форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"не работает gre over ipsec"	+/–
Сообщение от don_kuklachev (ok) on 08-Июл-13, 13:52
Странная ситуация с настройкой gre over ipsec. Пробовал настраивать между различными роутерами(7206 и 2821 со стороны ЦО - 1841,871(Router) с УО)- проблема явно не в IOS и не в настройках какого то конкретного. Настройки вроде стандартные, в GNS работает все. В логах роутера УО сыпятся сообщения при попытки пинга с ЦО %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.         (ip) vrf/dest_addr= /y.y.y.y, src_addr= x.x.x.x, prot= 47 Router#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst             src             state          conn-id slot status y.y.y.y  x.x.x.x   QM_IDLE           2005    0 ACTIVE Router#sh crypto ipsec sa interface: FastEthernet4     Crypto map tag: static-map, local addr x.x.x.x    protected vrf: (none)    local  ident (addr/mask/prot/port): (x.x.x.x/255.255.255.255/47/0)    remote ident (addr/mask/prot/port): (y.y.y.y/255.255.255.255/47/0)    current_peer y.y.y.y port 500      PERMIT, flags={origin_is_acl,}     #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4     #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 1, #recv errors 0      local crypto endpt.: x.x.x.x, remote crypto endpt.: y.y.y.y      path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4      current outbound spi: 0xF65DF2A4(4133352100)      inbound esp sas:       spi: 0x9AF88F27(2599980839)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 7, flow_id: Motorola SEC 1.0:7, crypto map: static-map         sa timing: remaining key lifetime (k/sec): (4515456/2396)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      inbound ah sas:      inbound pcp sas:      outbound esp sas:       spi: 0xF65DF2A4(4133352100)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 8, flow_id: Motorola SEC 1.0:8, crypto map: static-map         sa timing: remaining key lifetime (k/sec): (4515455/2395)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      outbound ah sas:      outbound pcp sas:
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "не работает gre over ipsec"	+/–
Сообщение от VolanD (ok) on 08-Июл-13, 14:06
> Странная ситуация с настройкой gre over ipsec. Пробовал настраивать между различными роутерами(7206 > и 2821 со стороны ЦО - 1841,871(Router) с УО)- проблема явно > не в IOS и не в настройках какого то конкретного. Настройки > вроде стандартные, в GNS работает все. В логах роутера УО сыпятся > сообщения при попытки пинга с ЦО > %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet. >         (ip) vrf/dest_addr= /y.y.y.y, src_addr= > x.x.x.x, prot= 47 Там вроде какой-то ацл вешается, который говорит какой трафик шифровать. В него этот трафик попадает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не работает gre over ipsec"	+/–
Сообщение от Николай (??) on 08-Июл-13, 14:37
ну так трафик в туннель попадает, а вот обратки нет. С туннелем вроде все ок, выстроился. #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 08-Июл-13, 15:20
	> ну так трафик в туннель попадает, а вот обратки нет. С туннелем > вроде все ок, выстроился. >  #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 >  #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 да - но пинга нет C УО: 10 permit gre host x.x.x.x host y.y.y.y (114 matches) со стороны ЦО: Extended IP access list vpn-static1     10 permit gre host y.y.y.y host x.x.x.x (38 matches) router_CO#sh crypto ipsec sa interface: GigabitEthernet0/0.16     Crypto map tag: static-map, local addr y.y.y.y    protected vrf: (none)    local  ident (addr/mask/prot/port): (y.y.y.y/255.255.255.255/47/0)    remote ident (addr/mask/prot/port): (x.x.x.x/255.255.255.255/47/0)    current_peer x.x.x.x port 500      PERMIT, flags={origin_is_acl,}     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0     #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: y.y.y.y, remote crypto endpt.: x.x.x.x      path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0.16      current outbound spi: 0x82EA14D5(2196378837)      inbound esp sas:       spi: 0x92511862(2454788194)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 3001, flow_id: NETGX:1, crypto map: static-map         sa timing: remaining key lifetime (k/sec): (4553399/680)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      inbound ah sas:      inbound pcp sas:      outbound esp sas:       spi: 0x82EA14D5(2196378837)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 3002, flow_id: NETGX:2, crypto map: static-map         sa timing: remaining key lifetime (k/sec): (4553399/679)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      outbound ah sas:      outbound pcp sas:
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "не работает gre over ipsec"	+/–
	Сообщение от Ash (??) on 08-Июл-13, 15:25
	У тебя крипто АСЛ 10 permit gre host x.x.x.x host y.y.y.y (114 matches) а ты пускаешь пинг и куда он должен пойти - вот и дебаг тебе прямо об этом говорит
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 08-Июл-13, 15:32
	>  У тебя крипто АСЛ > 10 permit gre host x.x.x.x host y.y.y.y (114 matches) > а ты пускаешь пинг и куда он должен пойти - вот и > дебаг тебе прямо об этом говорит ну как бы я пингую ip тоннеля . без крипто мэпа он пингуется. подскажи тогда какой должен быть ацл.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 08-Июл-13, 17:57
	>>  У тебя крипто АСЛ >> 10 permit gre host x.x.x.x host y.y.y.y (114 matches) >> а ты пускаешь пинг и куда он должен пойти - вот и >> дебаг тебе прямо об этом говорит > ну как бы я пингую ip тоннеля . без крипто мэпа он > пингуется. подскажи тогда какой должен быть ацл. ладно по фигу, через ipsec profile все работает. Хотя очень странная ситуация. Ведь на одном из маршрутизаторов уже работают несколько тоннелей через крипто мэпы. Да и раньше я помню в тестовых целях поднимал нормально. Что может влиять не понятно.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	21. "не работает gre over ipsec"	+/–
	Сообщение от ShyLion (??) on 10-Июл-13, 14:01
	> со стороны ЦО: >     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 Со стороны CO пакеты обратно в туннель не засовываются. Значит они уходят альтернативным путем. Воможно есть еще туннели?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "не работает gre over ipsec"	+/–
Сообщение от crash (ok) on 09-Июл-13, 11:15
вы бы конфиг показали, ради приличия. Ну и если верить вашему acl, то вы разрешаете в него gre, а с чего вы решили тогда что icmp должен попасть в туннель?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 09-Июл-13, 14:10
	> вы бы конфиг показали, ради приличия. Ну и если верить вашему acl, > то вы разрешаете в него gre, а с чего вы решили > тогда что icmp должен попасть в туннель? мне казалось что ip тоннеля УО(192.168.45.2) должен быть доступен. ЦО: crypto isakmp policy 10 encr 3des authentication pre-share crypto isakmp key bigsecret address x.x.x.x crypto isakmp keepalive 10 ! ! crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac ! ! ! crypto map static-map 10 ipsec-isakmp set peer x.x.x.x set transform-set vpn-test match address vpn-static1 interface Tunnel1 ip address 192.168.45.1 255.255.255.252 tunnel source y.y.y.y tunnel destination x.x.x.x ip access-list extended vpn-static1 permit gre host y.y.y.y host x.x.x.x На роутере УО конфиг симментричный. crypto isakmp policy 10 encr 3des authentication pre-share crypto isakmp key bigsecret address y.y.y.y crypto isakmp keepalive 10 ! ! crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac ! ! ! crypto map static-map 10 ipsec-isakmp set peer y.y.y.y set transform-set vpn-test match address vpn-static2 interface Tunnel1 ip address 192.168.45.2 255.255.255.252 tunnel source x.x.x.x tunnel destination y.y.y.y ip access-list extended vpn-static2 permit gre  host x.x.x.x host y.y.y.y
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "не работает gre over ipsec"	+/–
	Сообщение от Николай (??) on 09-Июл-13, 15:00
	ну что и требовалось доказать классика ip access-list extended vpn-static1 permit gre host y.y.y.y host x.x.x.x
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 09-Июл-13, 16:06
	> ну что и требовалось доказать классика > ip access-list extended vpn-static1 > permit gre host y.y.y.y host x.x.x.x и в чем же ошибка? вроде пример из циско гайда)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "не работает gre over ipsec"	+/–
	Сообщение от VolanD (ok) on 09-Июл-13, 20:19
	>> ну что и требовалось доказать классика >> ip access-list extended vpn-static1 >> permit gre host y.y.y.y host x.x.x.x > и в чем же ошибка? вроде пример из циско гайда) Если меня не обманывает чутье, то исходящий траффик то у вас шифруется, а вот входящий то?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "не работает gre over ipsec"	+/–
	Сообщение от mr_noname (ok) on 10-Июл-13, 07:26
	> Если меня не обманывает чутье, то исходящий траффик то у вас шифруется, > а вот входящий то? Входящий расшифровывается на основании того же правила в ACL. В одну сторону - шифрование, в другую - расшифровка.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	16. "не работает gre over ipsec"	+/–
	Сообщение от VolanD (ok) on 10-Июл-13, 09:42
	>> Если меня не обманывает чутье, то исходящий траффик то у вас шифруется, >> а вот входящий то? > Входящий расшифровывается на основании того же правила в ACL. В одну сторону > - шифрование, в другую - расшифровка. Вы правы, загуглил, действительно нужно только для исходящего трафика.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	13. "не работает gre over ipsec"	+/–
	Сообщение от mr_noname (ok) on 10-Июл-13, 07:24
	> ну что и требовалось доказать классика > ip access-list extended vpn-static1 > permit gre host y.y.y.y host x.x.x.x Что-то я тоже не понял, где тут классика. С ACL всё в порядке: адреса источника и назначения не перепутаны, если конфигу верить. Можете пояснить? По-моему, ошибка не тут.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "не работает gre over ipsec"	+/–
	Сообщение от crash (ok) on 10-Июл-13, 06:34
	в конфиге не видно, где вы вешаете ipsec, но считаем что на интерфейсе. Может вам стоит с acl листом поиграть и добавить туда например icmp?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	18. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 10-Июл-13, 10:16
	> в конфиге не видно, где вы вешаете ipsec, но считаем что на > интерфейсе. Может вам стоит с acl листом поиграть и добавить туда > например icmp? да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). На другие сабинтерфейсы пробовал вешать-та же фигня.  Даже пробовал существующий перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают бегать, то есть фактически он не применяется.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	22. "не работает gre over ipsec"	+/–
	Сообщение от crash (ok) on 11-Июл-13, 07:16
	>> в конфиге не видно, где вы вешаете ipsec, но считаем что на >> интерфейсе. Может вам стоит с acl листом поиграть и добавить туда >> например icmp? > да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже > висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). > На другие сабинтерфейсы пробовал вешать-та же фигня.  Даже пробовал существующий > перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. > Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда > вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают > бегать, то есть фактически он не применяется. вы не пускаете в туннель ничего кроме gre. То есть у вас ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "не работает gre over ipsec"	+/–
	Сообщение от ShyLion (ok) on 11-Июл-13, 09:01
	>[оверквотинг удален] >>> например icmp? >> да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже >> висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). >> На другие сабинтерфейсы пробовал вешать-та же фигня.  Даже пробовал существующий >> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. >> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда >> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают >> бегать, то есть фактически он не применяется. > вы не пускаете в туннель ничего кроме gre. То есть у вас > ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ. Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично, правда лучше таки использовать профили.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	25. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 11-Июл-13, 09:39
	>[оверквотинг удален] >>> На другие сабинтерфейсы пробовал вешать-та же фигня.  Даже пробовал существующий >>> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. >>> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда >>> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают >>> бегать, то есть фактически он не применяется. >> вы не пускаете в туннель ничего кроме gre. То есть у вас >> ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ. > Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он > инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично, > правда лучше таки использовать профили. да как раз с профилями все работает) просто интересно стало что за проблема такая, думал мож кто сталкивался. А тут АЦЛ оказывается стал неправильным)
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "не работает gre over ipsec"	+/–
	Сообщение от makis58 (ok) on 14-Июл-13, 11:15
	>> в конфиге не видно, где вы вешаете ipsec, но считаем что на >> интерфейсе. Может вам стоит с acl листом поиграть и добавить туда >> например icmp? > да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже > висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). > На другие сабинтерфейсы пробовал вешать-та же фигня.  Даже пробовал существующий > перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. > Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда > вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают > бегать, то есть фактически он не применяется. Да впринципе оно так и есть [img]http://sexi.maksnik.com/uploads/posts/2013-07/1373125717_tri...
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	15. "не работает gre over ipsec"	+/–
	Сообщение от mr_noname (ok) on 10-Июл-13, 07:30
	> crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac Вообще, должно и так работать, но раз уж у вас GRE, то IPSec можно перевести в транспортный режим: crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac mode transport Тогда можно будет лишний заголовок из пакета убрать.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	20. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 10-Июл-13, 10:19
	>> crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac > Вообще, должно и так работать, но раз уж у вас GRE, то > IPSec можно перевести в транспортный режим: > crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac >  mode transport > Тогда можно будет лишний заголовок из пакета убрать. помнится-не помогло
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	26. "не работает gre over ipsec"	+/–
	Сообщение от mr_noname (ok) on 12-Июл-13, 16:21
	> помнится-не помогло Ну да, это не должно было бы в данном случае на работоспособность повлиять. Просто заодно к слову пришлось.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

17. "не работает gre over ipsec"	+/–
Сообщение от VolanD (ok) on 10-Июл-13, 10:05
>[оверквотинг удален] > } >         conn id: 8, flow_id: > Motorola SEC 1.0:8, crypto map: static-map >         sa timing: remaining key > lifetime (k/sec): (4515455/2395) >         IV size: 8 bytes >         replay detection support: Y >         Status: ACTIVE >      outbound ah sas: >      outbound pcp sas: Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то у вас только ГРЕ )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "не работает gre over ipsec"	+/–
	Сообщение от don_kuklachev (ok) on 10-Июл-13, 10:19
	>[оверквотинг удален] >> Motorola SEC 1.0:8, crypto map: static-map >>         sa timing: remaining key >> lifetime (k/sec): (4515455/2395) >>         IV size: 8 bytes >>         replay detection support: Y >>         Status: ACTIVE >>      outbound ah sas: >>      outbound pcp sas: > Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то > у вас только ГРЕ ) пингуюсь и в 192.168.45.0 и лупбеки и существующие сети с соответствующими роутами на сети.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "не работает gre over ipsec"	+/–
	Сообщение от ShyLion (ok) on 11-Июл-13, 09:02
	>[оверквотинг удален] >> Motorola SEC 1.0:8, crypto map: static-map >>         sa timing: remaining key >> lifetime (k/sec): (4515455/2395) >>         IV size: 8 bytes >>         replay detection support: Y >>         Status: ACTIVE >>      outbound ah sas: >>      outbound pcp sas: > Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то > у вас только ГРЕ ) см мой пост выше.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	28. "не работает gre over ipsec"	+/–
	Сообщение от VolanD (ok) on 14-Июл-13, 17:02
	>[оверквотинг удален] >>>         sa timing: remaining key >>> lifetime (k/sec): (4515455/2395) >>>         IV size: 8 bytes >>>         replay detection support: Y >>>         Status: ACTIVE >>>      outbound ah sas: >>>      outbound pcp sas: >> Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то >> у вас только ГРЕ ) > см мой пост выше. Ну это понятно, просто если пинговать внешние адреса туннеля, то он в ацл тот уже не попадает... Я поэтому и спросил.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема