The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco 1841: не могу настроить gre+ipsec туннель"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 30-Июн-10, 11:37 
Доброго времени суток,

есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются.
конфиг:


####### cisco 1841 - piter ########
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {msk-ext-ip} no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source {piter-ext-ip}
tunnel destination {msk-ext-ip}
tunnel protection ipsec profile myprofile
!

####### cisco 1841 - msk ################
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {piter-ext-ip} no-xauth
!        
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!        
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source {msk-ext-ip}
tunnel destination {piter-ext-ip}
tunnel protection ipsec profile myprofile shared
!


обмен ключами успешен, насколько могу судить по этому:

#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
213.182.181.66  212.45.2.67     QM_IDLE           1018 ACTIVE

IPv6 Crypto ISAKMP SA

#sh crypto ipsec sa

interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr {msk-ext-ip}

   protected vrf: (none)
   local  ident (addr/mask/prot/port): ({msk-ext-ip}/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): ({piter-ext-ip}/255.255.255.255/47/0)
   current_peer {piter-ext-ip} port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: {msk-ext-ip}, remote crypto endpt.: {piter-ext-ip}
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan2
     current outbound spi: 0x39AC5EB5(967597749)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6916F589(1763112329)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2043, flow_id: FPGA:43, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4471926/84077)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0xC20B462A(3255518762)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2045, flow_id: FPGA:45, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4384769/84852)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xC788A48C(3347621004)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2044, flow_id: FPGA:44, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4471922/84077)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0x39AC5EB5(967597749)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2046, flow_id: FPGA:46, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4384765/84852)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в которых сложно.

Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ ) : аналогично - просто туннель работает, как только применяешь крипто мап - не работает.

Прошу помощи!

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 30-Июн-10, 12:09 
>[оверквотинг удален]
>
>
>В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в
>которых сложно.
>
>Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/
>) : аналогично - просто туннель работает, как только применяешь крипто
>мап - не работает.
>
>Прошу помощи!

1. poprobuite:
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport

2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen propustit' gre + esp (+ah) + udp 500 (+ udp 4500 esli u vas nat) mezhdu peerami.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 30-Июн-10, 13:06 

>1. poprobuite:
>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
> mode transport

попробовал - все равно не пингуются концы туннеля

>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>esli u vas nat) mezhdu peerami.

acl-ов на внешних интерфейсах нет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 30-Июн-10, 13:29 
>[оверквотинг удален]
>>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
>> mode transport
>
>попробовал - все равно не пингуются концы туннеля
>
>>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>>esli u vas nat) mezhdu peerami.
>
>acl-ов на внешних интерфейсах нет

tak... kak ponimaju iz show commands na 212.45.2.67:
    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov netu. stranno chto decps i decrypt 0. poxozhe na to chto obratno paketi ne xodjat c 213.182.181.66.

kak vigledit analogichnie show commnads na drugom ciske?

I esho pochemu u vas na "msk" stoit shared na tunnel protection... ? u vas na "msk" est' drugoi tunel s tem zhe crypto map?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 30-Июн-10, 13:48 
>[оверквотинг удален]
>tak... kak ponimaju iz show commands na 212.45.2.67:
>    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest:
>40
>    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify:
>0
>paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov
>netu. stranno chto decps i decrypt 0. poxozhe na to chto
>obratno paketi ne xodjat c 213.182.181.66.
>
>kak vigledit analogichnie show commnads na drugom ciske?

вот так:


#sh crypto ipsec sa

interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 213.182.181.66

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (213.182.181.66/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (212.45.2.67/255.255.255.255/47/0)
   current_peer 212.45.2.67 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 50, #pkts encrypt: 50, #pkts digest: 50
    #pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 213.182.181.66, remote crypto endpt.: 212.45.2.67
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan3
     current outbound spi: 0xC20B462A(3255518762)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xC788A48C(3347621004)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2015, flow_id: FPGA:15, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4540168/76298)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0x39AC5EB5(967597749)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2017, flow_id: FPGA:17, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4434487/77073)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x6916F589(1763112329)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2016, flow_id: FPGA:16, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4540168/76298)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0xC20B462A(3255518762)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2018, flow_id: FPGA:18, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4434487/77073)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
213.182.181.66  212.45.2.67     QM_IDLE           1006 ACTIVE

IPv6 Crypto ISAKMP SA


число decaps совпадает с encaps на московской циске. т.е. получается питерская циска отправляет и получает пакеты, а московская - только отправляет.

>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>? u vas na "msk" est' drugoi tunel s tem zhe
>crypto map?

нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной из статей по настройке циски. убрал - ничего не изменилось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 30-Июн-10, 14:07 
>[оверквотинг удален]
>
>число decaps совпадает с encaps на московской циске. т.е. получается питерская циска
>отправляет и получает пакеты, а московская - только отправляет.
>
>>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>>? u vas na "msk" est' drugoi tunel s tem zhe
>>crypto map?
>
>нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной
>из статей по настройке циски. убрал - ничего не изменилось.

jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re 100

iz show crypto sa vidno chto ipsec u vas rabotaet. a encap encrypt 0 poxozhe chto vi prosto pinguete is vneshnogo ip a ne iz tunnel ip.

krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full config ne obaitis. (jasno bez passwords :) ).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 30-Июн-10, 14:54 
>jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
>
>na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
>
>ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re
>100
>

именно так (только без re 100).
если убрать "tunnel protection ipsec", т.е. оставить только gre туннель - сразу же этими же коммандами начинают пинговаться оба конца туннеля.


#ping 192.168.3.2 so 192.168.3.1 si 1300

Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
.....
Success rate is 0 percent (0/5)
ipgate#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
ipgate(config)#int tunnel1
ipgate(config-if)#no tunnel protection ipsec profile myprofile
ipgate(config-if)#^Z
ipgate#ping 192.168.3.2 so 192.168.3.1 si 1300

Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/60 ms
ipgate#traceroute 192.168.3.2

Type escape sequence to abort.
Tracing the route to 192.168.3.2

  1 192.168.3.2 72 msec *  52 msec

>krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full
>config ne obaitis. (jasno bez passwords :) ).

выкладываю полный конфиг, убраны только параметры про пользователей и доступ к консоли.
msk:


!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
dot11 syslog
ip source-route
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 213.182.181.66 no-xauth
!        
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source 212.45.2.67
tunnel destination 213.182.181.66
tunnel protection ipsec profile myprofile
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 192.168.2.100 255.255.255.0
ip tcp adjust-mss 1380
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
ip virtual-reassembly
!
interface Vlan2
ip address 212.45.2.67 255.255.255.248
ip virtual-reassembly
!
interface Vlan3
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.45.2.65
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 192.168.1.0 255.255.255.0 Tunnel1
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
!        
!

piter (эта циска уже "боевая", маршрутизацию и нат настраивал не я):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ipgate
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
no logging monitor
!
aaa new-model
!
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 10.0.0.1
ip address-pool local
!
multilink bundle-name authenticated
!

