The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проблемы с тунелем"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 12:17  (MSK)
Задача - На двух цисках организовать туннель через интернет так, чтобы локальные сети, расположенные за цисками видели друг друга.
Проблема - как только поднимается тунель - падает всякая связь через соответствующий интерфейс.
Не подскажите где кроются ошибки?
Конфиги:
циска 2621
!
version 12.2
service config
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no service dhcp
!
hostname swallow
!
clock timezone msk 3
clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
no ip source-route
ip rcmd rsh-enable
!
!
ip name-server 212.44.130.6
ip name-server 195.68.135.5
!
no ip bootp server
isdn switch-type primary-net5
!
controller E1 0/0
shutdown
!
!
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.252
tunnel source 192.168.100.1 tunnel destination a.a.a.a
tunnel mode ipip
!
interface FastEthernet0/0
ip address 192.168.100.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip policy route-map Ber_priv
speed 100
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address b.b.b.81 255.255.255.240
ip policy route-map Ber_Sov
speed 100
full-duplex
no cdp enable
!
interface Ethernet1/0
ip address b.b.b.81 255.255.255.192
ip nat outside
half-duplex
!
ip local pool Local_pool_BERLIN b.b.b.82 b.b.b.94
ip default-gateway b.b.b.1
ip nat pool Ber_pool b.b.b.27 b.b.b.27 prefix-length 26
ip nat inside source route-map Ber_nat pool Ber_pool overload
ip classless
ip route 0.0.0.0 0.0.0.0 b.b.b.1
ip route 192.168.10.0 255.255.255.0 Tunnel1
ip http server
ip pim bidir-enable
!
!
access-list 1 permit x.x.x.x log
access-list 1 deny   any log
access-list 2 permit 192.168.100.0 0.0.0.255
access-list 10 permit b.b.b.80 0.0.0.15
access-list 30 permit 192.168.100.0 0.0.0.255
access-list 139 deny   tcp any any range 135 139 log
access-list 139 deny   udp any any range 135 netbios-ss log
access-list 139 permit ip any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map Ber_priv permit 40
match ip address 30
set ip next-hop b.b.b.1
!
route-map Ber_Sov permit 20
match ip address 10
!
route-map Ber_nat permit 50
match ip address 30 50
match interface Ethernet1/0
!
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password
logging synchronous
login
!
!
end

циска 2611

version 12.0
service config
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!

ip subnet-zero
no ip source-route
no ip bootp server
clock timezone msk 3
clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
!
interface Tunnel1
ip address 10.0.0.2 255.255.255.252
ip directed-broadcast
tunnel source 192.168.10.1
tunnel destination b.b.b.27
!
interface Ethernet0/0
ip address a.a.a.a 255.255.255.252
no ip directed-broadcast
ip nat outside
!
interface Ethernet0/1
ip address a.a.a.81 255.255.255.248 secondary
ip address 192.168.10.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip local pool Hoggy_home 192.168.10.2 192.168.10.254
ip local pool HOGGY_LAN a.a.a.82 a.a.a.86
ip default-gateway a.a.a.65
ip nat pool Hoggy_home_nat a.a.a.a a.a.a.a netmask 255.255.255.248
ip nat inside source list 20 interface Ethernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 a.a.a.65
ip route 192.168.10.0 255.255.255.0 Null0 250
ip route 192.168.100.0 255.255.255.0 Tunnel1
!
access-list 1 permit x.x.x.x log
access-list 1 deny   any log
access-list 20 permit 192.168.10.0 0.0.0.255
access-list 177 permit icmp any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
!
end

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 13:03  (MSK)
адреса на tunnel пингуются?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 13:10  (MSK)
>адреса на tunnel пингуются?

Настраиваю тунель - адреса пингуются, локальные сетки пингуются, сеть расположенная за интерфейсом fasteth0/1 перестает видеть интернет, гашу тунель - ситуация стабилизируется, но при поднятии тунеля - адреса перестают пинговаться, хотя sh int tun1 показывает что он в апе.
Переконфигурирую тунель (вешаю другие локальные адреса) - тунель поднимается, адреса пингуются, пропадает связь на фасте 0/1

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 13:53  (MSK)
нормальный конфиг покажи..
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 16:27  (MSK)
>нормальный конфиг покажи..

После вчерашнего эксперимента адреса тунеля не пингуются,


Current configuration : 3085 bytes
!
version 12.2
service config
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no service dhcp
!
hostname swallow
!
no logging console
!
clock timezone msk 3
clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
no ip source-route
ip rcmd rsh-enable
!
ip name-server 212.44.130.6
ip name-server 195.68.135.5
ip name-server 212.248.54.25
ip name-server 195.239.243.90
!
no ip bootp server
isdn switch-type primary-net5
!
controller E1 0/0
shutdown
framing NO-CRC4
!
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.252
tunnel source Ethernet1/0
tunnel destination 62.118.66.66
tunnel mode ipip
!
interface FastEthernet0/0
ip address 192.168.100.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip policy route-map Ber_priv
speed 100
full-duplex
no cdp enable
!
interface FastEthernet0/1
ip address 212.248.54.81 255.255.255.240
ip policy route-map Ber_Sov
speed 100
full-duplex
no cdp enable
!
interface Serial0/1
bandwidth 128
ip address 81.211.8.82 255.255.255.252
!
interface Ethernet1/0
ip address 212.248.54.27 255.255.255.192
ip nat outside
half-duplex
!
ip local pool Local_pool_BERLIN 212.248.54.82 212.248.54.94
ip default-gateway 212.248.54.1
ip nat pool Ber_pool 212.248.54.27 212.248.54.27 prefix-length 26
ip nat inside source route-map Ber_nat pool Ber_pool overload
ip classless
ip route 0.0.0.0 0.0.0.0 212.248.54.1
ip route 192.168.10.0 255.255.255.0 Tunnel1
ip route 212.248.54.80 255.255.255.240 Null0 250
ip http server
ip pim bidir-enable
!
!
access-list 1 permit x.x.x.x log
access-list 1 deny   any log
access-list 2 permit 192.168.100.0 0.0.0.255
access-list 10 permit 212.248.54.80 0.0.0.15
access-list 30 permit 192.168.100.0 0.0.0.255
access-list 139 deny   tcp any any range 135 139 log
access-list 139 deny   udp any any range 135 netbios-ss log
access-list 139 permit ip any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map Ber_priv permit 40
match ip address 30
set ip next-hop 212.248.54.1
!
route-map Ber_Sov permit 20
match ip address 10
!
route-map Ber_nat permit 50
match ip address 30 50
match interface Ethernet1/0
!
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password 7
logging synchronous
login
!
!
end

Вторая
HOGGY#sh run
Building configuration...

Current configuration:
!
version 12.0
service config
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname HOGGY
!
no logging console
!
ip subnet-zero
no ip source-route
no ip bootp server
ip name-server 212.248.54.82
clock timezone msk 3
clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
!
interface Tunnel1
ip address 10.0.0.2 255.255.255.252
ip directed-broadcast
tunnel source Ethernet0/0
tunnel destination 212.248.54.27
tunnel mode ipip
!
interface Ethernet0/0
ip address 62.118.66.66 255.255.255.252
no ip directed-broadcast
ip nat outside
!
interface Ethernet0/1
ip address 62.118.66.81 255.255.255.248 secondary
ip address 192.168.10.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
ip local pool Hoggy_home 192.168.10.2 192.168.10.254
ip local pool HOGGY_LAN 62.118.66.82 62.118.66.86
ip default-gateway 62.118.66.65
ip nat pool Hoggy_home_nat 62.118.66.66 62.118.66.66 netmask 255.255.255.248
ip nat inside source list 20 interface Ethernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 62.118.66.65
ip route 192.168.10.0 255.255.255.0 Null0 250
ip route 192.168.100.0 255.255.255.252 Tunnel1
!
access-list 1 permit y.y.y.y log
access-list 1 deny   any log
access-list 20 permit 192.168.10.0 0.0.0.255
access-list 177 permit icmp any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
line con 0
transport input none
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 15 0
password 7
logging synchronous
login
!
end

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 17:24  (MSK)
>>нормальный конфиг покажи..
>
>После вчерашнего эксперимента адреса тунеля не пингуются,
>
>
>Current configuration : 3085 bytes
>!
>version 12.2
>service config
>service timestamps debug datetime localtime
>service timestamps log datetime localtime
>service password-encryption
>no service dhcp
>!
>hostname swallow
>!
>no logging console
>!
>clock timezone msk 3
>clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
>
>ip subnet-zero
>no ip source-route
>ip rcmd rsh-enable
>!
>ip name-server 212.44.130.6
>ip name-server 195.68.135.5
>ip name-server 212.248.54.25
>ip name-server 195.239.243.90
>!
>no ip bootp server
>isdn switch-type primary-net5
>!
>controller E1 0/0
> shutdown
> framing NO-CRC4
>!
>!
>interface Tunnel1
> ip address 10.0.0.1 255.255.255.252
> tunnel source Ethernet1/0
> tunnel destination 62.118.66.66
> tunnel mode ipip
>!
>interface FastEthernet0/0
> ip address 192.168.100.1 255.255.255.0
> ip accounting output-packets
> ip nat inside
no ip policy route-map Ber_priv
> speed 100
> full-duplex
> no cdp enable
>!
>interface FastEthernet0/1
> ip address 212.248.54.81 255.255.255.240
no ip policy route-map Ber_Sov
> speed 100
> full-duplex
> no cdp enable
>!
>interface Serial0/1
> bandwidth 128
> ip address 81.211.8.82 255.255.255.252
>!
>interface Ethernet1/0
> ip address 212.248.54.27 255.255.255.192
> ip nat outside
> half-duplex
>!
no ip local pool Local_pool_BERLIN 212.248.54.82 212.248.54.94
no ip default-gateway 212.248.54.1
no ip nat pool Ber_pool 212.248.54.27 212.248.54.27 prefix-length 26
ip nat inside source list 6  int e1/0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 212.248.54.1
>ip route 192.168.10.0 255.255.255.0 Tunnel1
>ip route 212.248.54.80 255.255.255.240 Null0 250
>ip http server
>ip pim bidir-enable
>!
>!
access-list 6 permit 192.168.100.0 0.0.0.255
>access-list 1 permit x.x.x.x log
>access-list 1 deny   any log
>access-list 2 permit 192.168.100.0 0.0.0.255
>access-list 10 permit 212.248.54.80 0.0.0.15
>access-list 30 permit 192.168.100.0 0.0.0.255
>access-list 139 deny   tcp any any range 135 139 log
>
>access-list 139 deny   udp any any range 135 netbios-ss log
>
>access-list 139 permit ip any any
no dialer-list 1 protocol ip permit
no dialer-list 1 protocol ipx permit
no route-map Ber_priv permit 40
> match ip address 30
> set ip next-hop 212.248.54.1
>!
no route-map Ber_Sov permit 20
> match ip address 10
>!
no route-map Ber_nat permit 50
> match ip address 30 50
> match interface Ethernet1/0
>!
>!
>line con 0
>line aux 0
>line vty 0 4
> access-class 1 in
> exec-timeout 15 0
> password 7
> logging synchronous
> login
>!
>!
>end
>
>
>
>Вторая
>HOGGY#sh run
>Building configuration...
>
>Current configuration:
>!
>version 12.0
>service config
>service timestamps debug datetime localtime
>service timestamps log datetime localtime
>service password-encryption
>!
>hostname HOGGY
>!
>no logging console
>!
>ip subnet-zero
>no ip source-route
>no ip bootp server
>ip name-server 212.248.54.82
>clock timezone msk 3
>clock summer-time msd recurring last Sun Mar 2:00 last Sun Oct 2:00
>
>!
>!
>!
>interface Tunnel1
> ip address 10.0.0.2 255.255.255.252
> ip directed-broadcast
> tunnel source Ethernet0/0
> tunnel destination 212.248.54.27
> tunnel mode ipip
>!
>interface Ethernet0/0
> ip address 62.118.66.66 255.255.255.252
> no ip directed-broadcast
> ip nat outside
>!
>interface Ethernet0/1
> ip address 62.118.66.81 255.255.255.248 secondary
> ip address 192.168.10.1 255.255.255.0
> no ip directed-broadcast
> ip nat inside
>!
>ip local pool Hoggy_home 192.168.10.2 192.168.10.254
>ip local pool HOGGY_LAN 62.118.66.82 62.118.66.86
>ip default-gateway 62.118.66.65
>ip nat pool Hoggy_home_nat 62.118.66.66 62.118.66.66 netmask 255.255.255.248
>ip nat inside source list 20 interface Ethernet0/0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 62.118.66.65
>ip route 192.168.10.0 255.255.255.0 Null0 250
>ip route 192.168.100.0 255.255.255.252 Tunnel1
>!
>access-list 1 permit y.y.y.y log
>access-list 1 deny   any log
>access-list 20 permit 192.168.10.0 0.0.0.255
>access-list 177 permit icmp any any
>dialer-list 1 protocol ip permit
>dialer-list 1 protocol ipx permit
>!
>line con 0
> transport input none
>line aux 0
>line vty 0 4
> access-class 1 in
> exec-timeout 15 0
> password 7
> logging synchronous
> login
>!
>end


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 17:49  (MSK)

>no ip local pool Local_pool_BERLIN 212.248.54.82 212.248.54.94
Это у меня локальная сетка... Серваки завянут, если так сделать...

>no ip nat pool Ber_pool 212.248.54.27 212.248.54.27 prefix-length 26
А это сделать он сам не дает..
swallow(config)#$nside source route-map Ber_nat pool Ber_pool overload
%Dynamic mapping in use, cannot remove

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 18:47  (MSK)
если вы показали полный конфиг, то эта команда ничего не делает...
ip local pool Local_pool_BERLIN 212.248.54.82 212.248.54.94

>no ip nat pool Ber_pool 212.248.54.27 212.248.54.27 prefix-length 26
А это сделать он сам не дает..
swallow(config)#$nside source route-map Ber_nat pool Ber_pool overload
%Dynamic mapping in use, cannot remove
ну так надо строчки ip nat outside
сделать clear ip nat tr *
no ip nat pool Ber_pool 212.248.54.27 212.248.54.27 prefix-length 26
потом
ip nat source inside list 6 ....
потом
вернуть ip nat outside

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 18:53  (MSK)
Спасибо большое за помощь. Все получилось. Еще вопрос - можно ли этот тунель зашифровать как-нибудь?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 19:20  (MSK)
ну если поставить IOS с шифрованием...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 19:28  (MSK)
>ну если поставить IOS с шифрованием...


А более простых методов не существует?
Вообще как можно защитить данное соединение?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 19:36  (MSK)
что вы понимаете под защитить?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 19:39  (MSK)
>что вы понимаете под защитить?


Прошу прощения за глупые вопросы...

Т.к. тунель соединяет две части локальной сети, хотелось бы быть уверенной в невозможности его перехвата и подделки, ну или хотя бы свести к минимуму риск....

Аналог ВПНа...
Т.е. хочется иметь защищенное соединение

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Проблемы с тунелем" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июл-03, 20:02  (MSK)
вот для этого нужен IOS с поддержкой IPSEC, тогда можно зашифровать Tunnel
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Проблемы с тунелем" 
Сообщение от Vega Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 23-Июл-03, 09:29  (MSK)
>вот для этого нужен IOS с поддержкой IPSEC, тогда можно зашифровать Tunnel
>

Я к сожалению плохо в этом разбираюсь
на 2621 IOS 12.2(8)T4  на  2611  - 12.0(10). Какой IOS нужен?

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру