URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14045
[ Назад ]

Исходное сообщение
"проблема с IP SEC"

Отправлено Арсений_В , 24-Июл-07 16:36 
Доброго всем времени суток. Проблема следующая:
В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe. С головным офисом поднят VPN. Из филиальской подсети связь с узлами в сети головного офиса возможна только после обращения сетевого узла головы в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем, отличие от других только в подключении к Интернет (pppoe).
В чем может быть проблема? Заранее спасибо за ответы.

Содержание

Сообщения в этом обсуждении
"проблема с IP SEC"
Отправлено fenix2 , 25-Июл-07 01:25 
>Доброго всем времени суток. Проблема следующая:
>В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe.
>С головным офисом поднят VPN. Из филиальской подсети связь с узлами
>в сети головного офиса возможна только после обращения сетевого узла головы
>в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть
>головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем,
>отличие от других только в подключении к Интернет (pppoe).
>В чем может быть проблема? Заранее спасибо за ответы.

sh run плз


"проблема с IP SEC"
Отправлено Арсений_В , 25-Июл-07 09:24 
>>Доброго всем времени суток. Проблема следующая:
>>В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe.
>>С головным офисом поднят VPN. Из филиальской подсети связь с узлами
>>в сети головного офиса возможна только после обращения сетевого узла головы
>>в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть
>>головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем,
>>отличие от других только в подключении к Интернет (pppoe).
>>В чем может быть проблема? Заранее спасибо за ответы.
>
>sh run плз

Головной офис
======================================================
crypto isakmp policy 1
authentication pre-share
crypto isakmp key <key> address 10.2.2.2
!


!
crypto ipsec transform-set DES esp-3des esp-md5-hmac
!
crypto map mymap local-address GigabitEthernet0/1
crypto map mymap 10 ipsec-isakmp
set peer 10.2.2.2
set transform-set DES
match address Filial
!
!
!
!
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
  description Internet
ip address 10.1.1.1 255.255.255.252
crypto map mymap
!
!
ip access-list extended Filial
permit ip host 192.168.1.2 192.168.2.0 0.0.0.255

======================================================

Филиал

======================================================

crypto isakmp policy 1
authentication pre-share
crypto isakmp key <key> address 10.1.1.1
!
!
crypto ipsec transform-set DES esp-3des esp-md5-hmac
!
crypto map mymap local-address Dialer1
crypto map mymap 10 ipsec-isakmp
set peer 10.1.1.1
set transform-set DES
match address Golov_office
!
!
!
!
interface FastEthernet0/0
description Internet
no ip address
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip tcp adjust-mss 1452
!
!
interface Dialer1
ip address negotiated
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username   password  
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip access-list extended Golov_office
permit ip 192.168.2.0 0.0.0.255 host 192.168.1.2

dialer-list 1 protocol ip permit

======================================================

В филиале для Интрнет ip выдается один и тот же.


"проблема с IP SEC"
Отправлено fenix2 , 25-Июл-07 11:19 
попробуй
на interface Dialer1 поставить ip mtu 1492
также на обоих цысках
crypto isakmp keepalive 10 3 periodic

попробуй еще на головном роутере посмотреть, приходят ли isakmp пакеты (udp 500)
и если да, то почему не устанавливается тунель
debug crypto isakmp error
debug crypto ipsec error

если лучне не станет, можно попробовать Ipsec по другому настроить через интерфейс tunnel
примерно так:
на обоих цысках созаёш по трансформ сету и isakmp policy (если есть то только создай crypto ipsec profile)

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set VPN esp-aes esp-sha-hmac
!
crypto ipsec profile vpn
set transform-set VPN

! еще crypto isakmp key, но он есть

!и создаёш на обоих цысках тунельный интерфейс

interface Tunnel860
ip unnumbered GigabitEthernet0/1 ! внешний инрерфейс цыски - dialer будет.
ip mtu 1400
tunnel source GigabitEthernet0/1
tunnel destination 172.17.10.5  ! ip удалённой цыски
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile vpn

всё что роутится в этот тунель, шифруется. Плюс по тунетю может бегать ospf. И не нужно никаких crypto acl


"проблема с IP SEC"
Отправлено Арсений_В , 25-Июл-07 12:01 
>[оверквотинг удален]
> ip unnumbered GigabitEthernet0/1 ! внешний инрерфейс цыски - dialer будет.
> ip mtu 1400
> tunnel source GigabitEthernet0/1
> tunnel destination 172.17.10.5  ! ip удалённой цыски
> tunnel mode ipsec ipv4
> tunnel path-mtu-discovery
> tunnel protection ipsec profile vpn
>
>всё что роутится в этот тунель, шифруется. Плюс по тунетю может бегать
>ospf. И не нужно никаких crypto acl

ip mtu 1492 и так было, просто не указал, упустил, debug ничего не показал, crypto isakmp keepalive 10 3 periodic выставил, те же яйца...
через туннель не сделано по ряду соображений, неприемлем этот способ
udp 500 не отловил



"проблема с IP SEC"
Отправлено fenix2 , 25-Июл-07 16:12 
>ip mtu 1492 и так было, просто не указал, упустил, debug ничего
>не показал, crypto isakmp keepalive 10 3 periodic выставил, те же
>яйца...
>через туннель не сделано по ряду соображений, неприемлем этот способ
>udp 500 не отловил

т.е. от проблемного филиала не приходят udp 500 на годовной офис когда он пытается установить ipsec? нужно чтобы приходл, иначё работать не будет. Может где то acl стоит...


"проблема с IP SEC"
Отправлено Арсений_В , 25-Июл-07 17:28 
>>ip mtu 1492 и так было, просто не указал, упустил, debug ничего
>>не показал, crypto isakmp keepalive 10 3 periodic выставил, те же
>>яйца...
>>через туннель не сделано по ряду соображений, неприемлем этот способ
>>udp 500 не отловил
>
>т.е. от проблемного филиала не приходят udp 500 на годовной офис когда
>он пытается установить ipsec? нужно чтобы приходл, иначё работать не будет.
>Может где то acl стоит...

фильтров нет, если только у провайдера, но сам ip sec работает, только через одно место правда