Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу на интерфейсы пинги вылетают в тайм аут.первая:
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.13
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.13
set transform-set transformer
match address 100
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.10 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.254
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.255 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.250 255.255.255.192
duplex auto
speed auto
!
!
interface Serial1/1:1
ip vrf forwarding billing
ip address 10.29.2.14 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
!
ip classless
ip route 10.29.2.254 255.255.255.255 Serial1/1:1
ip route vrf billing 1.1.61.96 255.255.255.224 Tunnel0
!
access-list 100 permit ip host 10.29.2.14 host 10.29.2.13
!Вторая:
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key andreyandrey address 10.29.2.14
!
crypto ipsec transform-set transformer esp-null esp-md5-hmac
mode transport
!
crypto map ipsec_map 1 ipsec-isakmp
set peer 10.29.2.14
set transform-set transformer
match address 100
!
!
interface Tunnel0
ip vrf forwarding billing
ip address 10.29.5.9 255.255.255.252
tunnel source Loopback0
tunnel destination 10.29.2.255
tunnel mode ipip
crypto map ipsec_map
!
interface Loopback0
ip vrf forwarding billing
ip address 10.29.2.254 255.255.255.255
crypto map ipsec_map
!
interface FastEthernet0/1
ip vrf forwarding billing
ip address 1.1.61.97 255.255.255.224
duplex auto
speed auto
!
!
interface Serial1/0:1
ip vrf forwarding billing
ip address 10.29.2.13 255.255.255.252
encapsulation ppp
crypto map ipsec_map
!
ip route 10.29.2.255 255.255.255.255 Serial1/0:1
ip route vrf billing 0.0.0.0 0.0.0.0 Tunnel0
!
access-list 100 permit ip host 10.29.2.13 host 10.29.2.14
!
а зачем вы вешаете криптомапу на тунель и сериал?
вы определитесь что вам надо GRE+IPSEC
или просто IPSEC-тунельи какие пинги?
куда?
>а зачем вы вешаете криптомапу на тунель и сериал?
>вы определитесь что вам надо GRE+IPSEC
>или просто IPSEC-тунель
>
>и какие пинги?
>куда?Нужен просто IPSEC-тунель.
А на счет криптомапы, посмотрел в конфигах в инете.Не пинтуются циски между собой, крипто канал не поднимается.
>>а зачем вы вешаете криптомапу на тунель и сериал?
>>вы определитесь что вам надо GRE+IPSEC
>>или просто IPSEC-тунель
>>
>>и какие пинги?
>>куда?
>
>Нужен просто IPSEC-тунель.
>А на счет криптомапы, посмотрел в конфигах в инете.
>
>Не пинтуются циски между собой, крипто канал не поднимается.
1. убрать интерфейс тунель нафик
2. посмотреть документацию на циске
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...нат есть?
>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>вы определитесь что вам надо GRE+IPSEC
>>>или просто IPSEC-тунель
>>>
>>>и какие пинги?
>>>куда?
>>
>>Нужен просто IPSEC-тунель.
>>А на счет криптомапы, посмотрел в конфигах в инете.
>>
>>Не пинтуются циски между собой, крипто канал не поднимается.
>
>
>1. убрать интерфейс тунель нафик
>2. посмотреть документацию на циске
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>нат есть?Нат не используется
>>>>а зачем вы вешаете криптомапу на тунель и сериал?
>>>>вы определитесь что вам надо GRE+IPSEC
>>>>или просто IPSEC-тунель
>>>>
>>>>и какие пинги?
>>>>куда?
>>>
>>>Нужен просто IPSEC-тунель.
>>>А на счет криптомапы, посмотрел в конфигах в инете.
>>>
>>>Не пинтуются циски между собой, крипто канал не поднимается.
>>
>>
>>1. убрать интерфейс тунель нафик
>>2. посмотреть документацию на циске
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>
>>нат есть?
>
>Нат не используетсяну вобщем тогда по ссылке смотрите
+ для тестров убрать vrf.
потом при необходимости добавить и тестировать с ним.
Уберите GRE-туннель и используйте IPSec в туннельном режиме.
Очень важно - правильно напишите acl.
Имейте в виду, что пакеты, попадающие под действие acl - это именно те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.
>Уберите GRE-туннель и используйте IPSec в туннельном режиме.
>Очень важно - правильно напишите acl.
>Имейте в виду, что пакеты, попадающие под действие acl - это именно
>те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.
>Для тестирования поднятия тунеля, лучше использовать хосты из внутренних сеток.
>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>на интерфейсы пинги вылетают в тайм аут.Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3
>>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу
>>на интерфейсы пинги вылетают в тайм аут.
>
>Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3Спасибо за ссылку!
Без GRE-тунеля все поднялось, спасибо за помощь.
При использовании варианта с тунелем через лупбак необходимо прописывать мапу на нем? А то чето сомневаюсь.