URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14359
[ Назад ]

Исходное сообщение
"Маршрутизация на IPSEC-туннель"

Отправлено Alan_2004 , 04-Сен-07 12:29 
Всем привет!

Впервые столкнулся с необходимостью поднимать IPSEC-туннель на Cisco IOS, так что знания слабые, не обессудьте.

Туннель поднимаю между Cisco 2811 и LinkSys WRV200 (простенький VPN-маршрутизатор). Сам-то туннель поднять удалось, но почему-то ответы от WRV по туннелю доходят только до самой Cisco 2811. Подробнее - ниже.

Схема подключения такая:

PC(.34)  <192.168.0.32/27>   (.33)2811(.1)  <x.x.x.0/29>  (.2)voip1(.1)  <192.168.5.0/24>   (.2)WRV200

В угловых скобках - адресация IP-сетей между хопами, в круглых - адреса интерфейсов в этий сетях.

На 2811 192.168.5.0 статически смаршрутизировна на x.x.x.2 (а там, соотвественно, default gw на x.x.x.1).

Сначала кратко настройки туннеля на WRV200:
Local Secure Group:  192.168.5.0/24
Remote Secure Group: 192.168.0.32/27
Remote Secure Gateway: x.x.x.1

Это должно означать как я понимаю, что WRV инициирует IPSEC-соединение на x.x.x.1, а затем маршрутизирует исходящие пакеты с src-адресом в 192.168.5.0/24 на этот туннель, а оттуда принимает пакеты с src-адресом в 192.168.0.32/27.


Настройки на 2811:

version 12.4
!
hostname gw1
!
!....
!
crypto keyring spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp profile L2L
   description LAN-to-LAN for spoke router(s) connection
   keyring spokes
   match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap  
!
!........

interface FastEthernet0/1.2
description ---------------------------- Public services -----------------------------
encapsulation dot1Q 2
ip address x.x.x.1 255.255.255.248
ip access-group ACL_ps_in in
ip access-group ACL_ps_out out
no ip redirects
ip policy route-map ISP
no ip mroute-cache
no snmp trap link-status
crypto map mymap
!

gw1#sh crypto isakmp sa
dst             src             state          conn-id slot status
x.x.x.1    192.168.5.2     QM_IDLE              2    0 ACTIVE


gw1#sh crypto session
Crypto session current status

Interface: FastEthernet0/1.2
Session status: UP-ACTIVE
Peer: 192.168.5.2 port 500
  IKE SA: local x.x.x.1/500 remote 192.168.5.2/500 Active
  IPSEC FLOW: permit ip 192.168.0.32/255.255.255.224 192.168.5.0/255.255.255.0
        Active SAs: 2, origin: dynamic crypto map


#sh crypto ipsec sa

interface: FastEthernet0/1.2
    Crypto map tag: mymap, local addr x.x.x.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.32/255.255.255.224/0/0)
   remote ident (addr/mask/prot/port): (192.168.5.0/255.255.255.0/0/0)
   current_peer 192.168.5.2 port 500
     PERMIT, flags={}
    #pkts encaps: 84, #pkts encrypt: 84, #pkts digest: 84
    #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: x.x.x.1, remote crypto endpt.: 192.168.5.2
     path mtu 1500, ip mtu 1500
     current outbound spi: 0xDCE484E(231622734)

     inbound esp sas:
      spi: 0xCAB9AAF3(3401165555)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3001, flow_id: NETGX:1, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4542139/1680)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xDCE484E(231622734)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3002, flow_id: NETGX:2, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4542130/1678)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

#trace 192.168.5.2 source 192.168.0.1
Tracing the route to 192.168.5.2
  1 voip1 (x.x.x.2) 4 msec 0 msec 4 msec
  2 192.168.5.2  4 msec 8 msec 0 msec

gw1#trace 192.168.5.2 source 192.168.0.33
Tracing the route to 192.168.5.2
  1 192.168.5.2  8 msec 8 msec 8 msec

ТО есть, похоже, что туннель отлично работает.

Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю, при этом в #sh crypto ipsec sa
растут счетчики     #pkts encaps: 84, #pkts encrypt: 84, #pkts digest: 84, а счетчики
  #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят на месте, т.е., похоже, уходит но не возвращается.

Я чего не могу толком понять - откуда cisco знает, что 192.168.5.0/24 надо маршрутизировать на туннель? Доверяется тому, что прислала ей та сторона?  В sh ip route | incl 192.168.5 есть только статический маршрут на voip1. Может быть, проблема в том,
что и на циске надо к crypto dynamic-map dynmap 10 приркутить match ACL ? Но я пробовал, что-то не помогает, даже циска перестает пинговать WRV. Есть какие-нибудь идеи?


Содержание

Сообщения в этом обсуждении
"Маршрутизация на IPSEC-туннель"
Отправлено Дмитрий , 04-Сен-07 16:53 
>Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю,
>при этом в #sh crypto ipsec sa
>растут счетчики     #pkts encaps: 84, #pkts encrypt: 84,
>#pkts digest: 84, а счетчики
>  #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят
>на месте, т.е., похоже, уходит но не возвращается.

Уверены, что default gateway на PC прописал верно?


"Маршрутизация на IPSEC-туннель"
Отправлено Alan_2004 , 04-Сен-07 17:05 
>>Но когда я пигную с PC ( IP 192.168.0.34), ответов не получаю,
>>при этом в #sh crypto ipsec sa
>>растут счетчики     #pkts encaps: 84, #pkts encrypt: 84,
>>#pkts digest: 84, а счетчики
>>  #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 стоят
>>на месте, т.е., похоже, уходит но не возвращается.
>
>Уверены, что default gateway на PC прописал верно?

Конечно, ведь на циске счетчики растут. Если убираю свою сеть (192.168.0.32/27) из ACL, который управляет шифрованием, пинги ходят. Т.е., не идут именно через туннель.