Type escape sequence to abort. Tracing the route to 192.168.3.2 1 192.168.3.2 72 msec * 52 msec >krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full >config ne obaitis. (jasno bez passwords :) ). выкладываю полный конфиг, убраны только параметры про пользователей и доступ к консоли. msk: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname yourname ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 51200 warnings ! no aaa new-model dot11 syslog ip source-route ! ! ip cef ip domain name yourdomain.com ! multilink bundle-name authenticated ! ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key vpn address 213.182.181.66 no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile myprofile set transform-set vpn1 ! interface Tunnel1 ip address 192.168.3.2 255.255.255.252 ip mtu 1420 tunnel source 212.45.2.67 tunnel destination 213.182.181.66 tunnel protection ipsec profile myprofile ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$ ip address 192.168.2.100 255.255.255.0 ip tcp adjust-mss 1380 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 2 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ip virtual-reassembly ! interface Vlan2 ip address 212.45.2.67 255.255.255.248 ip virtual-reassembly ! interface Vlan3 no ip address ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 212.45.2.65 ip route 10.0.0.0 255.0.0.0 Tunnel1 ip route 192.168.1.0 255.255.255.0 Tunnel1 ip route 192.168.2.0 255.255.255.0 FastEthernet0/0 ip route 192.168.3.0 255.255.255.252 Tunnel1 ! ! piter (эта циска уже "боевая", маршрутизацию и нат настраивал не я): ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ipgate ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 51200 warnings no logging monitor ! aaa new-model ! ! aaa authentication login rtr-remote local aaa authorization network rtr-remote local ! ! aaa session-id common dot11 syslog ip source-route ! ! ! ! ip cef ip name-server 10.0.0.1 ip address-pool local ! multilink bundle-name authenticated ! ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key vpn address 212.45.2.67 no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile C set transform-set vpn1 ! ! ! class-map match-all BOSS match access-group 100 ! ! policy-map QOS-PITER class BOSS shape average 4194304 bandwidth percent 50 class class-default shape average 3000000 fair-queue ! ! ! ! interface Tunnel1 ip address 192.168.3.1 255.255.255.252 ip mtu 1420 tunnel source 213.182.181.66 tunnel destination 212.45.2.67 ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$ bandwidth 4096 ip address 192.168.1.1 255.255.255.248 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1380 ip policy route-map C-OUT duplex auto speed auto no cdp enable service-policy output QOS-PITER ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 2 ! interface FastEthernet0/0/1 switchport access vlan 3 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Vlan2 ip address 217.170.93.154 255.255.255.248 secondary ip address 217.170.93.18 255.255.255.252 ip nat outside ip virtual-reassembly ! interface Vlan3 ip address 212.119.170.2 255.255.255.240 secondary ip address 213.182.181.66 255.255.255.240 ip nat outside ip virtual-reassembly ! ip local policy route-map M-OUT ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 217.170.93.17 ip route 10.0.0.0 255.0.0.0 192.168.1.3 ip route 10.0.0.1 255.255.255.255 192.168.1.2 ip route 10.0.0.232 255.255.255.255 192.168.1.2 ip route 10.0.1.43 255.255.255.255 192.168.1.2 ip route 10.0.1.44 255.255.255.255 192.168.1.2 ip route 10.0.1.64 255.255.255.255 192.168.1.2 ip route 10.0.1.65 255.255.255.255 192.168.1.2 ip route 10.0.1.66 255.255.255.255 192.168.1.2 ip route 10.0.1.67 255.255.255.255 192.168.1.2 ip route 10.0.1.75 255.255.255.255 192.168.1.2 ip route 10.0.1.103 255.255.255.255 192.168.1.2 ip route 10.0.1.105 255.255.255.255 192.168.1.2 ip route 10.0.1.106 255.255.255.255 192.168.1.2 ip route 10.0.1.107 255.255.255.255 192.168.1.2 ip route 10.0.1.108 255.255.255.255 192.168.1.2 ip route 10.0.1.114 255.255.255.255 192.168.1.2 ip route 10.0.1.181 255.255.255.255 192.168.1.2 ip route 10.0.1.182 255.255.255.255 192.168.1.2 ip route 10.0.1.183 255.255.255.255 192.168.1.2 ip route 10.0.1.201 255.255.255.255 192.168.1.2 ip route 10.0.1.208 255.255.255.255 192.168.1.2 ip route 10.0.2.1 255.255.255.255 192.168.1.2 ip route 10.0.3.1 255.255.255.255 192.168.1.2 ip route 10.0.4.23 255.255.255.255 192.168.1.2 ip route 10.0.10.20 255.255.255.255 192.168.1.2 ip route 10.0.10.30 255.255.255.255 192.168.1.2 ip route 10.0.11.0 255.255.255.0 192.168.1.2 ip route 94.230.0.254 255.255.255.255 212.119.170.1 ip route 192.168.2.0 255.255.255.0 Tunnel1 ! ip nat inside source list 5 interface Vlan2 overload ip nat inside source list 7 interface Vlan2 overload ip nat inside source list 8 interface Vlan3 overload ip nat inside source list 10 interface Vlan2 overload ip nat inside source list 11 interface Vlan3 overload ip nat inside source list 12 interface Vlan2 overload ip nat inside source list 13 interface Vlan3 overload ip nat inside source list 14 interface Vlan2 overload ip nat inside source list 15 interface Vlan3 overload ip nat inside source list 16 interface Vlan3 overload ip nat inside source list 17 interface Vlan3 overload ip nat inside source list 18 interface Vlan3 overload ip nat inside source list 40 interface Vlan2 overload ip nat inside source static 10.0.1.44 212.119.170.3 ip nat inside source static 10.0.1.22 212.119.170.4 ip nat inside source static 10.0.3.146 212.119.170.5 ip nat inside source static 10.0.1.126 212.119.170.6 ip nat inside source static 192.168.1.4 212.119.170.7 ip nat inside source static tcp 10.0.7.32 80 212.119.170.8 80 extendable ip nat inside source static 10.0.3.147 212.119.170.9 ip nat inside source static 10.0.7.33 212.119.170.10 ip nat inside source static tcp 10.0.1.44 22 212.119.170.12 22 extendable ip nat inside source static tcp 10.0.7.40 1090 212.119.170.12 1090 extendable ip nat inside source static tcp 10.0.7.40 1199 212.119.170.12 1199 extendable ip nat inside source static tcp 10.0.7.40 8083 212.119.170.12 8083 extendable ip nat inside source static tcp 10.0.7.41 9874 212.119.170.12 9874 extendable ip nat inside source static tcp 10.0.7.191 9940 212.119.170.12 9940 extendable ip nat inside source static tcp 10.0.1.44 10022 212.119.170.12 10022 extendable ip nat inside source static tcp 10.0.1.44 10023 212.119.170.12 10023 extendable ip nat inside source static tcp 10.0.170.12 80 212.119.170.12 10080 extendable ip nat inside source static tcp 10.0.7.41 443 212.119.170.12 10443 extendable ip nat inside source static tcp 10.0.7.40 44499 212.119.170.12 11199 extendable ip nat inside source static tcp 10.0.1.240 22 212.119.170.14 22 extendable ip nat inside source static 10.0.3.3 213.182.181.68 ip nat inside source static 10.0.3.1 213.182.181.70 ip nat inside source static tcp 10.0.8.2 25 213.182.181.72 25 extendable ip nat inside source static tcp 10.0.8.1 143 213.182.181.72 143 extendable ip nat inside source static tcp 10.0.8.1 443 213.182.181.72 443 extendable ip nat inside source static 10.0.1.105 213.182.181.73 ip nat inside source static 10.0.170.9 213.182.181.74 ip nat inside source static 10.0.0.4 217.170.93.155 ip nat inside source static 192.168.1.3 217.170.93.156 ip nat inside source static tcp 10.0.2.1 25 217.170.93.157 25 extendable ! access-list 2 permit 10.0.7.10 access-list 2 permit 10.0.1.103 access-list 2 permit 10.0.1.114 access-list 5 permit 192.168.1.1 access-list 5 permit 192.168.1.2 access-list 5 permit 10.0.0.0 0.0.0.255 access-list 7 permit 192.168.1.3 access-list 10 permit 10.0.10.20 access-list 10 permit 10.0.10.30 access-list 11 permit 10.0.1.0 0.0.0.255 access-list 11 permit 10.0.11.0 0.0.0.255 access-list 12 permit 10.0.2.0 0.0.0.255 access-list 13 permit 10.0.3.0 0.0.0.255 access-list 14 permit 10.0.4.0 0.0.0.255 access-list 15 permit 10.0.5.0 0.0.0.255 access-list 16 permit 10.0.8.0 0.0.0.255 access-list 17 permit 10.0.170.0 0.0.0.255 access-list 18 permit 10.0.7.0 0.0.0.255 access-list 23 permit 10.0.0.0 0.255.255.255 access-list 40 permit 10.0.140.0 0.0.0.255 access-list 66 permit 213.182.181.66 access-list 90 permit 10.0.7.11 access-list 90 permit 10.0.7.10 access-list 90 permit 10.0.3.1 access-list 90 permit 10.0.0.2 access-list 90 permit 10.0.2.1 access-list 90 permit 10.0.1.1 access-list 90 permit 10.0.2.2 access-list 90 permit 10.0.2.3 access-list 90 permit 192.168.1.1 access-list 90 permit 192.168.1.3 access-list 90 permit 192.168.1.2 access-list 90 permit 10.0.1.101 access-list 90 permit 10.0.1.114 access-list 90 permit 10.0.3.148 dialer-list 1 protocol ip permit ! ! ! route-map M-OUT permit 5 match ip address 66 set ip next-hop 213.182.181.65 ! route-map C-OUT permit 5 match ip address 5 10 15 set ip next-hop 217.170.93.17 ! route-map C-OUT permit 7 match ip address 7 12 set ip next-hop 217.170.93.17 ! route-map C-OUT permit 10 match ip address 8 set ip next-hop 212.119.170.1 ! route-map C-OUT permit 20 set ip next-hop 213.182.181.65 ! route-map C-OUT permit 30 match ip address 17 16 set ip next-hop 212.119.170.1 ! route-map C-OUT permit 40 match ip address 40 14 5 set ip next-hop 217.170.93.17 ! route-map C-OUT permit 99 set interface Null0 !
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
	Сообщение от karen durinyan (ok) on 30-Июн-10, 15:57
	>[оверквотинг удален] > set ip next-hop 212.119.170.1 >! >route-map C-OUT permit 40 > match ip address 40 14 5 > set ip next-hop 217.170.93.17 >! >route-map C-OUT permit 99 > set interface Null0 >! > s pervogo vzgljada... na ciske v moskve: ip route 192.168.2.0 255.255.255.0 FastEthernet0/0 ip route 192.168.3.0 255.255.255.252 Tunnel1 nenuzhni ipsec peer 213.182.181.66 i eto ip stoit na vlan3 na ciske v pitere. na ciske v pitere ipsec peer (moskow endpoint) 212.45.2.67 no default route stoit na 217.170.93.17. dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet. problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw (RPF - revers path filtring). i nakonec nado proverit' est' li firewall mezhdu piter i msk nepropuskajushi "esp".
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
	Сообщение от karen durinyan (ok) on 30-Июн-10, 16:19
	>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet. >problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw >(RPF - revers path filtring). izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 30-Июн-10, 16:36
	> >>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet. >>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw >>(RPF - revers path filtring). > >izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku да, и судя по трассировке уходит по правильному шлюзу: pgate#traceroute 212.45.2.67 so 213.182.181.66 numeric Type escape sequence to abort. Tracing the route to 212.45.2.67 1 213.182.181.65 4 msec 4 msec 0 msec ==cut== насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я не знаю как проверить режут ли что-либо они или нет. Если это поможет - через этих же провайдеров (с другими ip есс-но) прокинут виндовый ВПН (isa) и он работает.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от karen durinyan (ok) on 01-Июл-10, 10:48
	>[оверквотинг удален] >Tracing the route to 212.45.2.67 > > 1 213.182.181.65 4 msec 4 msec 0 msec >==cut== > > >насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я >не знаю как проверить режут ли что-либо они или нет. >Если это поможет - через этих же провайдеров (с другими ip есс-но) >прокинут виндовый ВПН (isa) и он работает. mozhno posmatret' v route cache i proverit' est' li tam prot 32 mezhdu peerami v oboix napravlenijax. kanechno eto nado delat posle dobovlenija "ip flow in" i "ip flow eg" pod vneshnix interface-ax i posle pinga tunnel-ip s pomoshju "show ip cache flow \| in 32" (32 eto esp). esli vse v norme to vi dolzhni uvidet' chto to poxozhe: Fa-x peer1-ip Fa-y peer2-ip 32 F185 1E32 14 Fa-y peer2-ip Fa-x peer1-ip 32 1E32 F185 14 na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon. esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp v oboix ili v odnu storonu ili iz za routinga.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 02-Июл-10, 11:52
	32" (32 eto esp). esli vse v norme to vi dolzhni >[оверквотинг удален] > 32 F185 1E32 14 > Fa-y peer2-ip > Fa-x peer1-ip > 32 1E32 F185 14 > >na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon. > >esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko >v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp >v oboix ili v odnu storonu ili iz za routinga. попробовал - на обеих цисках в cache flow нет записей с протоколом 32, т.е. esp не проходит :/ фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров нет. Получается пинать нужно провайдеров? А может ли это быть из-за того, что кабеля от провайдеров заведены в свитч, а из него уже в циски?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от karen durinyan (ok) on 02-Июл-10, 14:20
	>[оверквотинг удален] >>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko >>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp >>v oboix ili v odnu storonu ili iz za routinga. > >попробовал - на обеих цисках в cache flow нет записей с протоколом >32, т.е. esp не проходит :/ >фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров >нет. Получается пинать нужно провайдеров? >А может ли это быть из-за того, что кабеля от провайдеров заведены >в свитч, а из него уже в циски? nadejus ne zabili vkljuchit ip route in\|en pered tem kak smotret' v route cache. net switch ne dolzhen meshat' esli u vas L2 switch a ne L3 s ACL i route interfaicami. v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix na schet filtraci...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 02-Июл-10, 15:27
	>[оверквотинг удален] >> >>попробовал - на обеих цисках в cache flow нет записей с протоколом >>32, т.е. esp не проходит :/ >>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров >>нет. Получается пинать нужно провайдеров? >>А может ли это быть из-за того, что кабеля от провайдеров заведены >>в свитч, а из него уже в циски? > >nadejus ne zabili vkljuchit ip route in\|en pered tem kak smotret' v >route cache. не забыл - куча других записей в кэше появляются, но с протоколом 32 - ни одной. >net switch ne dolzhen meshat' esli u vas L2 switch a ne >L3 s ACL i route interfaicami. да, обычный l2 switch >v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix >na schet filtraci... ясно. спасибо за консультацию пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты эксперемента - будет ли та же проблема с esp.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	16. "cisco 1841: не могу настроить gre+ipsec туннель"	+1 +/–
	Сообщение от karen durinyan (ok) on 04-Июл-10, 09:58
	>[оверквотинг удален] >>net switch ne dolzhen meshat' esli u vas L2 switch a ne >>L3 s ACL i route interfaicami. > >да, обычный l2 switch >>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix >>na schet filtraci... > >ясно. спасибо за консультацию >пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты >эксперемента - будет ли та же проблема с esp. privet, ja semuliroval vash network u menja. vse taki "ip route 212.45.2.67 255.255.255.255 213.182.181.65" na pitere pomog reshit' problemu dlja menja! ptr#ping 192.168.3.2 so 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms ptr# msk#ping 192.168.3.1 so 192.168.3.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms msk# esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto u vas:) tol'ko u mejna na pitere netu poslednei route-map ... NULL0 tak kak u menja router rugajetsa na eto. posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na oboix peer: "clear crypto isakmp" i "clear crypto sa". nadejus kak to pomog.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от demchenko on 06-Июл-10, 16:53
	>[оверквотинг удален] > >esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto >u vas:) tol'ko u mejna na pitere netu poslednei route-map ... >NULL0 tak kak u menja router rugajetsa na eto. > > >posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na >oboix peer: "clear crypto isakmp" i "clear crypto sa". > >nadejus kak to pomog. спасибо за помощь :) пока возможности проверить нет - циску пришлось снять, стали зависать внешние порты. как только с этим разберемся - снова попробую.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от BOJIKA on 30-Июн-10, 16:50
	! route-map C-OUT permit 3 match ip address 100 set ip next-hop 192.168.3.1 ! ip access-list ext 100 permit ip any 192.168.2.0 0.0.0.255
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "cisco 1841: не могу настроить gre+ipsec туннель"	+/–
	Сообщение от karen durinyan (ok) on 01-Июл-10, 11:07
	>! >route-map C-OUT permit 3 > match ip address 100 > set ip next-hop 192.168.3.1 >! >ip access-list ext 100 > permit ip any 192.168.2.0 0.0.0.255 mozhet i oshibajus', no 1. tam zhe est' ip route 192.168.2.0 255.255.255.0 Tunnel1 2. esli problema v route map to pochemu vse rabotajet v sluchae GRE 3. route map C-OUT stoit pod vnutreenem interface a problema v tom chto posle activaci ipseca ping ne vozmozhen mezhdu tunnel interfeisamki a ne mezhdu LAN.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору