forum.opennet.ru - "Cisco 2921 <IPSec> DLink DSR-150" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 2921 <IPSec> DLink DSR-150"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 2921 <IPSec> DLink DSR-150"	+/–
Сообщение от DKu (ok) on 21-Май-13, 11:48
Уважаемые, помогите пожалуйста советом. Поднимаю туннель. При применении crypto map вешается интерфейс на который она применяется. И никак не могу поднять соединение. Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у меня задача, подключить много розничных точек, так что кучу VTI создавать нет желания. Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать множественные маршруты и access листы. a.a.a.a - внешний IP филиала 1 b.b.b.b - внешний IP филиала 2 x.x.x.x - внешний IP предполагаемого магазина c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети) z.z.z.z - внешний IP к ISP y.y.y.y - шлюз ISP Конфиг: ! crypto keyring Branch1Key pre-shared-key address a.a.a.a key Superkey1 crypto keyring Branch2Key pre-shared-key address b.b.b.b key Superkey2 crypto keyring ShopsKey pre-shared-key address 0.0.0.0 0.0.0.0 key MegaSuperKey ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp profile Branch1 keyring Branch1Key match identity address a.a.a.a 255.255.255.255 crypto isakmp profile Branch2 keyring Branch2Key match identity address b.b.b.b 255.255.255.255 crypto isakmp profile Shops keyring ShopsKey match identity address 0.0.0.0 ! ! crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac mode transport crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile Branch1IPSec set transform-set 3DES-SHA set isakmp-profile Branch1 ! crypto ipsec profile Branch2IPSec set transform-set 3DES-SHA set isakmp-profile Branch2 ! ! ! ! ! ! ! ! crypto map VPNShops 10 ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address 100 ! ! ! ! ! ! interface Tunnel0 description ===== Branch1 ===== ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source c.c.c.c tunnel mode ipsec ipv4 tunnel destination a.a.a.a tunnel protection ipsec profile Branch1IPSec ! interface Tunnel1 description ===== Branch2 ===== ip address 192.168.101.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source c.c.c.c tunnel mode ipsec ipv4 tunnel destination b.b.b.b tunnel protection ipsec profile Branch2IPSec ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.1 description ===== DMZ ===== encapsulation dot1Q 6 ip address c.c.c.c 255.255.255.240 crypto map VPNShops ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 description ===== Management ===== encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.2 ! interface GigabitEthernet0/2 description ===== Internet Comstar ===== ip address z.z.z.z 255.255.255.252 duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 y.y.y.y ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 ip route 192.168.110.0 255.255.255.0 192.168.10.254 ip route 192.168.111.0 255.255.255.0 192.168.10.254 ip route 192.168.120.0 255.255.255.0 Tunnel0 ip route 192.168.121.0 255.255.255.0 Tunnel1 ! access list 100 permit ip any any Почему перестаёт работать доступ в Интернет и из Интернета через с.с.с.с при применении crypto map? Првильно ли написан конфиг для туннеля на crypto map? И правильно ли я понимаю supernet и маршрутизацию в пределах данной задачи? Заранее прошу прощения за детские ошибки, если есть, моё познание Cisco только начинается.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 2921 <IPSec> DLink DSR-150, alecx, 14:00 , 21-Май-13, (1)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 15:29 , 21-Май-13, (2)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 16:53 , 21-Май-13, (3)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 00:31 , 22-Май-13, (4)

Cisco 2921 <IPSec> DLink DSR-150, alecx, 18:55 , 22-Май-13, (5)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 19:20 , 22-Май-13, (6)

Cisco 2921 <IPSec> DLink DSR-150, alecx, 23:58 , 22-Май-13, (7)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 10:40 , 23-Май-13, (8)

Cisco 2921 <IPSec> DLink DSR-150, alecx, 14:44 , 23-Май-13, (9)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 13:48 , 24-Май-13, (10)

Cisco 2921 <IPSec> DLink DSR-150, DKu, 19:08 , 16-Сен-14, (12)

Cisco 2921 <IPSec> DLink DSR-150, Pve1, 15:01 , 18-Июн-13, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от alecx (??) on 21-Май-13, 14:00

1. Потому что весь трафик попадает под access-list 100 и cisco пытается его запихнуть в туннель.
2. Писать много access листов все равно придется.
На каждый магазин нужен свой:
crypto map VPNShops XX ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address XXX
Cisco по access-list`у будет выбирать на какой peer слать трафик через тунель. Так что от громоздкой конфигурации не сильно спасет.
3. Вопрос: что за сеть c.c.c.c. Общий широковещательный домен /28, или много мелких сеток для каждого филиала? Связан вопрос с тем, что ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 - будет генерить arp запрос для каждого хоста из сети 172.17/16 и слать его широковещательно в сеть c.c.c.c

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 21-Май-13, 15:29

>[оверквотинг удален]
> set transform-set 3DES-SHA
> set pfs group2
> set isakmp-profile Shops
> match address XXX
> Cisco по access-list`у будет выбирать на какой peer слать трафик через тунель.
> Так что от громоздкой конфигурации не сильно спасет.
> 3. Вопрос: что за сеть c.c.c.c. Общий широковещательный домен /28, или много
> мелких сеток для каждого филиала? Связан вопрос с тем, что ip
> route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 - будет генерить arp запрос для каждого
> хоста из сети 172.17/16 и слать его широковещательно в сеть c.c.c.c
Спасибо, за оперативность.
1. Понятно. В access list надо указать только те сети траффик которых нужно туннелировать. Правильно?
2. Это я знал. Но мне кажется лучше применить одну crypto map VPNShops на интерфейс, чем создавать кучу VTI. Или я не прав?
3. Я боюсь ошибиться в терминологии, но по-моему это именно широковещательный домен. Это белый IP выданный провайдером который является шлюзом для внешней сети с.с.с.с/28, которая маршрутизируется в интернет через z.z.z.z/30. Если неправильно посылать arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 21-Май-13, 16:53

>[оверквотинг удален]
> нужно туннелировать. Правильно?
> 2. Это я знал. Но мне кажется лучше применить одну crypto map
> VPNShops на интерфейс, чем создавать кучу VTI. Или я не прав?
> 3. Я боюсь ошибиться в терминологии, но по-моему это именно широковещательный домен.
> Это белый IP выданный провайдером который является шлюзом для внешней сети
> с.с.с.с/28, которая маршрутизируется в интернет через z.z.z.z/30. Если неправильно посылать
> arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный
> вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот
> роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750
> 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16
1. Конечно траффик МЕЖДУ которыми нужно туннелировать. Написал как надо. Интернет не пропал. Все существующие сети между собой видны. По sh crypto isakmp sa видно даже что туннель ACTIVE, хотя на той стороне сейчас DLink на котором нет настроек IPSec (уходя из дома я снял тестируемый и поставил обратно свой). Остаются вопросы 2 и 3 (особенно интересный).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 22-Май-13, 00:31

>[оверквотинг удален]
>> arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный
>> вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот
>> роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750
>> 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16
> 1. Конечно траффик МЕЖДУ которыми нужно туннелировать. Написал как надо. Интернет не
> пропал. Все существующие сети между собой видны. По sh crypto isakmp
> sa видно даже что туннель ACTIVE, хотя на той стороне сейчас
> DLink на котором нет настроек IPSec (уходя из дома я снял
> тестируемый и поставил обратно свой). Остаются вопросы 2 и 3 (особенно
> интересный).
Туннель в итоге я поднял, но сети не видят друг друга. В связи с чем 3 вопрос становиться всё более актаульным. Пробовал на Cisco прописать маршрут не в супернет, а явно в тустовую сеть, в DLink добавил статический маршрут  - тоже не помогает. Помогите советом пожалуйста.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от alecx (??) on 22-Май-13, 18:55

>>[оверквотинг удален]
До конца не понял вопрос про "сети не видят друг друга".
Если вы про то что филиалы не видят другие филиалы, то так и будет если вы используете crypto map вместо VTI.
Если про сети за каталистом, то на нем нужен статик:
ip route 172.17.0.0 255.255.0.0 192.168.10.1
и соответственно добавить в access-list IPSEC`а правило гнать трафик из 192.168.110.0/24 в филиалы через туннель.
И "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1" я бы все таки рекомендовал заменить на отдельные записи для каждого филиала. Что то типа:
ip route 172.17.x.0 255.255.255.0 c.c.c.x
Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато будет прозрачнее работать.
Записи тип ip route IP_NET MASK INT придумали когда то для PPP линков с /31 маской, и плохо работают в multipoint сетях.
По сути вопроса 2:
При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы того или иного подхода, как хорошо вы сможете из траблшутить в случае чего.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 22-Май-13, 19:20

>[оверквотинг удален]
> Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато
> будет прозрачнее работать.
> Записи тип ip route IP_NET MASK INT придумали когда то для PPP
> линков с /31 маской, и плохо работают в multipoint сетях.
> По сути вопроса 2:
> При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS
> и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор
> стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы
> того или иного подхода, как хорошо вы сможете из траблшутить в
> случае чего.
Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, что сделующий шаг этот же роутер. Но для каждого магазина могу написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно раздуется? у меня около 200 розничных точек.)
На Catalist, естественно, я маршрут написал :)
Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой.
Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24
Сейчас на Cisco написано так:
ip route 0.0.0.0 0.0.0.0 y.y.y.y
ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
ip route 192.168.120.0 255.255.255.0 Tunnel0
ip route 192.168.121.0 255.255.255.0 Tunnel1
!
access list 100 permit ip 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit ip 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit ip 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 deny ip any any
access list 100 deny iсmp any any
Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 и обратно. На Catalist всё ровно. Трассировка 172.17.0.18 уходит на 192.168.10.1 и там затыкается. Сегодня попробую ещё раз вечером. Тестовый DLink дома и приходится, уходя, его заменять домашним роутером, чтобы Инет дома был, а то супруга и дети не поймут:)
И по поводу Crypto Map vs. VTI мне особо не совсем понятно. Разницу вижу только явную. Что первое вешается на интерфейс, а под второй создаётся отдельный интерфейс. Читал, что через VTI нельзя загнать не IP траффик, в этом его минус. Может не так чего понял, но это тема для отдельной беседы. Я только начинаю с Cisco знакомится. Динамическая маршрутизация и QoS для меня тёмный лес пока. У меня стоит задача и руководство поджимает, другие глобальные я делать из-за этого не могу. Денег на учёбу не выделили... ну как обычно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от alecx (??) on 22-Май-13, 23:58

> у меня около 200 розничных точек.)
почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, а в интернете?
И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла за каким пиром какая сеть сидит.
> На Catalist, естественно, я маршрут написал :)
> Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой.
Это хорошо.

> Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер
> Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в
> таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24
> Сейчас на Cisco написано так:
> ip route 0.0.0.0 0.0.0.0 y.y.y.y
> ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1
Я вот никак не пойму. За какой сетью у тебя сидят все филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то зачем вешать crypto map на внутренний интерфейс?
Проще повесить его на  GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1."
Router не будет знать где 172.17 и все будет лить на шлюз по умолчению, и на внешнем интерфейсе cryto map перехватит все в ipsec
> Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24
Если у каждого филиала своя /28 из сети 172.17 то надо делать так:
На cisco:
!Для 1го магазина
ip access-list ext Tunnel-to-Shop001
    permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15

crypto map VPNShops 10 ipsec-isakmp
set peer x.x.x.x !(внешний адресс 1го магазина)
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address Tunnel-to-Shop001
!Для 2го магазина
ip access-list ext Tunnel-to-Shop002
    permit ip 192.168.0.0 0.0.255.255 172.17.0.32 0.0.0.15
crypto map VPNShops 20 ipsec-isakmp
set peer x.x.x.x !(внешний адресс 2го магазина)
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address Tunnel-to-Shop002
и так далее.
interface GigabitEthernet0/2
crypto map VPNShops

На DLink`ах обратные access-list
Local IP 172.17.0.16/29
Remote IP 192.168.0.0/16
Должно работать.

> И по поводу Crypto Map vs. VTI мне особо не совсем понятно.
> Разницу вижу только явную. Что первое вешается на интерфейс, а под
> второй создаётся отдельный интерфейс.
Т.е. ты работаешь с ними по логике, как будто все филиалы включены шнурками напрямую в cisco. Отсюда простота в понимании процесса и привычные вещи в управлении: роутинг и полисинг.
> Читал, что через VTI нельзя загнать не IP траффик, в этом его минус.
А ты собрался гонять IPX или еще чего похуже?
> У меня стоит задача и руководство поджимает,
Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит этого?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 23-Май-13, 10:40

Во-первых, хотел поблагодарить за участие, а то и помочь некому.
> почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней,
> а в интернете?
сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.)
> И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла
> за каким пиром какая сеть сидит.
Это тоже понятно.
> Я вот никак не пойму. За какой сетью у тебя сидят все
> филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то
> зачем вешать crypto map на внутренний интерфейс?
> Проще повесить его на  GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0
> 255.255.0.0 GigabitEthernet0/0.1."
> Router не будет знать где 172.17 и все будет лить на шлюз
> по умолчению, и на внешнем интерфейсе cryto map перехватит все в
> ipsec
А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым IP и шлюзом для его сети в Интернет, да что уж там, мы все через него в Инет ходим, т.е. пакет в Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется к провайдеру. Нам выделена сеть белых IP. У нас много внешних сервисов.
> Если у каждого филиала своя /28 из сети 172.17 то надо делать
> так:
> На cisco:
> !Для 1го магазина
> ip access-list ext Tunnel-to-Shop001
>     permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15
т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?
>[оверквотинг удален]
> set pfs group2
> set isakmp-profile Shops
> match address Tunnel-to-Shop002
> и так далее.
> interface GigabitEthernet0/2
>  crypto map VPNShops
> На DLink`ах обратные access-list
> Local IP 172.17.0.16/29
> Remote IP 192.168.0.0/16
> Должно работать.
access-list на DLink'ах звучит страшно :)
> А ты собрался гонять IPX или еще чего похуже?
Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. Всё такое.
> Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps
> throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит
> этого?
Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, за предупреждение. Не знал. Ну может через пару лет новый роутер купят.
Сейчас написано так:
crypto map VPNShops 10 ipsec-isakmp
set peer х.х.х.х
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address 101
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
description ===== DMZ =====
encapsulation dot1Q 7
ip address 58.235.72.177 255.255.255.240
crypto map VPNShops
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.2
!
interface GigabitEthernet0/2
description ===== Internet =====
ip address 195.17.46.102 255.255.255.252
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 195.17.46.101
ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1
ip route 192.168.10.0 255.255.255.0 192.168.10.254
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 deny   ip any any
access-list 101 deny   icmp any any
Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты в сети за NAT в туннель IPSec не NATились?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от alecx (??) on 23-Май-13, 14:44

