forum.opennet.ru - "опять про туннели S2S IPSec" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"опять про туннели S2S IPSec"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"опять про туннели S2S IPSec"	+/–
Сообщение от DKu (ok) on 11-Дек-14, 13:55
Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880 Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих "интересный" траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий. Конфиг ЦО: crypto keyring Br1 pre-shared-key address 1.1.1.1 key Megapass crypto keyring Br2 pre-shared-key address 2.2.2.2 key Megapass ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key Superpass address 0.0.0.0 0.0.0.0 crypto isakmp profile Br1 keyring Br1 match identity address 1.1.1.1 255.255.255.255 crypto isakmp profile Br2 keyring Br2 match identity address 2.2.2.2 255.255.255.2555 ! ! crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac mode transport crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto ipsec profile HQ-Br1 set transform-set 3DES-SHA set isakmp-profile Br1 ! crypto ipsec profile HQ-Br2 set transform-set 3DES-SHA set isakmp-profile Br2 ! ! crypto map VPNRetail 101 ipsec-isakmp set peer 3.3.3.3 set transform-set 3DES-MD5 match address Shop1 ! ! ! interface Tunnel0 ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source x.x.x.1 tunnel mode ipsec ipv4 tunnel destination 1.1.1.1 tunnel protection ipsec profile HQ-Br1 ! interface Tunnel1 ip address 192.168.101.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source x.x.x.1 tunnel mode ipsec ipv4 tunnel destination 2.2.2.2 tunnel protection ipsec profile HQ-Br2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ---Сеть провайдера--- ip address y.y.y.2 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 ---Внутренняя сеть--- encapsulation dot1Q 10 ip address 10.10.1.1 255.255.255.0 ! interface GigabitEthernet0/1.2 ---Белая сеть выданная провайдером--- encapsulation dot1Q 2 ip address x.x.x.1 255.255.255.224 ip access-group Global_External in crypto map VPNRetail ! interface GigabitEthernet0/2 no ip address duplex auto speed auto ! interface Vlan1 no ip address ! ! router eigrp 1 ---Для филиалов--- network 10.10.1.0 network 192.168.100.0 network 192.168.101.0 ! ip forward-protocol nd ! ! ip route 0.0.0.0 0.0.0.0 y.y.y.1 ! ip access-list extended Global_External ---тут разные правила для хостов сети x.x.x.x 255.255.255.224--- ip access-list extended Shop1 permit ip 10.10.1.0 0.0.0.255 192.168.1.32 0.0.0.31 Конфиг Точки: crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key Superpass address x.x.x.1 ! ! crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac mode tunnel ! ! ! crypto map VPNHQ 10 ipsec-isakmp set peer x.x.x.1 set transform-set 3DES-MD5 match address VPN-HQ ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ---Внешняя сеть--- ip address z.z.z.5 255.255.255.0 ip access-group Outbound out no ip redirects no ip proxy-arp ip nat outside ip inspect INSPECT_OUT out ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto no cdp enable crypto map VPNHQ ! ! ! interface Vlan1 ---Внутренняя сеть--- ip address 192.168.1.33 255.255.255.224 ip accounting output-packets ip nat inside ip virtual-reassembly in ! ip forward-protocol nd ! ! ip nat inside source list NAT_out interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 z.z.z.1 ! ip access-list extended NAT_out deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 permit ip 192.168.1.32 0.0.0.31 any ip access-list extended Outbound permit ip any any ip access-list extended VPN-HQ permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
Ответить \| Правка \| Cообщить модератору

Оглавление

опять про туннели S2S IPSec, fantom, 15:18 , 11-Дек-14, (1)

опять про туннели S2S IPSec, DKu, 15:35 , 11-Дек-14, (2)

опять про туннели S2S IPSec, DKu, 17:05 , 11-Дек-14, (3)

опять про туннели S2S IPSec, _alecx_, 18:50 , 11-Дек-14, (4)
опять про туннели S2S IPSec, ShyLion, 19:39 , 11-Дек-14, (5)

опять про туннели S2S IPSec, DKu, 12:32 , 12-Дек-14, (6)

опять про туннели S2S IPSec, ShyLion, 20:06 , 12-Дек-14, (7)

опять про туннели S2S IPSec, ShyLion, 10:07 , 13-Дек-14, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "опять про туннели S2S IPSec" +/–

Сообщение от fantom (ok) on 11-Дек-14, 15:18

>[оверквотинг удален]
> ip nat inside source list NAT_out interface FastEthernet4 overload
> ip route 0.0.0.0 0.0.0.0 z.z.z.1
> !
> ip access-list extended NAT_out
>  deny   ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
>  permit ip 192.168.1.32 0.0.0.31 any
> ip access-list extended Outbound
>  permit ip any any
> ip access-list extended VPN-HQ
>  permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
Таблицу маршрутизации смотрели???

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "опять про туннели S2S IPSec" +/–

Сообщение от DKu (ok) on 11-Дек-14, 15:35

> Таблицу маршрутизации смотрели???
Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "опять про туннели S2S IPSec" +/–

Сообщение от DKu (ok) on 11-Дек-14, 17:05

>> Таблицу маршрутизации смотрели???
> Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то
> на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда
> не попадает в соответствие нужных access-list'ов и не поднимает туннель.
Добавил RRI, маршруты появились. Траффика по-прежнему нет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "опять про туннели S2S IPSec" +/–

Сообщение от _alecx_ (ok) on 11-Дек-14, 18:50

На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0,
а crypto map висит на GigabitEthernet0/1.2
Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "опять про туннели S2S IPSec" +/–

Сообщение от ShyLion (??) on 11-Дек-14, 19:39

Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "опять про туннели S2S IPSec" +/–

Сообщение от DKu (ok) on 12-Дек-14, 12:32

> Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так
> хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И
> вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если
> везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI
> интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.
В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась.
crypto map VPNRetail 101 ipsec-isakmp
set peer z.z.z.5 (вот тут адрсе неправильный подставил)
set transform-set 3DES-MD5
match address Shop1
Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация.
От рабочего конфига в любом случае не откажусь.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "опять про туннели S2S IPSec" +/–

Сообщение от ShyLion (??) on 12-Дек-14, 20:06

Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "опять про туннели S2S IPSec" +/–

Сообщение от ShyLion (??) on 13-Дек-14, 10:07

> Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять
> всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет
> разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.
Вариант HUB-SPOKE, весь траффик проходит через центр.
HUB:

crypto keyring NHRP_HUB
  pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf
  pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984
  ...
!
no crypto isakmp default policy
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel56000
description IPSec NHRP HUB
ip address 10.96.255.1 255.255.255.0
no ip redirects
ip mtu 1394
ip flow egress
ip nat inside
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp holdtime 600
ip virtual-reassembly in
no ip split-horizon eigrp 1
ip summary-address eigrp 1 10.0.0.0 255.0.0.0
tunnel source h.h.h.h
tunnel mode gre multipoint
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
network 10.0.0.0
!
Spoke:

no crypto isakmp default policy
!
crypto isakmp key 0 nhrp_0f1_gj5j8948f5u3948utmjf address h.h.h.h
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel5600X
description NHRP Spoke to HQ, ISP Roga i Copita
ip address 10.96.255.X 255.255.255.0
ip mtu 1394
ip flow ingress
ip nhrp map multicast dynamic
ip nhrp map multicast h.h.h.h
ip nhrp map 10.96.255.1 h.h.h.h
ip nhrp network-id 1
ip nhrp holdtime 600
ip nhrp nhs 10.96.255.1
qos pre-classify
tunnel source f1.f1.f1.f1
tunnel destination h.h.h.h
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
passive-interface default
no passive-interface Tunnel5600x
network 10.0.0.0
no auto-summary
eigrp stub connected
!
В таком виде все работает как часики уже несколько лет, полсотни споков со всяких сел и городов. Споки анонсируют только собственные сети, к ним анонсируются только саммари адреса.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "опять про туннели S2S IPSec"	+/–
Сообщение от fantom (ok) on 11-Дек-14, 15:18
>[оверквотинг удален] > ip nat inside source list NAT_out interface FastEthernet4 overload > ip route 0.0.0.0 0.0.0.0 z.z.z.1 > ! > ip access-list extended NAT_out > deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 > permit ip 192.168.1.32 0.0.0.31 any > ip access-list extended Outbound > permit ip any any > ip access-list extended VPN-HQ > permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 Таблицу маршрутизации смотрели???
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "опять про туннели S2S IPSec"	+/–
	Сообщение от DKu (ok) on 11-Дек-14, 15:35
	> Таблицу маршрутизации смотрели??? Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "опять про туннели S2S IPSec"	+/–
	Сообщение от DKu (ok) on 11-Дек-14, 17:05
	>> Таблицу маршрутизации смотрели??? > Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то > на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда > не попадает в соответствие нужных access-list'ов и не поднимает туннель. Добавил RRI, маршруты появились. Траффика по-прежнему нет.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "опять про туннели S2S IPSec"	+/–
Сообщение от _alecx_ (ok) on 11-Дек-14, 18:50
На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0, а crypto map висит на GigabitEthernet0/1.2 Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

5. "опять про туннели S2S IPSec"	+/–
Сообщение от ShyLion (??) on 11-Дек-14, 19:39
Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "опять про туннели S2S IPSec"	+/–
	Сообщение от DKu (ok) on 12-Дек-14, 12:32
	> Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так > хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И > вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если > везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI > интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг. В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась. crypto map VPNRetail 101 ipsec-isakmp set peer z.z.z.5 (вот тут адрсе неправильный подставил) set transform-set 3DES-MD5 match address Shop1 Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация. От рабочего конфига в любом случае не откажусь.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "опять про туннели S2S IPSec"	+/–
	Сообщение от ShyLion (??) on 12-Дек-14, 20:06
	Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "опять про туннели S2S IPSec"	+/–
	Сообщение от ShyLion (??) on 13-Дек-14, 10:07
	> Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять > всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет > разбираться в нюансах. Конфиги позже скину, когда до компа доберусь. Вариант HUB-SPOKE, весь траффик проходит через центр. HUB: crypto keyring NHRP_HUB pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984 ... ! no crypto isakmp default policy ! crypto isakmp policy 50 encr aes authentication pre-share group 2 ! crypto ipsec transform-set LIGHT esp-aes ! crypto ipsec profile LIGHT set transform-set LIGHT ! interface Tunnel56000 description IPSec NHRP HUB ip address 10.96.255.1 255.255.255.0 no ip redirects ip mtu 1394 ip flow egress ip nat inside ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp holdtime 600 ip virtual-reassembly in no ip split-horizon eigrp 1 ip summary-address eigrp 1 10.0.0.0 255.0.0.0 tunnel source h.h.h.h tunnel mode gre multipoint tunnel key 56 tunnel protection ipsec profile LIGHT ! router eigrp 1 network 10.0.0.0 ! Spoke: no crypto isakmp default policy ! crypto isakmp key 0 nhrp_0f1_gj5j8948f5u3948utmjf address h.h.h.h ! crypto isakmp policy 50 encr aes authentication pre-share group 2 ! crypto ipsec transform-set LIGHT esp-aes ! crypto ipsec profile LIGHT set transform-set LIGHT ! interface Tunnel5600X description NHRP Spoke to HQ, ISP Roga i Copita ip address 10.96.255.X 255.255.255.0 ip mtu 1394 ip flow ingress ip nhrp map multicast dynamic ip nhrp map multicast h.h.h.h ip nhrp map 10.96.255.1 h.h.h.h ip nhrp network-id 1 ip nhrp holdtime 600 ip nhrp nhs 10.96.255.1 qos pre-classify tunnel source f1.f1.f1.f1 tunnel destination h.h.h.h tunnel key 56 tunnel protection ipsec profile LIGHT ! router eigrp 1 passive-interface default no passive-interface Tunnel5600x network 10.0.0.0 no auto-summary eigrp stub connected ! В таком виде все работает как часики уже несколько лет, полсотни споков со всяких сел и городов. Споки анонсируют только собственные сети, к ним анонсируются только саммари адреса.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору