Всем привет!Впервые столкнулся с необходимостью поднимать IPSEC-туннель на Cisco IOS, так что знания слабые, не обессудьте.
Туннель поднимаю между Cisco 2811 и LinkSys WRV200 (простенький VPN-маршрутизатор). Сам-то туннель поднять удалось, но почему-то ответы от WRV по туннелю доходят только до самой Cisco 2811. Подробнее - ниже.
Схема подключения такая:
PC(.34) <192.168.0.32/27> (.33)2811(.1) <x.x.x.0/29> (.2)voip1(.1) <192.168.5.0/24> (.2)WRV200
В угловых скобках - адресация IP-сетей между хопами, в круглых - адреса интерфейсов в этий сетях.
На 2811 192.168.5.0 статически смаршрутизировна на x.x.x.2 (а там, соотвественно, default gw на x.x.x.1).
Сначала кратко настройки туннеля на WRV200:
Local Secure Group: 192.168.5.0/24
Remote Secure Group: 192.168.0.32/27
Remote Secure Gateway: x.x.x.1Это должно означать как я понимаю, что WRV инициирует IPSEC-соединение на x.x.x.1, а затем маршрутизирует исходящие пакеты с src-адресом в 192.168.5.0/24 на этот туннель, а оттуда принимает пакеты с src-адресом в 192.168.0.32/27.
Настройки на 2811:version 12.4
!
hostname gw1
!
!....
!
crypto keyring spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp profile L2L
description LAN-to-LAN for spoke router(s) connection
keyring spokes
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!........interface FastEthernet0/1.2
description ---------------------------- Public services -----------------------------
encapsulation dot1Q 2
ip address x.x.x.1 255.255.255.248
ip access-group ACL_ps_in in
ip access-group ACL_ps_out out
no ip redirects
ip policy route-map ISP
no ip mroute-cache
no snmp trap link-status
crypto map mymap
!gw1#sh crypto isakmp sa
dst src state conn-id slot status
x.x.x.1 192.168.5.2 QM_IDLE 2 0 ACTIVE
gw1#sh crypto session
Crypto session current statusInterface: FastEthernet0/1.2
Session status: UP-ACTIVE
Peer: 192.168.5.2 port 500
IKE SA: local x.x.x.1/500 remote 192.168.5.2/500 Active
IPSEC FLOW: permit ip 192.168.0.32/255.255.255.224 192.168.5.0/255.255.255.0
Active SAs: 2, origin: dynamic crypto map
#sh crypto ipsec sainterface: FastEthernet0/1.2
Crypto map tag: mymap, local addr x.x.x.1protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.0.32/255.255.255.224/0/0)
remote ident (addr/mask/prot/port): (192.168.5.0/255.255.255.0/0/0)
current_peer 192.168.5.2 port 500
PERMIT, flags={}
#pkts encaps: 84, #pkts encrypt: 84, #pkts digest: 84
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: x.x.x.1, remote crypto endpt.: 192.168.5.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xDCE484E(231622734)inbound esp sas:
spi: 0xCAB9AAF3(3401165555)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3001, flow_id: NETGX:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4542139/1680)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xDCE484E(231622734)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3002, flow_id: NETGX:2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4542130/1678)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEoutbound ah sas:
outbound pcp sas:
#trace 192.168.5.2 source 192.168.0.1
Tracing the route to 192.168.5.2
1 voip1 (x.x.x.2) 4 msec 0 msec 4 msec
2 192.168.5.2 4 msec 8 msec 0 msecgw1#trace 192.168.5.2 source 192.168.0.33
Tracing the route to 192.168.5.2
1 192.168.5.2 8 msec 8 msec 8 msecТО есть, похоже, что туннель отлично работает.
Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю, при этом в #sh crypto ipsec sa
растут счетчики #pkts encaps: 84, #pkts encrypt: 84, #pkts digest: 84, а счетчики
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят на месте, т.е., похоже, уходит но не возвращается.Я чего не могу толком понять - откуда cisco знает, что 192.168.5.0/24 надо маршрутизировать на туннель? Доверяется тому, что прислала ей та сторона? В sh ip route | incl 192.168.5 есть только статический маршрут на voip1. Может быть, проблема в том,
что и на циске надо к crypto dynamic-map dynmap 10 приркутить match ACL ? Но я пробовал, что-то не помогает, даже циска перестает пинговать WRV. Есть какие-нибудь идеи?
>Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю,
>при этом в #sh crypto ipsec sa
>растут счетчики #pkts encaps: 84, #pkts encrypt: 84,
>#pkts digest: 84, а счетчики
> #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят
>на месте, т.е., похоже, уходит но не возвращается.Уверены, что default gateway на PC прописал верно?
>>Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю,
>>при этом в #sh crypto ipsec sa
>>растут счетчики #pkts encaps: 84, #pkts encrypt: 84,
>>#pkts digest: 84, а счетчики
>> #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят
>>на месте, т.е., похоже, уходит но не возвращается.
>
>Уверены, что default gateway на PC прописал верно?Конечно, ведь на циске счетчики растут. Если убираю свою сеть (192.168.0.32/27) из ACL, который управляет шифрованием, пинги ходят. Т.е., не идут именно через туннель.