OpenForum RSS: cisco 1841: не могу настроить gre+ipsec туннель https://www.opennet.me/openforum/vsluhforumID6/21239.html Доброго времени суток, <br><br>есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются.<br>конфиг:<br>[code]<br>####### cisco 1841 - piter ########<br>!<br>crypto isakmp policy 5<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key {key} address {msk-ext-ip} no-xauth<br>!<br>crypto ipsec security-association lifetime seconds 86400<br>!<br>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac <br>!<br>crypto ipsec profile myprofile<br> set transform-set vpn1 <br>!<br>!<br>interface Tunnel1<br> ip address 192.168.3.1 255.255.255.252<br> ip mtu 1420<br> tunnel source {piter-ext-ip}<br> tunnel destination {msk-ext-ip}<br> tunnel protection ipsec profile myprofile<br>!<br><br>####### cisco 1841 - msk ################<br>!<br>crypto isakmp polic cisco 1841: не могу настроить gre+ipsec туннель (demchenko) https://www.opennet.me/openforum/vsluhforumID6/21239.html#17 Tue, 06 Jul 2010 12:53:05 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto <br>&gt;u vas:) tol'ko u mejna na pitere netu poslednei route-map ... <br>&gt;NULL0 tak kak u menja router rugajetsa na eto. <br>&gt;<br>&gt;<br>&gt;posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na <br>&gt;oboix peer: "clear crypto isakmp" i "clear crypto sa". <br>&gt;<br>&gt;nadejus kak to pomog. <br><br>спасибо за помощь :)<br>пока возможности проверить нет - циску пришлось снять, стали зависать внешние порты. как только с этим разберемся - снова попробую.<br><br> cisco 1841: не могу настроить gre+ipsec туннель (karen durinyan) https://www.opennet.me/openforum/vsluhforumID6/21239.html#16 Sun, 04 Jul 2010 05:58:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;net switch ne dolzhen meshat' esli u vas L2 switch a ne <br>&gt;&gt;L3 s ACL i route interfaicami. <br>&gt;<br>&gt;да, обычный l2 switch <br>&gt;&gt;v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix <br>&gt;&gt;na schet filtraci... <br>&gt;<br>&gt;ясно. спасибо за консультацию <br>&gt;пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты <br>&gt;эксперемента - будет ли та же проблема с esp. <br><br>privet,<br><br>ja semuliroval vash network u menja.<br>vse taki "ip route 212.45.2.67 255.255.255.255 213.182.181.65" na pitere pomog reshit' problemu dlja menja!<br><br>ptr#ping 192.168.3.2 so 192.168.3.1<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:<br>Packet sent with a source address of 192.168.3.1 <br>!!!!!<br>Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms<br>ptr#<br><br>msk#ping 192.168.3.1 so 192.168.3.2<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:<br>Packet sent with a source addr cisco 1841: не могу настроить gre+ipsec туннель (demchenko) https://www.opennet.me/openforum/vsluhforumID6/21239.html#15 Fri, 02 Jul 2010 11:27:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;попробовал - на обеих цисках в cache flow нет записей с протоколом <br>&gt;&gt;32, т.е. esp не проходит :/ <br>&gt;&gt;фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров <br>&gt;&gt;нет. Получается пинать нужно провайдеров? <br>&gt;&gt;А может ли это быть из-за того, что кабеля от провайдеров заведены <br>&gt;&gt;в свитч, а из него уже в циски? <br>&gt;<br>&gt;nadejus ne zabili vkljuchit ip route in&#124;en pered tem kak smotret' v <br>&gt;route cache. <br><br>не забыл - куча других записей в кэше появляются, но с протоколом 32 - ни одной.<br>&gt;net switch ne dolzhen meshat' esli u vas L2 switch a ne <br>&gt;L3 s ACL i route interfaicami. <br><br>да, обычный l2 switch<br>&gt;v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix <br>&gt;na schet filtraci... <br><br>ясно. спасибо за консультацию<br>пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты эксперемента - будет ли та же проблема с esp.<br> cisco 1841: не могу настроить gre+ipsec туннель (karen durinyan) https://www.opennet.me/openforum/vsluhforumID6/21239.html#14 Fri, 02 Jul 2010 10:20:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko <br>&gt;&gt;v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp <br>&gt;&gt;v oboix ili v odnu storonu ili iz za routinga. <br>&gt;<br>&gt;попробовал - на обеих цисках в cache flow нет записей с протоколом <br>&gt;32, т.е. esp не проходит :/ <br>&gt;фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров <br>&gt;нет. Получается пинать нужно провайдеров? <br>&gt;А может ли это быть из-за того, что кабеля от провайдеров заведены <br>&gt;в свитч, а из него уже в циски? <br><br>nadejus ne zabili vkljuchit ip route in&#124;en pered tem kak smotret' v route cache. <br>net switch ne dolzhen meshat' esli u vas L2 switch a ne L3 s ACL i route interfaicami.<br>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix na schet filtraci...<br> cisco 1841: не могу настроить gre+ipsec туннель (demchenko) https://www.opennet.me/openforum/vsluhforumID6/21239.html#13 Fri, 02 Jul 2010 07:52:38 GMT 32" (32 eto esp). esli vse v norme to vi dolzhni <br>&gt;[оверквотинг удален]<br>&gt; 32 F185 1E32 14 <br>&gt; Fa-y peer2-ip <br>&gt; Fa-x peer1-ip <br>&gt; 32 1E32 F185 14 <br>&gt;<br>&gt;na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon. <br>&gt;<br>&gt;esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko <br>&gt;v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp <br>&gt;v oboix ili v odnu storonu ili iz za routinga. <br><br>попробовал - на обеих цисках в cache flow нет записей с протоколом 32, т.е. esp не проходит :/<br>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров нет. Получается пинать нужно провайдеров?<br>А может ли это быть из-за того, что кабеля от провайдеров заведены в свитч, а из него уже в циски?<br> cisco 1841: не могу настроить gre+ipsec туннель (karen durinyan) https://www.opennet.me/openforum/vsluhforumID6/21239.html#12 Thu, 01 Jul 2010 07:07:38 GMT &gt;! <br>&gt;route-map C-OUT permit 3 <br>&gt; match ip address 100 <br>&gt; set ip next-hop 192.168.3.1 <br>&gt;! <br>&gt;ip access-list ext 100 <br>&gt; permit ip any 192.168.2.0 0.0.0.255 <br><br>mozhet i oshibajus', no<br>1. tam zhe est' ip route 192.168.2.0 255.255.255.0 Tunnel1<br>2. esli problema v route map to pochemu vse rabotajet v sluchae GRE<br>3. route map C-OUT stoit pod vnutreenem interface a problema v tom chto posle activaci ipseca ping ne vozmozhen mezhdu tunnel interfeisamki a ne mezhdu LAN.<br> cisco 1841: не могу настроить gre+ipsec туннель (karen durinyan) https://www.opennet.me/openforum/vsluhforumID6/21239.html#11 Thu, 01 Jul 2010 06:48:04 GMT &gt;[оверквотинг удален]<br>&gt;Tracing the route to 212.45.2.67 <br>&gt;<br>&gt; 1 213.182.181.65 4 msec 4 msec 0 msec <br>&gt;==cut== <br>&gt;[/code] <br>&gt;<br>&gt;насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я <br>&gt;не знаю как проверить режут ли что-либо они или нет. <br>&gt;Если это поможет - через этих же провайдеров (с другими ip есс-но) <br>&gt;прокинут виндовый ВПН (isa) и он работает. <br><br>mozhno posmatret' v route cache i proverit' est' li tam prot 32 mezhdu peerami v oboix napravlenijax. kanechno eto nado delat posle dobovlenija "ip flow in" i "ip flow eg" pod vneshnix interface-ax i posle pinga tunnel-ip s pomoshju "show ip cache flow &#124; in 32" (32 eto esp). esli vse v norme to vi dolzhni uvidet' chto to poxozhe:<br><br> Fa-x peer1-ip Fa-y peer2-ip 32 F185 1E32 14<br> Fa-y peer2-ip Fa-x peer1-ip 32 1E32 F185 14<br><br>na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.<br>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko v odnu storonu chto m cisco 1841: не могу настроить gre+ipsec туннель (BOJIKA) https://www.opennet.me/openforum/vsluhforumID6/21239.html#10 Wed, 30 Jun 2010 12:50:02 GMT !<br>route-map C-OUT permit 3<br> match ip address 100<br> set ip next-hop 192.168.3.1<br>!<br>ip access-list ext 100<br> permit ip any 192.168.2.0 0.0.0.255 <br> cisco 1841: не могу настроить gre+ipsec туннель (demchenko) https://www.opennet.me/openforum/vsluhforumID6/21239.html#9 Wed, 30 Jun 2010 12:36:46 GMT &gt;<br>&gt;&gt;dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet. <br>&gt;&gt;problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw <br>&gt;&gt;(RPF - revers path filtring). <br>&gt;<br>&gt;izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku <br><br>да, и судя по трассировке уходит по правильному шлюзу:<br>[code]<br>pgate#traceroute 212.45.2.67 so 213.182.181.66 numeric <br><br>Type escape sequence to abort.<br>Tracing the route to 212.45.2.67<br><br> 1 213.182.181.65 4 msec 4 msec 0 msec<br>==cut==<br>[/code]<br><br>насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я не знаю как проверить режут ли что-либо они или нет. <br>Если это поможет - через этих же провайдеров (с другими ip есс-но) прокинут виндовый ВПН (isa) и он работает.<br>