> т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?
Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для, например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0 0.0.255.255) и будет отправлен в 1ый филиал.
Вернемся, к баранам:
Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем mode tunnel. Проверь чтоб на D-Link стоял такой же.
Настройки D-Link`a:
Policy type: Auto
IKE version: IPv4 IKEv1
Ipsec mode: Tunnel
Remote Endpoint: 58.235.72.177
Protocol: ESP
Local IP: 172.17.0.16/28
Remote IP: 192.168.0.0/16
Проверь на DLink настройки Phase I и Phase II. Они должны совпадать с crypto isakmp policy и crypto isakmp profile (для Phase I) и crypto map VPNShops 10 ipsec-isakmp (для Phase II)

поставь пинг и покажи
sh cry ips sa
Если не заработало - выкладывай debug cry isa и debug cry ips
P.s. Я бы все таки перевесил бы crypto map на 195.17.46.102 чтобы исключить проблемы с попаданием трафика в crypto map

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 24-Май-13, 13:48

>> т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?
> Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для,
> например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0
> 0.0.255.255) и будет отправлен в 1ый филиал.
> Вернемся, к баранам:
> Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем
> mode tunnel. Проверь чтоб на D-Link стоял такой же.
Если выставить mode tunnel туннель перестаёт работать.
>[оверквотинг удален]
> Policy type: Auto
> IKE version: IPv4 IKEv1
> Ipsec mode: Tunnel
> Remote Endpoint: 58.235.72.177
> Protocol: ESP
> Local IP: 172.17.0.16/28
> Remote IP: 192.168.0.0/16
> Проверь на DLink настройки Phase I и Phase II. Они должны совпадать
> с crypto isakmp policy и crypto isakmp profile (для Phase I)
> и crypto map VPNShops 10 ipsec-isakmp (для Phase II)
Всё так и есть, только в crypto map у меня set security-association lifetime seconds 28800, а D-Link'е эта настройка на Phase I, в Phase II 3600
> поставь пинг и покажи
> sh cry ips sa
> Если не заработало - выкладывай debug cry isa и debug cry ips
Не стал делать, было поздно.
> P.s. Я бы все таки перевесил бы crypto map на 195.17.46.102 чтобы
> исключить проблемы с попаданием трафика в crypto map

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от DKu (ok) on 16-Сен-14, 19:08

UP. Коллеги, задача так и не решена. Кто-нибудь в состоянии помочь? Задача подключить несколько розничных точек с помощью crypto map.
Пробовал и с динамическими и со статическими, и со статическим маршрутом и с reverse-route, crypto map вешал и на interface GigabitEthernet0/1.1 и на interface GigabitEthernet0/0, и с DLink DSR-150 и с Mikrotik 750. Всё одно туннель ставится, траффик не идёт. Где грабли-то?
Ещё раз конфиг: актуальный
a.a.a.a - внешний IP филиала 1
b.b.b.b - внешний IP филиала 2
c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети)
z.z.z.z - внешний IP к ISP
y.y.y.y - шлюз ISP
!
crypto keyring Branch1Key
  pre-shared-key address a.a.a.a key Superkey1
crypto keyring Branch2Key
  pre-shared-key address b.b.b.b key Superkey2
crypto keyring ShopsKey
  pre-shared-key address 0.0.0.0 0.0.0.0 key MegaSuperKey
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
!
crypto isakmp profile Branch1
   keyring Branch1Key
   match identity address a.a.a.a 255.255.255.255
crypto isakmp profile Branch2
   keyring Branch2Key
   match identity address b.b.b.b 255.255.255.255
crypto isakmp profile Shops
   keyring ShopsKey
   match identity address 0.0.0.0
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile Branch1IPSec
set transform-set 3DES-SHA
set isakmp-profile Branch1
!
crypto ipsec profile Branch2IPSec
set transform-set 3DES-SHA
set isakmp-profile Branch2
!
!
crypto dynamic-map VPNShop 10
set transform-set 3DES-MD5
set pfs group2
set isakmp-profile Shops
match address VPN-Shop1
!
!
crypto map VPNShops 1 ipsec-isakmp dynamic VPNShop
!
!
interface Tunnel0
description ===== Branch1 =====
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source c.c.c.c
tunnel mode ipsec ipv4
tunnel destination a.a.a.a
tunnel protection ipsec profile Branch1IPSec
!
interface Tunnel1
description ===== Branch2 =====
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source c.c.c.c
tunnel mode ipsec ipv4
tunnel destination b.b.b.b
tunnel protection ipsec profile Branch2IPSec
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ===== Internet Comstar =====
ip address z.z.z.z 255.255.255.252
duplex auto
speed auto
!
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
description ===== DMZ White IPs =====
encapsulation dot1Q 6
ip address c.c.c.c 255.255.255.240
crypto map VPNShops
!
interface GigabitEthernet0/1.2
description ===== Management =====
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
shut
!
ip forward-protocol nd
!
router eigrp 999
network 192.168.10.0
network 192.168.100.0
network 192.168.101.0
!
ip route 0.0.0.0 0.0.0.0 y.y.y.y
ip route 10.0.0.16 255.255.255.240 GigabitEthernet0/1.1
!
access list extended VPN-Shop1
permit 192.168.10.0 0.0.0.255 10.0.0.16 0.0.0.15

