URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10886
[ Назад ]

Исходное сообщение
"Помогите сконфитурить крипто тунель"

Отправлено 3Raptor , 30-Июн-06 16:16 
Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу на интерфейсы пинги вылетают в тайм аут.

первая:

crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.13
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.13
set transform-set transformer
match address 100
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.10 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.254
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.255 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.250 255.255.255.192
duplex auto
speed auto
!
!
interface Serial1/1:1
ip vrf forwarding billing
ip address 10.29.2.14 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
!
ip classless
ip route 10.29.2.254 255.255.255.255 Serial1/1:1
ip route vrf billing 1.1.61.96 255.255.255.224 Tunnel0
!
access-list 100 permit ip host 10.29.2.14 host 10.29.2.13
!

Вторая:

crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.14
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.14
set transform-set transformer
match address 100
!
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.9 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.255
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.254 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.97 255.255.255.224
duplex auto
speed auto
!
!
interface Serial1/0:1
ip vrf forwarding billing
ip address 10.29.2.13 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
ip route 10.29.2.255 255.255.255.255 Serial1/0:1
ip route vrf billing 0.0.0.0 0.0.0.0 Tunnel0
!
access-list 100 permit ip host 10.29.2.13 host 10.29.2.14
!


Содержание

Сообщения в этом обсуждении
"Помогите сконфитурить крипто тунель"
Отправлено ilya , 30-Июн-06 16:33 
а зачем вы вешаете криптомапу на тунель и сериал?
вы определитесь что вам надо GRE+IPSEC
или просто IPSEC-тунель

и какие пинги?
куда?


"Помогите сконфитурить крипто тунель"
Отправлено 3Raptor , 30-Июн-06 17:01 
>а зачем вы вешаете криптомапу на тунель и сериал?
>вы определитесь что вам надо GRE+IPSEC
>или просто IPSEC-тунель
>
>и какие пинги?
>куда?

Нужен просто IPSEC-тунель.
А на счет криптомапы, посмотрел в конфигах в инете.

Не пинтуются циски между собой, крипто канал не поднимается.



"Помогите сконфитурить крипто тунель"
Отправлено ilya , 30-Июн-06 17:15 
>>а зачем вы вешаете криптомапу на тунель и сериал?
>>вы определитесь что вам надо GRE+IPSEC
>>или просто IPSEC-тунель
>>
>>и какие пинги?
>>куда?
>
>Нужен просто IPSEC-тунель.
>А на счет криптомапы, посмотрел в конфигах в инете.
>
>Не пинтуются циски между собой, крипто канал не поднимается.


1. убрать интерфейс тунель нафик
2. посмотреть документацию на циске
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

нат есть?


"Помогите сконфитурить крипто тунель"
Отправлено 3Raptor , 30-Июн-06 17:36 
>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>вы определитесь что вам надо GRE+IPSEC
>>>или просто IPSEC-тунель
>>>
>>>и какие пинги?
>>>куда?
>>
>>Нужен просто IPSEC-тунель.
>>А на счет криптомапы, посмотрел в конфигах в инете.
>>
>>Не пинтуются циски между собой, крипто канал не поднимается.
>
>
>1. убрать интерфейс тунель нафик
>2. посмотреть документацию на циске
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>нат есть?

Нат не используется


"Помогите сконфитурить крипто тунель"
Отправлено ilya , 03-Июл-06 10:19 
>>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>>вы определитесь что вам надо GRE+IPSEC
>>>>или просто IPSEC-тунель
>>>>
>>>>и какие пинги?
>>>>куда?
>>>
>>>Нужен просто IPSEC-тунель.
>>>А на счет криптомапы, посмотрел в конфигах в инете.
>>>
>>>Не пинтуются циски между собой, крипто канал не поднимается.
>>
>>
>>1. убрать интерфейс тунель нафик
>>2. посмотреть документацию на циске
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>
>>нат есть?
>
>Нат не используется

ну вобщем тогда по ссылке смотрите
+ для тестров убрать vrf.
потом при необходимости добавить и тестировать с ним.


"Помогите сконфитурить крипто тунель"
Отправлено Ilia Kuliev , 30-Июн-06 17:39 
Уберите GRE-туннель и используйте IPSec в туннельном режиме.
Очень важно - правильно напишите acl.
Имейте в виду, что пакеты, попадающие под действие acl - это именно те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.

"Помогите сконфитурить крипто тунель"
Отправлено ASAvenkov , 03-Июл-06 09:23 
>Уберите GRE-туннель и используйте IPSec в туннельном режиме.
>Очень важно - правильно напишите acl.
>Имейте в виду, что пакеты, попадающие под действие acl - это именно
>те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.
>

Для тестирования поднятия тунеля, лучше использовать хосты из внутренних сеток.


"Помогите сконфитурить крипто тунель"
Отправлено angelweb , 03-Июл-06 10:43 
>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>на интерфейсы пинги вылетают в тайм аут.

Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3


"Помогите сконфитурить крипто тунель"
Отправлено 3Raptor , 03-Июл-06 16:42 
>>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>>на интерфейсы пинги вылетают в тайм аут.
>
>Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3

Спасибо за ссылку!

Без GRE-тунеля все поднялось, спасибо за помощь.

При использовании варианта с тунелем через лупбак необходимо прописывать мапу на нем? А то чето сомневаюсь.