!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 212.45.2.67 no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile C
set transform-set vpn1
!
!
!
class-map match-all BOSS
match access-group 100
!
!
policy-map QOS-PITER
class BOSS
    shape average 4194304
    bandwidth percent 50
class class-default
    shape average 3000000
    fair-queue
!
!
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source 213.182.181.66
tunnel destination 212.45.2.67
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
bandwidth 4096
ip address 192.168.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1380
ip policy route-map C-OUT
duplex auto
speed auto
no cdp enable
service-policy output QOS-PITER
!        
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 3
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 217.170.93.154 255.255.255.248 secondary
ip address 217.170.93.18 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface Vlan3
ip address 212.119.170.2 255.255.255.240 secondary
ip address 213.182.181.66 255.255.255.240
ip nat outside
ip virtual-reassembly
!
ip local policy route-map M-OUT
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.170.93.17
ip route 10.0.0.0 255.0.0.0 192.168.1.3
ip route 10.0.0.1 255.255.255.255 192.168.1.2
ip route 10.0.0.232 255.255.255.255 192.168.1.2
ip route 10.0.1.43 255.255.255.255 192.168.1.2
ip route 10.0.1.44 255.255.255.255 192.168.1.2
ip route 10.0.1.64 255.255.255.255 192.168.1.2
ip route 10.0.1.65 255.255.255.255 192.168.1.2
ip route 10.0.1.66 255.255.255.255 192.168.1.2
ip route 10.0.1.67 255.255.255.255 192.168.1.2
ip route 10.0.1.75 255.255.255.255 192.168.1.2
ip route 10.0.1.103 255.255.255.255 192.168.1.2
ip route 10.0.1.105 255.255.255.255 192.168.1.2
ip route 10.0.1.106 255.255.255.255 192.168.1.2
ip route 10.0.1.107 255.255.255.255 192.168.1.2
ip route 10.0.1.108 255.255.255.255 192.168.1.2
ip route 10.0.1.114 255.255.255.255 192.168.1.2
ip route 10.0.1.181 255.255.255.255 192.168.1.2
ip route 10.0.1.182 255.255.255.255 192.168.1.2
ip route 10.0.1.183 255.255.255.255 192.168.1.2
ip route 10.0.1.201 255.255.255.255 192.168.1.2
ip route 10.0.1.208 255.255.255.255 192.168.1.2
ip route 10.0.2.1 255.255.255.255 192.168.1.2
ip route 10.0.3.1 255.255.255.255 192.168.1.2
ip route 10.0.4.23 255.255.255.255 192.168.1.2
ip route 10.0.10.20 255.255.255.255 192.168.1.2
ip route 10.0.10.30 255.255.255.255 192.168.1.2
ip route 10.0.11.0 255.255.255.0 192.168.1.2
ip route 94.230.0.254 255.255.255.255 212.119.170.1
ip route 192.168.2.0 255.255.255.0 Tunnel1
!        
ip nat inside source list 5 interface Vlan2 overload
ip nat inside source list 7 interface Vlan2 overload
ip nat inside source list 8 interface Vlan3 overload
ip nat inside source list 10 interface Vlan2 overload
ip nat inside source list 11 interface Vlan3 overload
ip nat inside source list 12 interface Vlan2 overload
ip nat inside source list 13 interface Vlan3 overload
ip nat inside source list 14 interface Vlan2 overload
ip nat inside source list 15 interface Vlan3 overload
ip nat inside source list 16 interface Vlan3 overload
ip nat inside source list 17 interface Vlan3 overload
ip nat inside source list 18 interface Vlan3 overload
ip nat inside source list 40 interface Vlan2 overload
ip nat inside source static 10.0.1.44 212.119.170.3
ip nat inside source static 10.0.1.22 212.119.170.4
ip nat inside source static 10.0.3.146 212.119.170.5
ip nat inside source static 10.0.1.126 212.119.170.6
ip nat inside source static 192.168.1.4 212.119.170.7
ip nat inside source static tcp 10.0.7.32 80 212.119.170.8 80 extendable
ip nat inside source static 10.0.3.147 212.119.170.9
ip nat inside source static 10.0.7.33 212.119.170.10
ip nat inside source static tcp 10.0.1.44 22 212.119.170.12 22 extendable
ip nat inside source static tcp 10.0.7.40 1090 212.119.170.12 1090 extendable
ip nat inside source static tcp 10.0.7.40 1199 212.119.170.12 1199 extendable
ip nat inside source static tcp 10.0.7.40 8083 212.119.170.12 8083 extendable
ip nat inside source static tcp 10.0.7.41 9874 212.119.170.12 9874 extendable
ip nat inside source static tcp 10.0.7.191 9940 212.119.170.12 9940 extendable
ip nat inside source static tcp 10.0.1.44 10022 212.119.170.12 10022 extendable
ip nat inside source static tcp 10.0.1.44 10023 212.119.170.12 10023 extendable
ip nat inside source static tcp 10.0.170.12 80 212.119.170.12 10080 extendable
ip nat inside source static tcp 10.0.7.41 443 212.119.170.12 10443 extendable
ip nat inside source static tcp 10.0.7.40 44499 212.119.170.12 11199 extendable
ip nat inside source static tcp 10.0.1.240 22 212.119.170.14 22 extendable
ip nat inside source static 10.0.3.3 213.182.181.68
ip nat inside source static 10.0.3.1 213.182.181.70
ip nat inside source static tcp 10.0.8.2 25 213.182.181.72 25 extendable
ip nat inside source static tcp 10.0.8.1 143 213.182.181.72 143 extendable
ip nat inside source static tcp 10.0.8.1 443 213.182.181.72 443 extendable
ip nat inside source static 10.0.1.105 213.182.181.73
ip nat inside source static 10.0.170.9 213.182.181.74
ip nat inside source static 10.0.0.4 217.170.93.155
ip nat inside source static 192.168.1.3 217.170.93.156
ip nat inside source static tcp 10.0.2.1 25 217.170.93.157 25 extendable
!
access-list 2 permit 10.0.7.10
access-list 2 permit 10.0.1.103
access-list 2 permit 10.0.1.114
access-list 5 permit 192.168.1.1
access-list 5 permit 192.168.1.2
access-list 5 permit 10.0.0.0 0.0.0.255
access-list 7 permit 192.168.1.3
access-list 10 permit 10.0.10.20
access-list 10 permit 10.0.10.30
access-list 11 permit 10.0.1.0 0.0.0.255
access-list 11 permit 10.0.11.0 0.0.0.255
access-list 12 permit 10.0.2.0 0.0.0.255
access-list 13 permit 10.0.3.0 0.0.0.255
access-list 14 permit 10.0.4.0 0.0.0.255
access-list 15 permit 10.0.5.0 0.0.0.255
access-list 16 permit 10.0.8.0 0.0.0.255
access-list 17 permit 10.0.170.0 0.0.0.255
access-list 18 permit 10.0.7.0 0.0.0.255
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 40 permit 10.0.140.0 0.0.0.255
access-list 66 permit 213.182.181.66
access-list 90 permit 10.0.7.11
access-list 90 permit 10.0.7.10
access-list 90 permit 10.0.3.1
access-list 90 permit 10.0.0.2
access-list 90 permit 10.0.2.1
access-list 90 permit 10.0.1.1
access-list 90 permit 10.0.2.2
access-list 90 permit 10.0.2.3
access-list 90 permit 192.168.1.1
access-list 90 permit 192.168.1.3
access-list 90 permit 192.168.1.2
access-list 90 permit 10.0.1.101
access-list 90 permit 10.0.1.114
access-list 90 permit 10.0.3.148
dialer-list 1 protocol ip permit
!
!
!
route-map M-OUT permit 5
match ip address 66
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 5
match ip address 5 10 15
set ip next-hop 217.170.93.17
!        
route-map C-OUT permit 7
match ip address 7 12
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 10
match ip address 8
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 20
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 30
match ip address 17 16
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 40
match ip address 40 14 5
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 99
set interface Null0
!


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 30-Июн-10, 15:57 
>[оверквотинг удален]
> set ip next-hop 212.119.170.1
>!
>route-map C-OUT permit 40
> match ip address 40 14 5
> set ip next-hop 217.170.93.17
>!
>route-map C-OUT permit 99
> set interface Null0
>!
>

s pervogo vzgljada...
na ciske v moskve:
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
nenuzhni
ipsec peer 213.182.181.66 i eto ip stoit na vlan3 na ciske v pitere.

na ciske v pitere
ipsec peer (moskow endpoint) 212.45.2.67 no default route stoit na 217.170.93.17.
dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw (RPF - revers path filtring).

i nakonec nado proverit' est' li firewall mezhdu piter i msk nepropuskajushi "esp".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 30-Июн-10, 16:19 

>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>(RPF - revers path filtring).

izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 30-Июн-10, 16:36 
>
>>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>>(RPF - revers path filtring).
>
>izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku

да, и судя по трассировке уходит по правильному шлюзу:


pgate#traceroute 212.45.2.67 so 213.182.181.66 numeric

Type escape sequence to abort.
Tracing the route to 212.45.2.67

  1 213.182.181.65 4 msec 4 msec 0 msec
==cut==

насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я не знаю как проверить режут ли что-либо они или нет.
Если это поможет - через этих же провайдеров (с другими ip есс-но) прокинут виндовый ВПН (isa) и он работает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от karen durinyan (ok) on 01-Июл-10, 10:48 
>[оверквотинг удален]
>Tracing the route to 212.45.2.67
>
>  1 213.182.181.65 4 msec 4 msec 0 msec
>==cut==
>
>
>насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я
>не знаю как проверить режут ли что-либо они или нет.
>Если это поможет - через этих же провайдеров (с другими ip есс-но)
>прокинут виндовый ВПН (isa) и он работает.

mozhno posmatret' v route cache i proverit' est' li tam prot 32 mezhdu peerami v oboix napravlenijax. kanechno eto nado delat posle dobovlenija "ip flow in" i "ip flow eg" pod vneshnix interface-ax i posle pinga tunnel-ip s pomoshju "show ip cache flow | in 32" (32 eto esp). esli vse v norme to vi dolzhni uvidet' chto to poxozhe:

Fa-x         peer1-ip   Fa-y       peer2-ip    32 F185 1E32    14
Fa-y         peer2-ip   Fa-x       peer1-ip    32 1E32 F185    14

na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp v oboix ili v odnu storonu ili iz za routinga.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 02-Июл-10, 11:52 
32" (32 eto esp). esli vse v norme to vi dolzhni
>[оверквотинг удален]
> 32 F185 1E32    14
> Fa-y         peer2-ip  
> Fa-x       peer1-ip  
> 32 1E32 F185    14
>
>na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
>
>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>v oboix ili v odnu storonu ili iz za routinga.

попробовал - на обеих цисках в cache flow нет записей с протоколом 32, т.е. esp не проходит :/
фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров нет. Получается пинать нужно провайдеров?
А может ли это быть из-за того, что кабеля от провайдеров заведены в свитч, а из него уже в циски?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от karen durinyan (ok) on 02-Июл-10, 14:20 
>[оверквотинг удален]
>>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>>v oboix ili v odnu storonu ili iz za routinga.
>
>попробовал - на обеих цисках в cache flow нет записей с протоколом
>32, т.е. esp не проходит :/
>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>нет. Получается пинать нужно провайдеров?
>А может ли это быть из-за того, что кабеля от провайдеров заведены
>в свитч, а из него уже в циски?

nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v route cache.
net switch ne dolzhen meshat' esli u vas L2 switch a ne L3 s ACL i route interfaicami.
v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix na schet filtraci...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 02-Июл-10, 15:27 
>[оверквотинг удален]
>>
>>попробовал - на обеих цисках в cache flow нет записей с протоколом
>>32, т.е. esp не проходит :/
>>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>>нет. Получается пинать нужно провайдеров?
>>А может ли это быть из-за того, что кабеля от провайдеров заведены
>>в свитч, а из него уже в циски?
>
>nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v
>route cache.

не забыл - куча других записей в кэше появляются, но с протоколом 32 - ни одной.
>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>L3 s ACL i route interfaicami.

да, обычный l2 switch
>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>na schet filtraci...

ясно. спасибо за консультацию
пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты эксперемента - будет ли та же проблема с esp.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "cisco 1841: не могу настроить gre+ipsec туннель"  +1 +/
Сообщение от karen durinyan (ok) on 04-Июл-10, 09:58 
>[оверквотинг удален]
>>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>>L3 s ACL i route interfaicami.
>
>да, обычный l2 switch
>>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>>na schet filtraci...
>
>ясно. спасибо за консультацию
>пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты
>эксперемента - будет ли та же проблема с esp.

privet,

ja semuliroval vash network u menja.
vse taki "ip route 212.45.2.67 255.255.255.255 213.182.181.65" na pitere pomog reshit' problemu dlja menja!

ptr#ping 192.168.3.2 so 192.168.3.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms
ptr#

msk#ping 192.168.3.1 so 192.168.3.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
msk#

esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto u vas:) tol'ko u mejna na pitere netu poslednei route-map ... NULL0 tak kak u menja router rugajetsa na eto.


posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na oboix peer: "clear crypto isakmp" i "clear crypto sa".

nadejus kak to pomog.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от demchenko email on 06-Июл-10, 16:53 
>[оверквотинг удален]
>
>esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto
>u vas:) tol'ko u mejna na pitere netu poslednei route-map ...
>NULL0 tak kak u menja router rugajetsa na eto.
>
>
>posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na
>oboix peer: "clear crypto isakmp" i "clear crypto sa".
>
>nadejus kak to pomog.

спасибо за помощь :)
пока возможности проверить нет - циску пришлось снять, стали зависать внешние порты. как только с этим разберемся - снова попробую.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от BOJIKA on 30-Июн-10, 16:50 
!
route-map C-OUT permit 3
match ip address 100
set ip next-hop 192.168.3.1
!
ip access-list ext 100
permit ip any 192.168.2.0 0.0.0.255  
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "cisco 1841: не могу настроить gre+ipsec туннель"  +/
Сообщение от karen durinyan (ok) on 01-Июл-10, 11:07 
>!
>route-map C-OUT permit 3
> match ip address 100
> set ip next-hop 192.168.3.1
>!
>ip access-list ext 100
> permit ip any 192.168.2.0 0.0.0.255

mozhet i oshibajus', no
1. tam zhe est' ip route 192.168.2.0 255.255.255.0 Tunnel1
2. esli problema v route map to pochemu vse rabotajet v sluchae GRE
3. route map C-OUT stoit pod vnutreenem interface a problema v tom chto posle activaci ipseca ping ne vozmozhen mezhdu tunnel interfeisamki a ne mezhdu LAN.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру