The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"опять про туннели S2S IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"опять про туннели S2S IPSec"  +/
Сообщение от DKu (ok) on 11-Дек-14, 13:55 
Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880
Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих "интересный" траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий.

Конфиг ЦО:

crypto keyring Br1
  pre-shared-key address 1.1.1.1 key Megapass
crypto keyring Br2
  pre-shared-key address 2.2.2.2 key Megapass
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address 0.0.0.0 0.0.0.0
crypto isakmp profile Br1
   keyring Br1
   match identity address 1.1.1.1 255.255.255.255
crypto isakmp profile Br2
   keyring Br2
   match identity address 2.2.2.2 255.255.255.2555
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile HQ-Br1
set transform-set 3DES-SHA
set isakmp-profile Br1
!
crypto ipsec profile HQ-Br2
set transform-set 3DES-SHA
set isakmp-profile Br2
!
!
crypto map VPNRetail 101 ipsec-isakmp
set peer 3.3.3.3
set transform-set 3DES-MD5
match address Shop1
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile HQ-Br1
!
interface Tunnel1
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 2.2.2.2
tunnel protection ipsec profile HQ-Br2
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
---Сеть провайдера---
ip address y.y.y.2 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
---Внутренняя сеть---
encapsulation dot1Q 10
ip address 10.10.1.1 255.255.255.0
!
interface GigabitEthernet0/1.2
---Белая сеть выданная провайдером---
encapsulation dot1Q 2
ip address x.x.x.1 255.255.255.224
ip access-group Global_External in
crypto map VPNRetail
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
!
router eigrp 1
---Для филиалов---
network 10.10.1.0
network 192.168.100.0
network 192.168.101.0
!
ip forward-protocol nd
!
!
ip route 0.0.0.0 0.0.0.0 y.y.y.1
!
ip access-list extended Global_External
---тут разные правила для хостов сети x.x.x.x 255.255.255.224---
ip access-list extended Shop1
permit ip 10.10.1.0 0.0.0.255 192.168.1.32 0.0.0.31


Конфиг Точки:

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address x.x.x.1
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode tunnel
!
!
!
crypto map VPNHQ 10 ipsec-isakmp
set peer x.x.x.1
set transform-set 3DES-MD5
match address VPN-HQ
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
---Внешняя сеть---
ip address z.z.z.5 255.255.255.0
ip access-group Outbound out
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
crypto map VPNHQ
!
!
!
interface Vlan1
---Внутренняя сеть---
ip address 192.168.1.33 255.255.255.224
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
!
!
ip nat inside source list NAT_out interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 z.z.z.1
!
ip access-list extended NAT_out
deny   ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
permit ip 192.168.1.32 0.0.0.31 any
ip access-list extended Outbound
permit ip any any
ip access-list extended VPN-HQ
permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "опять про туннели S2S IPSec"  +/
Сообщение от fantom (ok) on 11-Дек-14, 15:18 
>[оверквотинг удален]
> ip nat inside source list NAT_out interface FastEthernet4 overload
> ip route 0.0.0.0 0.0.0.0 z.z.z.1
> !
> ip access-list extended NAT_out
>  deny   ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
>  permit ip 192.168.1.32 0.0.0.31 any
> ip access-list extended Outbound
>  permit ip any any
> ip access-list extended VPN-HQ
>  permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255

Таблицу маршрутизации смотрели???

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "опять про туннели S2S IPSec"  +/
Сообщение от DKu (ok) on 11-Дек-14, 15:35 

> Таблицу маршрутизации смотрели???

Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "опять про туннели S2S IPSec"  +/
Сообщение от DKu (ok) on 11-Дек-14, 17:05 
>> Таблицу маршрутизации смотрели???
> Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то
> на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда
> не попадает в соответствие нужных access-list'ов и не поднимает туннель.

Добавил RRI, маршруты появились. Траффика по-прежнему нет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "опять про туннели S2S IPSec"  +/
Сообщение от _alecx_ (ok) on 11-Дек-14, 18:50 
На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0,
а crypto map висит на GigabitEthernet0/1.2
Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "опять про туннели S2S IPSec"  +/
Сообщение от ShyLion (??) on 11-Дек-14, 19:39 
Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "опять про туннели S2S IPSec"  +/
Сообщение от DKu (ok) on 12-Дек-14, 12:32 
> Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так
> хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И
> вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если
> везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI
> интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.

В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась.
crypto map VPNRetail 101 ipsec-isakmp
set peer z.z.z.5 (вот тут адрсе неправильный подставил)
set transform-set 3DES-MD5
match address Shop1

Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация.

От рабочего конфига в любом случае не откажусь.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "опять про туннели S2S IPSec"  +/
Сообщение от ShyLion (??) on 12-Дек-14, 20:06 
Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "опять про туннели S2S IPSec"  +/
Сообщение от ShyLion (??) on 13-Дек-14, 10:07 
> Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять
> всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет
> разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.

Вариант HUB-SPOKE, весь траффик проходит через центр.

HUB:


crypto keyring NHRP_HUB
  pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf
  pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984
  ...
!
no crypto isakmp default policy
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel56000
description IPSec NHRP HUB
ip address 10.96.255.1 255.255.255.0
no ip redirects
ip mtu 1394
ip flow egress
ip nat inside
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp holdtime 600
ip virtual-reassembly in
no ip split-horizon eigrp 1
ip summary-address eigrp 1 10.0.0.0 255.0.0.0
tunnel source h.h.h.h
tunnel mode gre multipoint
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
network 10.0.0.0
!

Spoke:


no crypto isakmp default policy
!
crypto isakmp key 0 nhrp_0f1_gj5j8948f5u3948utmjf address h.h.h.h
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel5600X
description NHRP Spoke to HQ, ISP Roga i Copita
ip address 10.96.255.X 255.255.255.0
ip mtu 1394
ip flow ingress
ip nhrp map multicast dynamic
ip nhrp map multicast h.h.h.h
ip nhrp map 10.96.255.1 h.h.h.h
ip nhrp network-id 1
ip nhrp holdtime 600
ip nhrp nhs 10.96.255.1
qos pre-classify
tunnel source f1.f1.f1.f1
tunnel destination h.h.h.h
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
passive-interface default
no passive-interface Tunnel5600x
network 10.0.0.0
no auto-summary
eigrp stub connected
!

В таком виде все работает как часики уже несколько лет, полсотни споков со всяких сел и городов. Споки анонсируют только собственные сети, к ним анонсируются только саммари адреса.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру