forum.opennet.ru - "Динамический туннель" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Динамический туннель"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Динамический туннель"	+/–
Сообщение от iCrash (ok) on 12-Ноя-14, 08:27
Доброго времени суток! Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком (DFL-260E) падают все другие статические туннели (тоже с длинками), так же на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги при необходимости могу скинуть
Ответить \| Правка \| Cообщить модератору

Оглавление

Динамический туннель, ShyLion, 14:05 , 12-Ноя-14, (1)

Динамический туннель, iCrash, 11:17 , 14-Ноя-14, (2)

Динамический туннель, ShyLion, 11:42 , 14-Ноя-14, (3)

Динамический туннель, iCrash, 20:04 , 14-Ноя-14, (4)
Динамический туннель, iCrash, 07:24 , 17-Ноя-14, (5)

Динамический туннель, ShyLion, 07:20 , 18-Ноя-14, (6)

Динамический туннель, iCrash, 07:32 , 19-Ноя-14, (7)

Динамический туннель, ShyLion, 13:00 , 19-Ноя-14, (8)

Динамический туннель, iCrash, 09:25 , 24-Ноя-14, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Динамический туннель" +/–

Сообщение от ShyLion (ok) on 12-Ноя-14, 14:05

> Доброго времени суток!
> Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком
> (DFL-260E) падают все другие статические туннели (тоже с длинками), так же
> на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги
> при необходимости могу скинуть
Аксес листы криптомапов имеют пересекающиеся потоки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Динамический туннель" +/–

Сообщение от iCrash (ok) on 14-Ноя-14, 11:17

>> Доброго времени суток!
>> Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком
>> (DFL-260E) падают все другие статические туннели (тоже с длинками), так же
>> на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги
>> при необходимости могу скинуть
> Аксес листы криптомапов имеют пересекающиеся потоки.
не до конца понял, можно поподробней

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Динамический туннель" +/–

Сообщение от ShyLion (ok) on 14-Ноя-14, 11:42

Без конфигов никто не скажет ничего.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Динамический туннель" +/–

Сообщение от iCrash (ok) on 14-Ноя-14, 20:04

> Без конфигов никто не скажет ничего.
все, спасибо, разобрался
номер криптомопы надо было ставить последний

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Динамический туннель" +/–

Сообщение от iCrash (ok) on 17-Ноя-14, 07:24

> Без конфигов никто не скажет ничего.
Поспешил немного с выводами, туннель поднялся но траффик не ходит, а когда добавляю акл падает основной туннель между двумя сисками
crypto keyring dfl
  pre-shared-key address 0.0.0.0 0.0.0.0 key davaydavay
crypto isakmp profile dlink
   keyring dfl
   match identity address 0.0.0.0
crypto ipsec transform-set filial_des esp-des esp-sha-hmac
mode tunnel
crypto dynamic-map dynmap 100
set transform-set des
set isakmp-profile dlink
match address qwe
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap
ip access-list extended qwe
permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Динамический туннель" +/–

Сообщение от ShyLion (ok) on 18-Ноя-14, 07:20

>> Без конфигов никто не скажет ничего.
Ты издеваешься над нами или как?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Динамический туннель" +/–

Сообщение от iCrash (ok) on 19-Ноя-14, 07:32

>>> Без конфигов никто не скажет ничего.
> Ты издеваешься над нами или как?
что не так?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Динамический туннель" +/–

Сообщение от ShyLion (ok) on 19-Ноя-14, 13:00

>>>> Без конфигов никто не скажет ничего.
>> Ты издеваешься над нами или как?
> что не так?
Это был весь конфиг IPsec?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Динамический туннель" +/–

