настроил два туннеля между Cisco 871 и Сisco 871, все работает, один туннель основной, воторой резервный, повесил шифрование, но оно не работает, не могу разобраться почему.
вот конфигиМаршрутизатор 1:
Using 3137 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 1300
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$cQON$gxFSpYZO2RlBclwysJ0531
enable password admin
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-3671855315
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3671855315
revocation-check none
rsakeypair TP-self-signed-3671855315
!
!
crypto pki certificate chain TP-self-signed-3671855315
certificate self-signed 01 nvram:IOS-Self-Sig#350A.cer
username admin privilege 15 password 0 admin
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 12345 address 192.168.57.2
crypto isakmp key 54321 address 192.168.58.2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
!
crypto map CRYPTO_POLICY1 1 ipsec-isakmp
description $$$for Primary Channel$$$
set peer 192.168.57.2
set ip access-group 170 in
set transform-set ESP-3DES-SHA
match address 100
qos pre-classify
!
crypto map CRYPTO_POLICY2 2 ipsec-isakmp
description $$$for Backup Channel$$$
set peer 192.168.58.2
set ip access-group 170 in
set transform-set ESP-3DES-SHA
match address 100
qos pre-classify
!
!
!
!
interface Tunnel0
description $$$Primary Channel Tunnel$$$
bandwidth 256
ip address 192.168.57.1 255.255.255.0
delay 16
tunnel source 10.67.123.1
tunnel destination 10.67.123.2
tunnel mode ipip
crypto map CRYPTO_POLICY1
!
interface Tunnel1
description $$$Backup Channel Tunnel$$$
bandwidth 128
ip address 192.168.58.1 255.255.255.0
delay 32
tunnel source 10.67.124.1
tunnel destination 10.67.124.2
tunnel mode ipip
crypto map CRYPTO_POLICY2
!
interface FastEthernet0
description $$$Primary Channel$$$
bandwidth 256
switchport access vlan 2
delay 16
!
interface FastEthernet1
description $$$Backup Channel$$$
bandwidth 128
switchport access vlan 3
delay 32
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description $$$Ethernet Lan$$$
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description $$$Primary Channel$$$
bandwidth 256
ip address 10.67.123.1 255.255.255.0
delay 16
crypto map CRYPTO_POLICY1
!
interface Vlan3
description $$$Backup Channel$$$
bandwidth 128
ip address 10.67.124.1 255.255.255.0
delay 32
!
router eigrp 170
network 192.168.1.0
network 192.168.57.0
network 192.168.58.0
auto-summary
!
ip classless
!
!
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255
access-list 170 permit ip any any
access-list 170 permit icmp any any
access-list 170 permit udp any any eq isakmp
snmp-server community public RO
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
password admin
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
-------------------------------------------------------------------------
-------------------------------------------------------------------------Маршрутизатор 2:
Using 3038 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 1301
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$1oOg$r8YharNDEGgwwyHq5j0480
enable password admin
!
username admin privilege 15 password 0 admin
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 54321 address 192.168.58.1
crypto isakmp key 12345 address 192.168.57.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map CRYPTO_POLICY1 1 ipsec-isakmp
description $$$for Primary Channel$$$
set peer 192.168.57.1
set ip access-group 170 in
set transform-set ESP-3DES-SHA
match address 100
qos pre-classify
!
crypto map CRYPTO_POLICY2 2 ipsec-isakmp
description $$$for Backup Channel$$$
set peer 192.168.58.1
set ip access-group 170 in
set transform-set ESP-3DES-SHA
match address 100
qos pre-classify
!
!
!
interface Tunnel0
description $$$Primary Channel Tunnel$$$
bandwidth 256
ip address 192.168.57.2 255.255.255.0
delay 16
tunnel source 10.67.123.2
tunnel destination 10.67.123.1
tunnel mode ipip
crypto map CRYPTO_POLICY1
!
interface Tunnel1
description $$$Backup Channel Tunnel$$$
bandwidth 128
ip address 192.168.58.2 255.255.255.0
delay 32
tunnel source 10.67.124.2
tunnel destination 10.67.124.1
tunnel mode ipip
crypto map CRYPTO_POLICY2
!
interface FastEthernet0
description $$$Primary Channel$$$
bandwidth 256
switchport access vlan 2
no ip address
delay 16
!
interface FastEthernet1
description $$$Backup Channel$$$
bandwidth 128
switchport access vlan 3
no ip address
delay 32
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
description $$$Ethernet Lan$$$
ip address 192.168.13.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description $$$Primary Channel$$$
bandwidth 256
ip address 10.67.123.2 255.255.255.0
delay 16
!
interface Vlan3
description $$$Backup Channel$$$
bandwidth 123
ip address 10.67.124.2 255.255.255.0
delay 32
!
router eigrp 170
network 192.168.13.0
network 192.168.57.0
network 192.168.58.0
auto-summary
!
ip classless
!
!
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.13.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 170 permit ip any any
access-list 170 permit icmp any any
access-list 170 permit udp any any eq isakmp
snmp-server community public RO
!
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
password admin
login local
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
endПомогите пожалуйста настроить шифрование на туннелях...
Добрый день!
1.внешине IP адреса пингуються????
2."crypto map CRYPTO_POLICY1 1 ipsec-isakmp" на интерфейсах должны быть разные. Например на 1 интере "CRYPTO_POLICY1 1", а на 2 интере "backup1".
3.Если не пойдёт то желательно бы схему, я так лучше понимаю ситуацию.
Упрощенно схема следующая:Lan-FE4-Cisco871=fe0,1=vlan2,3=tunnel0,1=2провайдера=tunnel0,1=vlan2,3=fe0,1=Cisco871-Lan
vlan необходимы в связи с невозможностью повесить на Ethernet порты ip адреса.
отбросим один туннель дабы схема проще была
Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan
Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым.
Но дело в том что до этого я так и делал, и не работало.
Сейчас скину конфиг получившийся..
>[оверквотинг удален]
>
>Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan
>
>Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым.
>
>
>Но дело в том что до этого я так и делал, и
>не работало.
>
>Сейчас скину конфиг получившийся..Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик ip ?? Нельзя оставить один ipsec туннель ? Да и попробуйте переключить ipsec в транспортный режим .. он вроде по умолчанию в туннелном находиться.
>[оверквотинг удален]
>>
>>Но дело в том что до этого я так и делал, и
>>не работало.
>>
>>Сейчас скину конфиг получившийся..
>
>Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик
>ip ?? Нельзя оставить один ipsec туннель ? Да и
>попробуйте переключить ipsec в транспортный режим .. он вроде по
>умолчанию в туннелном находиться.Абсолютно согласен.
Тем более от этого и не работает.
согласен, "tuneel mode ipip" отключаю что бы проверить работает ли ipsec, а он как назло не работает, вчера до вечера сидел, так и не смог настроить, начал с простого, повесил ipsec на соединение между fe4 и fe4, так как эти порты L3 и на них можно повесить ip. Работает. Потом перекинул кабель на соединение fe0-fe0, запустил их в vlan2, на vlan2 на обоих концах повесил ip адреса, настроил ipsec. Работает.Но после на vlan2 повесил tunnel 0, ipsec по прежнему работал на vlan2, но туннель не работает.
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 12345 address 192.168.57.2
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto map CRYPTO_POLICY 1 ipsec-isakmp
set peer 192.168.57.2
set transform-set VPN
match address 100
!
interface Tunnel0
ip address 192.168.58.1 255.255.255.0
tunnel source 192.168.57.1
tunnel destination 192.168.57.2
crypto map CRYPTO_POLICY
!
interface FastEthernet0
switchport access vlan 2
!
interface Vlan2
ip address 192.168.57.1 255.255.255.0
crypto map CRYPTO_POLICY
!
router eigrp 170
network 192.168.58.0
auto-summary
!
ip classless
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip any anyна втором маршрутизаторе все зеркально.
и вот что пишет при попытке пингования туннельного ip1301#ping 192.168.58.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.58.1, timeout is 2 seconds:*Mar 3 06:56:41.715: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p
acket.
(ip) vrf/dest_addr= /192.168.57.1, src_addr= 192.168.57.2, prot= 47.....Success rate is 0 percent (0/5)
Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy?
Помоему надо.
>Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy?
>
>Помоему надо.Знаете тут надо вам разобраться что отрабатывает в начале а что в конце , в результате инкапсуляции какие ip адресса должен отрабатывать ipsec для создания туннеля , то есть сначала отрабатывает туннелирование , потом отрабатывает ipsec туннелирование так помоему ?? ..
что я сделал бы на вашем месте , убрал бы второй туннель (резервный ) делал бы с одним , убрал бы динамическую маршрутизацию на время теста , прописал бы статику , проверил списки доступа , или убрал бы их оставил тока отрабатывающий на ipsec , в таком упрощённом виде попробывал бы, ищите более лёгких путей , а потом всё таки зачем нужен туннель в туннеле ipsec не хватает ?? просто интерестно видел такие конфиги непонимаю зачем так делают... к сожелению сейчас двух роутеров нет чтоб смастерить стенд помочь не могу тока может дурацкими советами -)
Так какие адреса должен отрабатывать ipsec ?? если к нему приходит туннельный трафик , может попробывать туннели посадить на лупбэк интерфейсы ?? с адресами у которых префикс /32 ?
сделал упрощенную схему, повесил ipsec на vlan, сунул это все в tunnel, маршрутизация пока статиком, с tunnel убрал crypto map, короче работает вроде. Ключи если разные не пингуется ничего, ставишь ключи одинаковые и все работает. Я правильно понял что это как раз и работает ipsec?ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов, а вот crypto map должны быть разными для разных интерфейсов.
Туннели (tunnel 0 и tunnel 1) мне нужны для динамической маршрутизации. и исчо будет использоваться QOS для распределения ширины канала для разных служб, а IPSEC туннель эту штуку не держит, так что нужны они мне. А два их потому что соединение будет через двух разных провайдеров, основного и резервного.
Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого сюда насчет настройки туннеля писал, помогли...
>Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь
>мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого
>сюда насчет настройки туннеля писал, помогли...Если получиться оставте конфиги с двух сторон , может потребуеться , крипто мар нужно вешать , насколько я помню без этого вроде как ipsec не подымаеться...
не спорю, crypto map вешать обязательно надо, но только на vlan, tunnel нужен для другого, по нему уже будут бегать пакеты от vlan, а на нем ipsec. Конфиги оставлю, еще не все дописал.
>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов,
>а вот crypto map должны быть разными для разных интерфейсов.Раз так, то как крипто мап узнает какую полиси использовать? Я Раньше думал что их сопоставление осуществляется на основании индексов.
crypto isakmp policy 16
сrypto map nolan 16 ipsec-isakmpв этом случае на основании "16"
>>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов,
>>а вот crypto map должны быть разными для разных интерфейсов.
>
>Раз так, то как крипто мап узнает какую полиси использовать? Я
>Раньше думал что их сопоставление осуществляется на основании индексов.
>
>crypto isakmp policy 16
>сrypto map nolan 16 ipsec-isakmp
>
> в этом случае на основании "16"Политик может быть много , на первой стадии ике идут переговоры о применении политики одной и другой стороны , если в перечни двух сторон имеються две одинаковые политики стороны договариваються о применение данной политики.. пишу на память давно уже неповторял данную тему .. но что то в этом роде.
Crypto isakmp policy у меня одна, а crypto map два, и оба действуют по правилу написанному в crypto isakmp policy. Короче, все сделал. Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении одного провайдера, Cisco в течении 30 секунд переключается на резервный канал. ipsec работает по-прежнему.
>Crypto isakmp policy у меня одна, а crypto map два, и оба
>действуют по правилу написанному в crypto isakmp policy. Короче, все сделал.
>Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении
>одного провайдера, Cisco в течении 30 секунд переключается на резервный канал.
>ipsec работает по-прежнему.Ну и для потомков и для моей библиотеки конфигов ... конфиги в студию.. вы обещали... -)
Для потомков как и обещал.... -)
это конфиг резервирования канала, но он простой, настольный так сказать, для того что бы все это дело заработало в реальной ситуации надо добавить статические маршруты до шлюзов обоих провайдеров на обоих концах, в статике указать что-то вроде этого
ip route "tunnel destination IP" "шлюз провайдера", а не то не найдет маршрутизатор другой конец туннеля. Второй конфиг зеркало этого, двойки на единички, единички на двойки поменять и все. Благим советом будет загнать еще все сетки под маску 248 или что-то вроде нее, а не то используется в каждой из них по 2 адреса.crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key qwert address 10.67.123.2
crypto isakmp key asdfg address 10.67.124.2
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto map TUNNEL0 1 ipsec-isakmp
description $$$Crypto Policy for Primary Channel$$$
set peer 10.67.123.2
set transform-set VPN
match address IPSEC-TUN0
qos pre-classify
!
crypto map TUNNEL1 1 ipsec-isakmp
description $$$Crypto Policy for Backup Channel$$$
set peer 10.67.124.2
set transform-set VPN
match address IPSEC-TUN1
qos pre-classify
!
interface Tunnel0
description $$$Primary Channel$$$
bandwidth 256
ip address 192.168.57.1 255.255.255.0
delay 16
tunnel source 10.67.123.1
tunnel destination 10.67.123.2
!
interface Tunnel1
description $$$Backup Channel$$$
bandwidth 128
ip address 192.168.58.1 255.255.255.0
delay 32
tunnel source 10.67.124.1
tunnel destination 10.67.124.2
!
interface FastEthernet0
description $$$Primary Channel$$$
bandwidth 256
switchport access vlan 2
delay 16
!
interface FastEthernet1
description $$$Backup Channel$$$
bandwidth 128
switchport access vlan 3
delay 32
!
interface FastEthernet4
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description $$$Primary Channel$$$
bandwidth 256
ip address 10.67.123.1 255.255.255.0
delay 16
crypto map TUNNEL0
!
interface Vlan3
description $$$Backup Channel$$$
bandwidth 128
ip address 10.67.124.1 255.255.255.0
delay 32
crypto map TUNNEL1
!
router eigrp 170
network 192.168.1.0
network 192.168.57.0
network 192.168.58.0
auto-summary
!
ip classless
!
ip access-list extended IPSEC-TUN0
remark IPSEC ACL
permit ip host 10.67.123.1 host 10.67.123.2
ip access-list extended IPSEC-TUN1
permit ip host 10.67.124.1 host 10.67.124.2
remark IPSEC ACL
Все привет!Вот ещё есть статься, но сдесь можно использовать статическую машрутизацию:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios...
Мне кажеться так проще и переключение между каналами идёт около 1 мс и ещё если основной канал вышел из строя циска переключаеться на резервный, а при восстановлении основного канал циска в автоматическом режиме переключаеться обратно на основной канал.
Всем привет еще раз. Спасибо за статью, про трекинг читал, туннели работают, все без проблем. Сейчас тему создал насчет nat, потому что мне теперь необходимо что бы одному моему внутреннему адресу соответствовали два внешних. Потихоньку разбираюсь с route-map.