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Cisco 2921 <IPSec> DLink DSR-150" +/–

Сообщение от Pve1 (ok) on 18-Июн-13, 15:01

> Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у
> меня задача, подключить много розничных точек, так что кучу VTI создавать
> нет желания.
> Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И
> все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать
> множественные маршруты и access листы.
Абсолютно не правильная и тупиковая установка.
Сделать компактнее и проще на Crypto-map - не получится никак!
Т.к. вместо маршрутов ты будешь для каждого офиса прописывать отдельный ACL, отдельного пира и строку в криптомапе, ну и отдельный маршрут конечно же.
Рассматриваемое тобой решение на базе Crypto-Map и обычного IPSec-а - колхоз в априори, и удобным оно не может быть никак.
Самое лучшее что можно придумать - упомянутые и успешно протестированные тобой тунельные интерфейсы в каждый офис.
Создание большого их числа легко автоматизируется с помощью notepad++, excel и т.д.
Это максимально простая и понятная конфигурация в данном случае. И на всех интерфейсах можно повесить один крипто-профайл.   Транзитные сетки можно и нужно делать с /31 маской.
Ну а лучше всего, понятно,  купить циски 8ХХ-е в магазины, и настроить на них DMVPN.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
Сообщение от alecx (??) on 21-Май-13, 14:00
1. Потому что весь трафик попадает под access-list 100 и cisco пытается его запихнуть в туннель. 2. Писать много access листов все равно придется. На каждый магазин нужен свой: crypto map VPNShops XX ipsec-isakmp set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address XXX Cisco по access-list`у будет выбирать на какой peer слать трафик через тунель. Так что от громоздкой конфигурации не сильно спасет. 3. Вопрос: что за сеть c.c.c.c. Общий широковещательный домен /28, или много мелких сеток для каждого филиала? Связан вопрос с тем, что ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 - будет генерить arp запрос для каждого хоста из сети 172.17/16 и слать его широковещательно в сеть c.c.c.c
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 21-Май-13, 15:29
	>[оверквотинг удален] > set transform-set 3DES-SHA > set pfs group2 > set isakmp-profile Shops > match address XXX > Cisco по access-list`у будет выбирать на какой peer слать трафик через тунель. > Так что от громоздкой конфигурации не сильно спасет. > 3. Вопрос: что за сеть c.c.c.c. Общий широковещательный домен /28, или много > мелких сеток для каждого филиала? Связан вопрос с тем, что ip > route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 - будет генерить arp запрос для каждого > хоста из сети 172.17/16 и слать его широковещательно в сеть c.c.c.c Спасибо, за оперативность. 1. Понятно. В access list надо указать только те сети траффик которых нужно туннелировать. Правильно? 2. Это я знал. Но мне кажется лучше применить одну crypto map VPNShops на интерфейс, чем создавать кучу VTI. Или я не прав? 3. Я боюсь ошибиться в терминологии, но по-моему это именно широковещательный домен. Это белый IP выданный провайдером который является шлюзом для внешней сети с.с.с.с/28, которая маршрутизируется в интернет через z.z.z.z/30. Если неправильно посылать arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 21-Май-13, 16:53
	>[оверквотинг удален] > нужно туннелировать. Правильно? > 2. Это я знал. Но мне кажется лучше применить одну crypto map > VPNShops на интерфейс, чем создавать кучу VTI. Или я не прав? > 3. Я боюсь ошибиться в терминологии, но по-моему это именно широковещательный домен. > Это белый IP выданный провайдером который является шлюзом для внешней сети > с.с.с.с/28, которая маршрутизируется в интернет через z.z.z.z/30. Если неправильно посылать > arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный > вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот > роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750 > 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16 1. Конечно траффик МЕЖДУ которыми нужно туннелировать. Написал как надо. Интернет не пропал. Все существующие сети между собой видны. По sh crypto isakmp sa видно даже что туннель ACTIVE, хотя на той стороне сейчас DLink на котором нет настроек IPSec (уходя из дома я снял тестируемый и поставил обратно свой). Остаются вопросы 2 и 3 (особенно интересный).
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 22-Май-13, 00:31
	>[оверквотинг удален] >> arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный >> вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот >> роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750 >> 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16 > 1. Конечно траффик МЕЖДУ которыми нужно туннелировать. Написал как надо. Интернет не > пропал. Все существующие сети между собой видны. По sh crypto isakmp > sa видно даже что туннель ACTIVE, хотя на той стороне сейчас > DLink на котором нет настроек IPSec (уходя из дома я снял > тестируемый и поставил обратно свой). Остаются вопросы 2 и 3 (особенно > интересный). Туннель в итоге я поднял, но сети не видят друг друга. В связи с чем 3 вопрос становиться всё более актаульным. Пробовал на Cisco прописать маршрут не в супернет, а явно в тустовую сеть, в DLink добавил статический маршрут - тоже не помогает. Помогите советом пожалуйста.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от alecx (??) on 22-Май-13, 18:55
	>>[оверквотинг удален] До конца не понял вопрос про "сети не видят друг друга". Если вы про то что филиалы не видят другие филиалы, то так и будет если вы используете crypto map вместо VTI. Если про сети за каталистом, то на нем нужен статик: ip route 172.17.0.0 255.255.0.0 192.168.10.1 и соответственно добавить в access-list IPSEC`а правило гнать трафик из 192.168.110.0/24 в филиалы через туннель. И "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1" я бы все таки рекомендовал заменить на отдельные записи для каждого филиала. Что то типа: ip route 172.17.x.0 255.255.255.0 c.c.c.x Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато будет прозрачнее работать. Записи тип ip route IP_NET MASK INT придумали когда то для PPP линков с /31 маской, и плохо работают в multipoint сетях. По сути вопроса 2: При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы того или иного подхода, как хорошо вы сможете из траблшутить в случае чего.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 22-Май-13, 19:20
	>[оверквотинг удален] > Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато > будет прозрачнее работать. > Записи тип ip route IP_NET MASK INT придумали когда то для PPP > линков с /31 маской, и плохо работают в multipoint сетях. > По сути вопроса 2: > При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS > и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор > стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы > того или иного подхода, как хорошо вы сможете из траблшутить в > случае чего. Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, что сделующий шаг этот же роутер. Но для каждого магазина могу написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно раздуется? у меня около 200 розничных точек.) На Catalist, естественно, я маршрут написал :) Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой. Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24 Сейчас на Cisco написано так: ip route 0.0.0.0 0.0.0.0 y.y.y.y ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 ip route 192.168.110.0 255.255.255.0 192.168.10.254 ip route 192.168.111.0 255.255.255.0 192.168.10.254 ip route 192.168.120.0 255.255.255.0 Tunnel0 ip route 192.168.121.0 255.255.255.0 Tunnel1 ! access list 100 permit ip 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit ip 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit ip 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 deny ip any any access list 100 deny iсmp any any Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 и обратно. На Catalist всё ровно. Трассировка 172.17.0.18 уходит на 192.168.10.1 и там затыкается. Сегодня попробую ещё раз вечером. Тестовый DLink дома и приходится, уходя, его заменять домашним роутером, чтобы Инет дома был, а то супруга и дети не поймут:) И по поводу Crypto Map vs. VTI мне особо не совсем понятно. Разницу вижу только явную. Что первое вешается на интерфейс, а под второй создаётся отдельный интерфейс. Читал, что через VTI нельзя загнать не IP траффик, в этом его минус. Может не так чего понял, но это тема для отдельной беседы. Я только начинаю с Cisco знакомится. Динамическая маршрутизация и QoS для меня тёмный лес пока. У меня стоит задача и руководство поджимает, другие глобальные я делать из-за этого не могу. Денег на учёбу не выделили... ну как обычно.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от alecx (??) on 22-Май-13, 23:58
	> у меня около 200 розничных точек.) почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, а в интернете? И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла за каким пиром какая сеть сидит. > На Catalist, естественно, я маршрут написал :) > Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой. Это хорошо. > Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер > Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в > таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24 > Сейчас на Cisco написано так: > ip route 0.0.0.0 0.0.0.0 y.y.y.y > ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 Я вот никак не пойму. За какой сетью у тебя сидят все филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то зачем вешать crypto map на внутренний интерфейс? Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1." Router не будет знать где 172.17 и все будет лить на шлюз по умолчению, и на внешнем интерфейсе cryto map перехватит все в ipsec > Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 Если у каждого филиала своя /28 из сети 172.17 то надо делать так: На cisco: !Для 1го магазина ip access-list ext Tunnel-to-Shop001 permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15 crypto map VPNShops 10 ipsec-isakmp set peer x.x.x.x !(внешний адресс 1го магазина) set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address Tunnel-to-Shop001 !Для 2го магазина ip access-list ext Tunnel-to-Shop002 permit ip 192.168.0.0 0.0.255.255 172.17.0.32 0.0.0.15 crypto map VPNShops 20 ipsec-isakmp set peer x.x.x.x !