Сообщение от iCrash (ok) on 24-Ноя-14, 09:25

>>>>> Без конфигов никто не скажет ничего.
>>> Ты издеваешься над нами или как?
>> что не так?
> Это был весь конфиг IPsec?
ситуация сейчас такова, что когда поднимаю динамику, некоторое время туннель работает, а затем синхронно падает с основным (crypto map DAVAI 2 ipsec-isakmp) и через некоторое время поднимается (пинги идут\не идут)
crypto keyring spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxx
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 11
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 10 periodic
!
crypto isakmp client configuration group xxxxxx
key xxxxxxxxx
dns 10.10.53.11 192.168.1.11
domain xxxxx
pool ippool
acl vpnuser
save-password
crypto isakmp profile VPN
   match identity group xxxxxxxx
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set filial_des esp-des esp-sha-hmac
mode tunnel
crypto ipsec transform-set filial_3des esp-3des esp-sha-hmac
mode tunnel
!
!
crypto isakmp profile dlink
   keyring spokes
   match identity address 0.0.0.0
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
crypto dynamic-map dynmap 100
set transform-set des
set isakmp-profile dlink
match address qwe
!
!
crypto map DAVAI 2 ipsec-isakmp !!!!!!!!!
set peer x.x.x.x
set transform-set letsgo
match address ipsec
crypto map DAVAI 10 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_3des
set pfs group2
match address filial_3des
crypto map DAVAI 11 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des
crypto map DAVAI 12 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_12
crypto map DAVAI 13 ipsec-isakmp
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_13
crypto map DAVAI 14 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set filial_des
set pfs group2
match address filial_des_14
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap
ip access-list extended ipsec
permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.48.0 0.0.7.255 192.168.1.0 0.0.0.255
ip access-list extended qwe
permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Динамический туннель"	+/–
Сообщение от ShyLion (ok) on 12-Ноя-14, 14:05
> Доброго времени суток! > Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком > (DFL-260E) падают все другие статические туннели (тоже с длинками), так же > на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги > при необходимости могу скинуть Аксес листы криптомапов имеют пересекающиеся потоки.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Динамический туннель"	+/–
	Сообщение от iCrash (ok) on 14-Ноя-14, 11:17
	>> Доброго времени суток! >> Имеется такая проблемка, при поднятии динамического туннеля между сиско(1921) и длинком >> (DFL-260E) падают все другие статические туннели (тоже с длинками), так же >> на сиске поднят впн сервер. кто нибудь с подобным сталкивался? конфиги >> при необходимости могу скинуть > Аксес листы криптомапов имеют пересекающиеся потоки. не до конца понял, можно поподробней
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Динамический туннель"	+/–
	Сообщение от ShyLion (ok) on 14-Ноя-14, 11:42
	Без конфигов никто не скажет ничего.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Динамический туннель"	+/–
	Сообщение от iCrash (ok) on 14-Ноя-14, 20:04
	> Без конфигов никто не скажет ничего. все, спасибо, разобрался номер криптомопы надо было ставить последний
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Динамический туннель"	+/–
	Сообщение от iCrash (ok) on 17-Ноя-14, 07:24
	> Без конфигов никто не скажет ничего. Поспешил немного с выводами, туннель поднялся но траффик не ходит, а когда добавляю акл падает основной туннель между двумя сисками crypto keyring dfl pre-shared-key address 0.0.0.0 0.0.0.0 key davaydavay crypto isakmp profile dlink keyring dfl match identity address 0.0.0.0 crypto ipsec transform-set filial_des esp-des esp-sha-hmac mode tunnel crypto dynamic-map dynmap 100 set transform-set des set isakmp-profile dlink match address qwe crypto map DAVAI 100 ipsec-isakmp dynamic dynmap ip access-list extended qwe permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Динамический туннель"	+/–
	Сообщение от ShyLion (ok) on 18-Ноя-14, 07:20
	>> Без конфигов никто не скажет ничего. Ты издеваешься над нами или как?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Динамический туннель"	+/–
	Сообщение от iCrash (ok) on 19-Ноя-14, 07:32
	>>> Без конфигов никто не скажет ничего. > Ты издеваешься над нами или как? что не так?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Динамический туннель"	+/–
	Сообщение от ShyLion (ok) on 19-Ноя-14, 13:00
	>>>> Без конфигов никто не скажет ничего. >> Ты издеваешься над нами или как? > что не так? Это был весь конфиг IPsec?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Динамический туннель"	+/–
	Сообщение от iCrash (ok) on 24-Ноя-14, 09:25
	>>>>> Без конфигов никто не скажет ничего. >>> Ты издеваешься над нами или как? >> что не так? > Это был весь конфиг IPsec? ситуация сейчас такова, что когда поднимаю динамику, некоторое время туннель работает, а затем синхронно падает с основным (crypto map DAVAI 2 ipsec-isakmp) и через некоторое время поднимается (пинги идут\не идут) crypto keyring spokes pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxx ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp policy 3 encr 3des authentication pre-share ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 11 hash md5 authentication pre-share group 2 crypto isakmp keepalive 10 periodic ! crypto isakmp client configuration group xxxxxx key xxxxxxxxx dns 10.10.53.11 192.168.1.11 domain xxxxx pool ippool acl vpnuser save-password crypto isakmp profile VPN match identity group xxxxxxxx client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform-set letsgo esp-3des esp-md5-hmac mode tunnel crypto ipsec transform-set filial_des esp-des esp-sha-hmac mode tunnel crypto ipsec transform-set filial_3des esp-3des esp-sha-hmac mode tunnel ! ! crypto isakmp profile dlink keyring spokes match identity address 0.0.0.0 ! crypto dynamic-map dynmap 10 set transform-set letsgo set isakmp-profile VPN reverse-route crypto dynamic-map dynmap 100 set transform-set des set isakmp-profile dlink match address qwe ! ! crypto map DAVAI 2 ipsec-isakmp !!!!!!!!! set peer x.x.x.x set transform-set letsgo match address ipsec crypto map DAVAI 10 ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set filial_3des set pfs group2 match address filial_3des crypto map DAVAI 11 ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set filial_des set pfs group2 match address filial_des crypto map DAVAI 12 ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set filial_des set pfs group2 match address filial_des_12 crypto map DAVAI 13 ipsec-isakmp set security-association lifetime seconds 28800 set transform-set filial_des set pfs group2 match address filial_des_13 crypto map DAVAI 14 ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set filial_des set pfs group2 match address filial_des_14 crypto map DAVAI 100 ipsec-isakmp dynamic dynmap ip access-list extended ipsec permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255 permit ip 10.255.0.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 10.10.48.0 0.0.7.255 192.168.1.0 0.0.0.255 ip access-list extended qwe permit ip 10.10.53.0 0.0.0.255 192.168.5.0 0.0.0.255
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору