Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу на интерфейсы пинги вылетают в тайм аут.

первая:

crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.13
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.13
set transform-set transformer
match address 100
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.10 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.254
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.255 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.250 255.255.255.192
duplex auto
speed auto
!
!
interface Serial1/1:1
ip vrf forwarding billing
ip address 10.29.2.14 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
!
ip classless
ip route 10.29.2.254 255.255.255.255 Serial1/1:1
ip route vrf billing 1.1.61.96 255.255.255.224 Tunnel0
!
access-list 100 permit ip host 10.29.2.14 host 10.29.2.13
!

Вторая:

crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.14
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.14
set transform-set transformer
match address 100
!
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.9 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.255
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.254 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.97 255.255.255.224
duplex auto
speed auto
!
!
interface Serial1/0:1
ip vrf forwarding billing
ip address 10.29.2.13 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
ip route 10.29.2.255 255.255.255.255 Serial1/0:1
ip route vrf billing 0.0.0.0 0.0.0.0 Tunnel0
!
access-list 100 permit ip host 10.29.2.13 host 10.29.2.14
!

• Помогите сконфитурить крипто тунель,ilya, 16:33 , 30-Июн-06
  • Помогите сконфитурить крипто тунель,3Raptor, 17:01 , 30-Июн-06
    • Помогите сконфитурить крипто тунель,ilya, 17:15 , 30-Июн-06
      • Помогите сконфитурить крипто тунель,3Raptor, 17:36 , 30-Июн-06
        • Помогите сконфитурить крипто тунель,ilya, 10:19 , 03-Июл-06
• Помогите сконфитурить крипто тунель,Ilia Kuliev, 17:39 , 30-Июн-06
  • Помогите сконфитурить крипто тунель,ASAvenkov, 09:23 , 03-Июл-06
• Помогите сконфитурить крипто тунель,angelweb, 10:43 , 03-Июл-06
  • Помогите сконфитурить крипто тунель,3Raptor, 16:42 , 03-Июл-06

а зачем вы вешаете криптомапу на тунель и сериал?
вы определитесь что вам надо GRE+IPSEC
или просто IPSEC-тунель

и какие пинги?
куда?

>а зачем вы вешаете криптомапу на тунель и сериал?
>вы определитесь что вам надо GRE+IPSEC
>или просто IPSEC-тунель
>
>и какие пинги?
>куда?

Нужен просто IPSEC-тунель.
А на счет криптомапы, посмотрел в конфигах в инете.

Не пинтуются циски между собой, крипто канал не поднимается.

>>а зачем вы вешаете криптомапу на тунель и сериал?
>>вы определитесь что вам надо GRE+IPSEC
>>или просто IPSEC-тунель
>>
>>и какие пинги?
>>куда?
>
>Нужен просто IPSEC-тунель.
>А на счет криптомапы, посмотрел в конфигах в инете.
>
>Не пинтуются циски между собой, крипто канал не поднимается.

1. убрать интерфейс тунель нафик
2. посмотреть документацию на циске
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

нат есть?

>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>вы определитесь что вам надо GRE+IPSEC
>>>или просто IPSEC-тунель
>>>
>>>и какие пинги?
>>>куда?
>>
>>Нужен просто IPSEC-тунель.
>>А на счет криптомапы, посмотрел в конфигах в инете.
>>
>>Не пинтуются циски между собой, крипто канал не поднимается.
>
>
>1. убрать интерфейс тунель нафик
>2. посмотреть документацию на циске
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>нат есть?

Нат не используется

>>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>>вы определитесь что вам надо GRE+IPSEC
>>>>или просто IPSEC-тунель
>>>>
>>>>и какие пинги?
>>>>куда?
>>>
>>>Нужен просто IPSEC-тунель.
>>>А на счет криптомапы, посмотрел в конфигах в инете.
>>>
>>>Не пинтуются циски между собой, крипто канал не поднимается.
>>
>>
>>1. убрать интерфейс тунель нафик
>>2. посмотреть документацию на циске
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>
>>нат есть?
>
>Нат не используется

ну вобщем тогда по ссылке смотрите
+ для тестров убрать vrf.
потом при необходимости добавить и тестировать с ним.

Уберите GRE-туннель и используйте IPSec в туннельном режиме.
Очень важно - правильно напишите acl.
Имейте в виду, что пакеты, попадающие под действие acl - это именно те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.

>Уберите GRE-туннель и используйте IPSec в туннельном режиме.
>Очень важно - правильно напишите acl.
>Имейте в виду, что пакеты, попадающие под действие acl - это именно
>те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.
>

Для тестирования поднятия тунеля, лучше использовать хосты из внутренних сеток.

>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>на интерфейсы пинги вылетают в тайм аут.

Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3

>>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>>на интерфейсы пинги вылетают в тайм аут.
>
>Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3

Спасибо за ссылку!

Без GRE-тунеля все поднялось, спасибо за помощь.

При использовании варианта с тунелем через лупбак необходимо прописывать мапу на нем? А то чето сомневаюсь.