(внешний адресс 2го магазина) set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address Tunnel-to-Shop002 и так далее. interface GigabitEthernet0/2 crypto map VPNShops На DLink`ах обратные access-list Local IP 172.17.0.16/29 Remote IP 192.168.0.0/16 Должно работать. > И по поводу Crypto Map vs. VTI мне особо не совсем понятно. > Разницу вижу только явную. Что первое вешается на интерфейс, а под > второй создаётся отдельный интерфейс. Т.е. ты работаешь с ними по логике, как будто все филиалы включены шнурками напрямую в cisco. Отсюда простота в понимании процесса и привычные вещи в управлении: роутинг и полисинг. > Читал, что через VTI нельзя загнать не IP траффик, в этом его минус. А ты собрался гонять IPX или еще чего похуже? > У меня стоит задача и руководство поджимает, Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит этого?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 23-Май-13, 10:40
	Во-первых, хотел поблагодарить за участие, а то и помочь некому. > почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, > а в интернете? сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.) > И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла > за каким пиром какая сеть сидит. Это тоже понятно. > Я вот никак не пойму. За какой сетью у тебя сидят все > филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то > зачем вешать crypto map на внутренний интерфейс? > Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 > 255.255.0.0 GigabitEthernet0/0.1." > Router не будет знать где 172.17 и все будет лить на шлюз > по умолчению, и на внешнем интерфейсе cryto map перехватит все в > ipsec А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым IP и шлюзом для его сети в Интернет, да что уж там, мы все через него в Инет ходим, т.е. пакет в Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется к провайдеру. Нам выделена сеть белых IP. У нас много внешних сервисов. > Если у каждого филиала своя /28 из сети 172.17 то надо делать > так: > На cisco: > !Для 1го магазина > ip access-list ext Tunnel-to-Shop001 > permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15 т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться? >[оверквотинг удален] > set pfs group2 > set isakmp-profile Shops > match address Tunnel-to-Shop002 > и так далее. > interface GigabitEthernet0/2 > crypto map VPNShops > На DLink`ах обратные access-list > Local IP 172.17.0.16/29 > Remote IP 192.168.0.0/16 > Должно работать. access-list на DLink'ах звучит страшно :) > А ты собрался гонять IPX или еще чего похуже? Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. Всё такое. > Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps > throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит > этого? Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, за предупреждение. Не знал. Ну может через пару лет новый роутер купят. Сейчас написано так: crypto map VPNShops 10 ipsec-isakmp set peer х.х.х.х set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address 101 ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.1 description ===== DMZ ===== encapsulation dot1Q 7 ip address 58.235.72.177 255.255.255.240 crypto map VPNShops ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.2 ! interface GigabitEthernet0/2 description ===== Internet ===== ip address 195.17.46.102 255.255.255.252 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 195.17.46.101 ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1 ip route 192.168.10.0 255.255.255.0 192.168.10.254 ip route 192.168.110.0 255.255.255.0 192.168.10.254 ip route 192.168.111.0 255.255.255.0 192.168.10.254 ! access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 access-list 101 deny ip any any access-list 101 deny icmp any any Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты в сети за NAT в туннель IPSec не NATились?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от alecx (??) on 23-Май-13, 14:44
	> т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться? Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для, например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0 0.0.255.255) и будет отправлен в 1ый филиал. Вернемся, к баранам: Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем mode tunnel. Проверь чтоб на D-Link стоял такой же. Настройки D-Link`a: Policy type: Auto IKE version: IPv4 IKEv1 Ipsec mode: Tunnel Remote Endpoint: 58.235.72.177 Protocol: ESP Local IP: 172.17.0.16/28 Remote IP: 192.168.0.0/16 Проверь на DLink настройки Phase I и Phase II. Они должны совпадать с crypto isakmp policy и crypto isakmp profile (для Phase I) и crypto map VPNShops 10 ipsec-isakmp (для Phase II) поставь пинг и покажи sh cry ips sa Если не заработало - выкладывай debug cry isa и debug cry ips P.s. Я бы все таки перевесил бы crypto map на 195.17.46.102 чтобы исключить проблемы с попаданием трафика в crypto map
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 24-Май-13, 13:48
	>> т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться? > Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для, > например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0 > 0.0.255.255) и будет отправлен в 1ый филиал. > Вернемся, к баранам: > Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем > mode tunnel. Проверь чтоб на D-Link стоял такой же. Если выставить mode tunnel туннель перестаёт работать. >[оверквотинг удален] > Policy type: Auto > IKE version: IPv4 IKEv1 > Ipsec mode: Tunnel > Remote Endpoint: 58.235.72.177 > Protocol: ESP > Local IP: 172.17.0.16/28 > Remote IP: 192.168.0.0/16 > Проверь на DLink настройки Phase I и Phase II. Они должны совпадать > с crypto isakmp policy и crypto isakmp profile (для Phase I) > и crypto map VPNShops 10 ipsec-isakmp (для Phase II) Всё так и есть, только в crypto map у меня set security-association lifetime seconds 28800, а D-Link'е эта настройка на Phase I, в Phase II 3600 > поставь пинг и покажи > sh cry ips sa > Если не заработало - выкладывай debug cry isa и debug cry ips Не стал делать, было поздно. > P.s. Я бы все таки перевесил бы crypto map на 195.17.46.102 чтобы > исключить проблемы с попаданием трафика в crypto map
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
	Сообщение от DKu (ok) on 16-Сен-14, 19:08
	UP. Коллеги, задача так и не решена. Кто-нибудь в состоянии помочь? Задача подключить несколько розничных точек с помощью crypto map. Пробовал и с динамическими и со статическими, и со статическим маршрутом и с reverse-route, crypto map вешал и на interface GigabitEthernet0/1.1 и на interface GigabitEthernet0/0, и с DLink DSR-150 и с Mikrotik 750. Всё одно туннель ставится, траффик не идёт. Где грабли-то? Ещё раз конфиг: актуальный a.a.a.a - внешний IP филиала 1 b.b.b.b - внешний IP филиала 2 c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети) z.z.z.z - внешний IP к ISP y.y.y.y - шлюз ISP ! crypto keyring Branch1Key pre-shared-key address a.a.a.a key Superkey1 crypto keyring Branch2Key pre-shared-key address b.b.b.b key Superkey2 crypto keyring ShopsKey pre-shared-key address 0.0.0.0 0.0.0.0 key MegaSuperKey ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 ! crypto isakmp profile Branch1 keyring Branch1Key match identity address a.a.a.a 255.255.255.255 crypto isakmp profile Branch2 keyring Branch2Key match identity address b.b.b.b 255.255.255.255 crypto isakmp profile Shops keyring ShopsKey match identity address 0.0.0.0 ! ! crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac mode transport crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto ipsec profile Branch1IPSec set transform-set 3DES-SHA set isakmp-profile Branch1 ! crypto ipsec profile Branch2IPSec set transform-set 3DES-SHA set isakmp-profile Branch2 ! ! crypto dynamic-map VPNShop 10 set transform-set 3DES-MD5 set pfs group2 set isakmp-profile Shops match address VPN-Shop1 ! ! crypto map VPNShops 1 ipsec-isakmp dynamic VPNShop ! ! interface Tunnel0 description ===== Branch1 ===== ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source c.c.c.c tunnel mode ipsec ipv4 tunnel destination a.a.a.a tunnel protection ipsec profile Branch1IPSec ! interface Tunnel1 description ===== Branch2 ===== ip address 192.168.101.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source c.c.c.c tunnel mode ipsec ipv4 tunnel destination b.b.b.b tunnel protection ipsec profile Branch2IPSec ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description ===== Internet Comstar ===== ip address z.z.z.z 255.255.255.252 duplex auto speed auto ! ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 description ===== DMZ White IPs ===== encapsulation dot1Q 6 ip address c.c.c.c 255.255.255.240 crypto map VPNShops ! interface GigabitEthernet0/1.2 description ===== Management ===== encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! ! interface GigabitEthernet0/2 no ip address duplex auto speed auto shut ! ip forward-protocol nd ! router eigrp 999 network 192.168.10.0 network 192.168.100.0 network 192.168.101.0 ! ip route 0.0.0.0 0.0.0.0 y.y.y.y ip route 10.0.0.16 255.255.255.240 GigabitEthernet0/1.1 ! access list extended VPN-Shop1 permit 192.168.10.0 0.0.0.255 10.0.0.16 0.0.0.15
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

11. "Cisco 2921 <IPSec> DLink DSR-150"	+/–
Сообщение от Pve1 (ok) on 18-Июн-13, 15:01
> Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у > меня задача, подключить много розничных точек, так что кучу VTI создавать > нет желания. > Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И > все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать > множественные маршруты и access листы. Абсолютно не правильная и тупиковая установка. Сделать компактнее и проще на Crypto-map - не получится никак! Т.к. вместо маршрутов ты будешь для каждого офиса прописывать отдельный ACL, отдельного пира и строку в криптомапе, ну и отдельный маршрут конечно же. Рассматриваемое тобой решение на базе Crypto-Map и обычного IPSec-а - колхоз в априори, и удобным оно не может быть никак. Самое лучшее что можно придумать - упомянутые и успешно протестированные тобой тунельные интерфейсы в каждый офис. Создание большого их числа легко автоматизируется с помощью notepad++, excel и т.д. Это максимально простая и понятная конфигурация в данном случае. И на всех интерфейсах можно повесить один крипто-профайл. Транзитные сетки можно и нужно делать с /31 маской. Ну а лучше всего, понятно, купить циски 8ХХ-е в магазины, и настроить на них DMVPN.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору