URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12914
[ Назад ]

Исходное сообщение
"опять IPSEC"

Отправлено baatr , 28-Фев-07 10:18 
Гляньте опытным глазом - чего не так ? как только ставлю крипто мар - связь между офисами пропадает . sh cry isakmp sa  - пусто . Может пров зарезать IPSEC ? Как это можно проверить ?


конфиг на 2801
Building configuration...

Current configuration : 2105 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname filial
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$3Wlb$3teJgXzA4OQbVwqVxanBI/
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
no ip domain lookup
ip domain name yourdomain.com
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username do3601 privilege 15 secret 5 $1$5onG$rsOItuYm46o7cbkrKetZz0
!
!
class-map match-all Voice-signaling
match access-group 150
class-map match-all voice-traffic
match ip rtp 16384 16383
!
!
policy-map VOICE-POLICY
class voice-traffic
  priority 1024
class Voice-signaling
  bandwidth 64
class class-default
  fair-queue
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key XXX address 10.254.0.246
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-des esp-md5-hmac
!
crypto map ESP-MD5-DES 1 ipsec-isakmp
set peer 10.254.0.246
set transform-set ESP-3DES-SHA
match address SDM_1
!
!
!
!
interface FastEthernet0/0
ip address 10.8.253.1 255.255.255.0
duplex auto
speed auto
service-policy output VOICE-POLICY
!
interface FastEthernet0/1
ip address 10.0.6.221 255.255.255.252
duplex auto
speed auto
crypto map ESP-MD5-DES
service-policy output VOICE-POLICY
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.1.1
ip route 0.0.0.0 0.0.0.0 10.0.6.222
!
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip access-list extended SDM_1
remark SDM_ACL Category=20
permit ip 10.8.253.0 0.0.0.255 10.254.0.32 0.0.0.15
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password do3601
login
transport input telnet ssh
line vty 5 15
privilege level 15
password do3601
login local
transport input telnet ssh
!
end

конфиг на 831
Building configuration...

Current configuration : 1836 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$lm61$D26QVPM77COzovQAixQlq0
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
no ip domain lookup
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key XXX address 10.0.6.221
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-des esp-md5-hmac
!
crypto map CRYPTO_POLICY 1 ipsec-isakmp
set peer 10.0.6.221
set transform-set ESP-3DES-SHA
match address 100
!
!
!
interface Ethernet0
description $ETH-LAN$
ip address 10.254.0.33 255.255.255.240
!
interface Ethernet1
ip address 10.254.0.246 255.255.255.252
duplex auto
crypto map CRYPTO_POLICY
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.254.0.245
ip route 10.254.0.0 255.255.255.0 10.254.0.245
!
ip http server
no ip http secure-server
!
!
access-list 100 permit ip 10.254.0.32 0.0.0.15 10.8.253.0 0.0.0.255
snmp-server community public RO
!
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
password
login
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end


Содержание

Сообщения в этом обсуждении
"опять IPSEC"
Отправлено ruff , 28-Фев-07 10:26 
хм. вродь прально.
попробуйте на обеих
cry isa id add

и ключи пересоздать с параметром no-x
i.e.
cry isa key 0 key ad 1.2.3.4 no-x


"опять IPSEC"
Отправлено baatr , 28-Фев-07 11:05 
>хм. вродь прально.
>попробуйте на обеих
>cry isa id add
>
>и ключи пересоздать с параметром no-x
>i.e.
>cry isa key 0 key ad 1.2.3.4 no-x

не помогат, и clear cry всяике делал

все  тогда вопрос . Может пров зарезать IPSEC ? Как это можно проверить ?



"опять IPSEC"
Отправлено ruff , 28-Фев-07 11:14 
>>хм. вродь прально.
>>попробуйте на обеих
>>cry isa id add
>>
>>и ключи пересоздать с параметром no-x
>>i.e.
>>cry isa key 0 key ad 1.2.3.4 no-x
>
>
>
>не помогат, и clear cry всяике делал
>
>все  тогда вопрос . Может пров зарезать IPSEC ? Как это
>можно проверить ?

включить
deb cry isa
и смотреть че оно пишеть в лог.


"опять IPSEC"
Отправлено baatr , 28-Фев-07 11:50 
>>>хм. вродь прально.
>>>попробуйте на обеих
>>>cry isa id add
>>>
>>>и ключи пересоздать с параметром no-x
>>>i.e.
>>>cry isa key 0 key ad 1.2.3.4 no-x
>>
>>
>>
>>не помогат, и clear cry всяике делал
>>
>>все  тогда вопрос . Может пров зарезать IPSEC ? Как это
>>можно проверить ?
>
>включить
>deb cry isa
>и смотреть че оно пишеть в лог.

вот . порт 500 закрыт?

500 peer_port 500 (I) MM_NO_STATE
Feb 28 08:48:41.962: IPSEC(key_engine): request timer fired: count = 1,
(identity) local= 10.0.6.221, remote= 10.254.0.246,
   local_proxy= 10.8.253.0/255.255.255.0/0/0 (type=4),
   remote_proxy= 10.254.0.32/255.255.255.240/0/0 (type=4)
Feb 28 08:48:41.962: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 10.0.6.221, remote= 10.254.0.246,
   local_proxy= 10.8.253.0/255.255.255.0/0/0 (type=4),
   remote_proxy= 10.254.0.32/255.255.255.240/0/0 (type=4),
   protocol= ESP, transform= esp-des esp-md5-hmac  (Tunnel),
   lifedur= 3600s and 4608000kb,
   spi= 0xABA7E535(2879907125), conn_id= 0, keysize= 0, flags= 0x400A
Feb 28 08:48:41.962: ISAKMP: received ke message (1/1)
Feb 28 08:48:41.962: ISAKMP: set new node 0 to QM_IDLE
Feb 28 08:48:41.962: ISAKMP:(0:0:N/A:0):SA is still budding. Attached new ipsec
request to it. (local 10.0.6.221, remote 10.254.0.246)
Feb 28 08:48:41.966: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
Feb 28 08:48:41.966: ISAKMP (0:0): incrementing error counter on sa, attempt 3
f 5: retransmit phase 1
Feb 28 08:48:41.966: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
Feb 28 08:48:41.966: ISAKMP:(0:0:N/A:0): sending packet to 10.254.0.246 my_port
500 peer_port 500 (I) MM_NO_STATE


"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 12:04 
Связь пропадает при условии что по каналу ничего не бегает или во время хоть какой-то активности?

"опять IPSEC"
Отправлено baatr , 28-Фев-07 12:15 
>Связь пропадает при условии что по каналу ничего не бегает или во
>время хоть какой-то активности?
не понял вопроса, ставлю crypto map - нет связи , убираю - есть.



"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 12:38 
>>Связь пропадает при условии что по каналу ничего не бегает или во
>>время хоть какой-то активности?
>не понял вопроса, ставлю crypto map - нет связи , убираю -
>есть.


Неправильно прочитал... подумал что связь рвется... :)
Тобиш у тя одна является HUBом вторая клиентом?


"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 12:47 
sh crypto ipsec sa что показывает?

"опять IPSEC"
Отправлено angelweb , 28-Фев-07 13:13 
>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>мар - связь между офисами пропадает . sh cry isakmp sa
> - пусто . Может пров зарезать IPSEC ? Как это
>можно проверить ?

На access-list`ах сделай permit gre а не IP.


"опять IPSEC"
Отправлено baatr , 28-Фев-07 15:29 
>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>мар - связь между офисами пропадает . sh cry isakmp sa
>> - пусто . Может пров зарезать IPSEC ? Как это
>>можно проверить ?
>
>На access-list`ах сделай permit gre а не IP.

смысл, судя по логу он уже на уровен IKE клинит, наверно port udp 500 закрыт. Тока вот как прова надо убедить , что порт закрыт.


"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 15:32 
>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>можно проверить ?
>>
>>На access-list`ах сделай permit gre а не IP.
>
>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>udp 500 закрыт. Тока вот как прова надо убедить , что
>порт закрыт.


telnet ip 500 тебе покажет точно! можеш прямо с кошки!


"опять IPSEC"
Отправлено baatr , 28-Фев-07 15:57 
>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>можно проверить ?
>>>
>>>На access-list`ах сделай permit gre а не IP.
>>
>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>порт закрыт.
>
>
>telnet ip 500 тебе покажет точно! можеш прямо с кошки!


сенкс, закрыт оказался connection refused .


"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 16:05 
>>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>>можно проверить ?
>>>>
>>>>На access-list`ах сделай permit gre а не IP.
>>>
>>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>>порт закрыт.
>>
>>
>>telnet ip 500 тебе покажет точно! можеш прямо с кошки!
>
>
>сенкс, закрыт оказался connection refused .


Ой... сорри... ето же по UDP ползет :( так не пройдет точно :(


"опять IPSEC"
Отправлено baatr , 28-Фев-07 16:27 
>>>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>>>можно проверить ?
>>>>>
>>>>>На access-list`ах сделай permit gre а не IP.
>>>>
>>>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>>>порт закрыт.
>>>
>>>
>>>telnet ip 500 тебе покажет точно! можеш прямо с кошки!
>>
>>
>>сенкс, закрыт оказался connection refused .
>
>
>Ой... сорри... ето же по UDP ползет :( так не пройдет точно
>:(


выяснил что стоит там фря . Какие порты на ней нужно открыть, чтоб зарабтало ? только udp/500 ?


"опять IPSEC"
Отправлено VAMPiR , 28-Фев-07 23:59 
>>>>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>>>>можно проверить ?
>>>>>>
>>>>>>На access-list`ах сделай permit gre а не IP.
>>>>>
>>>>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>>>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>>>>порт закрыт.
>>>>
>>>>
>>>>telnet ip 500 тебе покажет точно! можеш прямо с кошки!
>>>
>>>
>>>сенкс, закрыт оказался connection refused .
>>
>>
>>Ой... сорри... ето же по UDP ползет :( так не пройдет точно
>>:(
>
>
>выяснил что стоит там фря . Какие порты на ней нужно открыть,
>чтоб зарабтало ? только udp/500 ?


500, 510 и 4500 помоему...


"опять IPSEC"
Отправлено Изгой , 28-Фев-07 15:47 
>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>можно проверить ?
>>
>>На access-list`ах сделай permit gre а не IP.
>
>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>udp 500 закрыт. Тока вот как прова надо убедить , что
>порт закрыт.


ip route 0.0.0.0 0.0.0.0 10.2.1.1 - вот это на первом
ip route 10.254.0.0 255.255.255.0 10.254.0.245 - вот это на втором
зачём , если у вас уже есть записи , у вас внутри есть хопы ?  ещё сети - это к первой строке
ко втророй вообще непонятно , вы говорите все сети за хопом прова ,а потом говорите опять что сеть 10.254.0.0 находиться за 10.254.0.245 ?? что то невкурил ...


"опять IPSEC"
Отправлено baatr , 28-Фев-07 16:21 
>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>можно проверить ?
>>>
>>>На access-list`ах сделай permit gre а не IP.
>>
>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>порт закрыт.
>
>
>ip route 0.0.0.0 0.0.0.0 10.2.1.1 - вот это на первом
>ip route 10.254.0.0 255.255.255.0 10.254.0.245 - вот это на втором
>зачём , если у вас уже есть записи , у вас внутри
>есть хопы ?  ещё сети - это к первой строке
>
>ко втророй вообще непонятно , вы говорите все сети за хопом прова
>,а потом говорите опять что сеть 10.254.0.0 находиться за 10.254.0.245 ??
>что то невкурил ..
а это результат того, между А т Б два прова и они друг с другом вот так договорились
без IPSEC все  работает же


"опять IPSEC"
Отправлено Изгой , 01-Мрт-07 12:53 
>>>>>Гляньте опытным глазом - чего не так ? как только ставлю крипто
>>>>>мар - связь между офисами пропадает . sh cry isakmp sa
>>>>> - пусто . Может пров зарезать IPSEC ? Как это
>>>>>можно проверить ?
>>>>
>>>>На access-list`ах сделай permit gre а не IP.
>>>
>>>смысл, судя по логу он уже на уровен IKE клинит, наверно port
>>>udp 500 закрыт. Тока вот как прова надо убедить , что
>>>порт закрыт.
>>
>>
>>ip route 0.0.0.0 0.0.0.0 10.2.1.1 - вот это на первом
>>ip route 10.254.0.0 255.255.255.0 10.254.0.245 - вот это на втором
>>зачём , если у вас уже есть записи , у вас внутри
>>есть хопы ?  ещё сети - это к первой строке
>>
>>ко втророй вообще непонятно , вы говорите все сети за хопом прова
>>,а потом говорите опять что сеть 10.254.0.0 находиться за 10.254.0.245 ??
>>что то невкурил ..
>а это результат того, между А т Б два прова и они
>друг с другом вот так договорились
>без IPSEC все  работает же

Попробуйте через одного прова с одним маршрутом по умолчанию. И на втором оставте одну запись маршрута.