The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Динамический туннель"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Динамический туннель"  +/
Сообщение от iCrash (ok) on 12-Ноя-14, 08:27 
Доброго времени суток!
Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком (DFL-260E) падают все другие статические туннели (тоже с длинками), так же на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги при необходимости могу скинуть
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Динамический туннель"  +/
Сообщение от ShyLion (ok) on 12-Ноя-14, 14:05 
> Доброго времени суток!
> Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком
> (DFL-260E) падают все другие статические туннели (тоже с длинками), так же
> на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги
> при необходимости могу скинуть

Аксес листы криптомапов имеют пересекающиеся потоки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Динамический туннель"  +/
Сообщение от iCrash (ok) on 14-Ноя-14, 11:17 
>> Доброго времени суток!
>> Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком
>> (DFL-260E) падают все другие статические туннели (тоже с длинками), так же
>> на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги
>> при необходимости могу скинуть
> Аксес листы криптомапов имеют пересекающиеся потоки.

не до конца понял, можно поподробней


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Динамический туннель"  +/
Сообщение от ShyLion (ok) on 14-Ноя-14, 11:42 
Без конфигов никто не скажет ничего.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Динамический туннель"  +/
Сообщение от iCrash (ok) on 14-Ноя-14, 20:04 
> Без конфигов никто не скажет ничего.

все, спасибо, разобрался
номер криптомопы надо было ставить последний

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Динамический туннель"  +/
Сообщение от iCrash (ok) on 17-Ноя-14, 07:24 
> Без конфигов никто не скажет ничего.

Поспешил немного с выводами, туннель поднялся но траффик не ходит, а когда добавляю акл падает основной туннель между двумя сисками

crypto keyring dfl
  pre-shared-key address 0.0.0.0 0.0.0.0 key davaydavay

crypto isakmp profile dlink
   keyring dfl
   match identity address 0.0.0.0

crypto ipsec transform-set filial_des esp-des esp-sha-hmac
mode tunnel

crypto dynamic-map dynmap 100
set transform-set des  
set isakmp-profile dlink
match address qwe

crypto map DAVAI 100 ipsec-isakmp dynamic dynmap

ip access-list extended qwe
permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Динамический туннель"  +/
Сообщение от ShyLion (ok) on 18-Ноя-14, 07:20 
>> Без конфигов никто не скажет ничего.

Ты издеваешься над нами или как?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Динамический туннель"  +/
Сообщение от iCrash (ok) on 19-Ноя-14, 07:32 
>>> Без конфигов никто не скажет ничего.
> Ты издеваешься над нами или как?

что не так?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Динамический туннель"  +/
Сообщение от ShyLion (ok) on 19-Ноя-14, 13:00 
>>>> Без конфигов никто не скажет ничего.
>> Ты издеваешься над нами или как?
> что не так?

Это был весь конфиг IPsec?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Динамический туннель"  +/
Сообщение от iCrash (ok) on 24-Ноя-14, 09:25 
>>>>> Без конфигов никто не скажет ничего.
>>> Ты издеваешься над нами или как?
>> что не так?
> Это был весь конфиг IPsec?

ситуация сейчас такова, что когда поднимаю динамику, некоторое время туннель работает, а затем синхронно падает с основным (crypto map DAVAI 2 ipsec-isakmp) и через некоторое время поднимается (пинги идут\не идут)

crypto keyring spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxx
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 11
hash md5
authentication pre-share
group 2

crypto isakmp keepalive 10 periodic
!
crypto isakmp client configuration group xxxxxx
key xxxxxxxxx
dns 10.10.53.11 192.168.1.11
domain xxxxx
pool ippool
acl vpnuser
save-password
crypto isakmp profile VPN
   match identity group xxxxxxxx
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set filial_des esp-des esp-sha-hmac
mode tunnel
crypto ipsec transform-set filial_3des esp-3des esp-sha-hmac
mode tunnel
!
!
crypto isakmp profile dlink
   keyring spokes
   match identity address 0.0.0.0
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
crypto dynamic-map dynmap 100
set transform-set des  
set isakmp-profile dlink
match address qwe
!
!
crypto map DAVAI 2 ipsec-isakmp !!!!!!!!!
set peer x.x.x.x
set transform-set letsgo
match address ipsec
crypto map DAVAI 10 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_3des
set pfs group2
match address filial_3des
crypto map DAVAI 11 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des
crypto map DAVAI 12 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_12
crypto map DAVAI 13 ipsec-isakmp
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_13
crypto map DAVAI 14 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_14
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap

ip access-list extended ipsec
permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.48.0 0.0.7.255 192.168.1.0 0.0.0.255

ip access-list extended qwe
permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру