URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1455
[ Назад ]

Исходное сообщение
"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 26-Авг-14 10:49

Доброго времени суток!
Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec tunnel и на каждой поднят впн-сервер, поднимается через интернет, с одной стороны после маршрутизатора стоят 2 каталиста и статическая маршрутизация, а с другой два нексуса и поднят eigrp.
Вообщем, туннель как таковой поднимается, о чем говорит sh crypto isakm sa / ipsec sa, но не совсем понятно почему. Для его поднятия, если я не ошибаюсь, нужно послать трафик через него.
Делаю clear crypto isakmp, сесия удаляется и уже через пять секунд заново поднимается.
Что самое плохое, пинги не идут.
Помогите разобраться, пожалуйста!
R_1
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
crypto isakmp key cisco123 address 37.*.*.*
!
crypto isakmp client configuration group ******
key *****
dns *****
domain *****
pool ippool
acl vpnuser
save-password
crypto isakmp profile VPN
   match identity group *****
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set myset esp-aes esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
!
!
crypto map DAVAI 2 ipsec-isakmp
set peer 37.*.*.*
set transform-set letsgo
match address ipsec
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap
interface GigabitEthernet0/0
ip address 178.*.*.*
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map DAVAI
!
interface GigabitEthernet0/1
ip address 10.255.0.5 255.255.255.252
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 10.255.0.13 255.255.255.252
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
!
router eigrp 100
network 10.255.0.0 0.0.0.255
redistribute static
redistribute connected
!
ip local pool ippool 10.10.20.1 10.10.22.254
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 178.*.*.*
ip route 10.10.12.0 255.255.255.0 10.255.0.6
ip route 10.10.12.0 255.255.255.0 10.255.0.14
!
ip access-list extended internet
deny   ip host 10.10.53.10 10.10.20.0 0.0.3.255
permit ip host 10.10.53.10 any
ip access-list extended ipsec
permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.12.0 0.0.0.255 10.255.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255
ip access-list extended nat
deny   ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.12.0 0.0.0.255 any
ip access-list extended vpnuser
permit ip 10.10.0.0 0.0.255.255 10.10.0.0 0.0.255.255
permit ip 10.10.12.0 0.0.0.255 10.10.20.0 0.0.3.255
permit ip 10.10.48.0 0.0.7.255 10.10.20.0 0.0.3.255
R_2
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
crypto isakmp key cisco123 address 178.*.*.*
!
crypto isakmp client configuration group *****
key *****
dns *****
domain *****
pool vpnpool
acl vpnuser
save-password
crypto isakmp profile VPN
   match identity group comlombard
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set myset esp-aes esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
!
!
crypto map DAVAI 2 ipsec-isakmp
set peer 178.*.*.*
set transform-set letsgo
match address ipsec
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.5
encapsulation dot1Q 5
ip address 10.255.1.5 255.255.255.252
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 37.*.*.*
ip nat outside
ip virtual-reassembly in
crypto map DAVAI
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.9
encapsulation dot1Q 9
ip address 10.255.1.9 255.255.255.252
ip nat inside
ip virtual-reassembly in
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0.100
peer default ip address pool namepool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
!
ip local pool vpnpool 10.10.23.1 10.10.23.254
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list nat interface GigabitEthernet0/0.100 overload
ip route 0.0.0.0 0.0.0.0 37.*.*.*
ip route 192.168.0.0 255.255.255.0 10.255.1.6
ip route 192.168.0.0 255.255.255.0 10.255.1.10
ip route 192.168.1.0 255.255.255.0 10.255.1.6
ip route 192.168.1.0 255.255.255.0 10.255.1.10
!
ip access-list extended internet
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended ipsec
permit ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 10.255.0.0 0.0.0.255
permit ip 10.255.1.0 0.0.0.255 10.255.0.0 0.0.0.255
ip access-list extended nat
deny   ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended test
deny   ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended vpnuser
sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
37.*,*,*   178.*,*,*   QM_IDLE          18035 ACTIVE
IPv6 Crypto ISAKMP SA

Содержание

IPSec туннель поднимается, но трафик не проходит,ShyLion, 12:08 , 26-Авг-14
- IPSec туннель поднимается, но трафик не проходит,iCrash, 13:18 , 26-Авг-14
  - IPSec туннель поднимается, но трафик не проходит,ShyLion, 07:28 , 27-Авг-14
    - IPSec туннель поднимается, но трафик не проходит,iCrash, 08:34 , 27-Авг-14
    - IPSec туннель поднимается, но трафик не проходит,iCrash, 08:42 , 27-Авг-14
      - IPSec туннель поднимается, но трафик не проходит,ShyLion, 08:54 , 27-Авг-14
        
        IPSec туннель поднимается, но трафик не проходит,iCrash, 10:00 , 27-Авг-14
        
        IPSec туннель поднимается, но трафик не проходит,Andrey, 11:16 , 27-Авг-14
        
        IPSec туннель поднимается, но трафик не проходит,iCrash, 15:26 , 27-Авг-14
        
        IPSec туннель поднимается, но трафик не проходит,Andrey, 17:52 , 27-Авг-14
        
        IPSec туннель поднимается, но трафик не проходит,iCrash, 23:06 , 27-Авг-14

Сообщения в этом обсуждении

"IPSec туннель поднимается, но трафик не проходит"
Отправлено ShyLion , 26-Авг-14 12:08

> Доброго времени суток!
> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
> tunnel
Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI
int tunnel X
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile XXXX
тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д.
http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 26-Авг-14 13:18

>[оверквотинг удален]
>> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
>> tunnel
> Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI
>

> int tunnel X
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile XXXX
>

> тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д.
> http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
не до конца понял логику соединения, но тем не менее настроил как в конфиге.
sh int t0
Tunnel0 is up, line protocol is up
sh crypto session detail
..........
Interface: Tunnel0
Session status: UP-NO-IKE

"IPSec туннель поднимается, но трафик не проходит"
Отправлено ShyLion , 27-Авг-14 07:28

sho run | sect ^crypto|^interface Tunnel

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 27-Авг-14 08:34

> sho run | sect ^crypto|^interface Tunnel
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set TSET
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source 37.*,*,*
tunnel mode ipsec ipv4
tunnel destination 178.*,*,*
tunnel protection ipsec profile VTI
service-policy output FOO

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 27-Авг-14 08:42

> sho run | sect ^crypto|^interface Tunnel
хотя смотрю, теперь все стало active, но трафик так и не идет. я так понял динамическая маршрутизация необязательный пункт, и прописал статику - безрезультатно. хоть все и в АПе и АКТИВ, но команда ping 10.0.0.1 sourse tunell0 не принесла результата

"IPSec туннель поднимается, но трафик не проходит"
Отправлено ShyLion , 27-Авг-14 08:54

>> sho run | sect ^crypto|^interface Tunnel
> хотя смотрю, теперь все стало active, но трафик так и не идет.
> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
> 10.0.0.1 sourse tunell0 не принесла результата
Что-то подозреваю я что ты далеко не все скопипастил.
Есть еще криптомапы какие с теми-же адресами пиров?
ESP у тебя не фильтруется часом? У провайдера?

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 27-Авг-14 10:00

>>> sho run | sect ^crypto|^interface Tunnel
>> хотя смотрю, теперь все стало active, но трафик так и не идет.
>> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
>> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
>> 10.0.0.1 sourse tunell0 не принесла результата
> Что-то подозреваю я что ты далеко не все скопипастил.
> Есть еще криптомапы какие с теми-же адресами пиров?
> ESP у тебя не фильтруется часом? У провайдера?
вдоль и поперек все провел, да и не такой уж он и большой, что б что то забыть.
конфиг сейчас до нельзя простой, практически идентичный сисковскому.
нет не фильтруется.
забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, с впн, с впдн, с натом и кучей акл)

"IPSec туннель поднимается, но трафик не проходит"
Отправлено Andrey , 27-Авг-14 11:16

>[оверквотинг удален]
>>> 10.0.0.1 sourse tunell0 не принесла результата
>> Что-то подозреваю я что ты далеко не все скопипастил.
>> Есть еще криптомапы какие с теми-же адресами пиров?
>> ESP у тебя не фильтруется часом? У провайдера?
> вдоль и поперек все провел, да и не такой уж он и
> большой, что б что то забыть.
> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
> нет не фильтруется.
> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
> с впн, с впдн, с натом и кучей акл)
sh crypto ipsec sa
с обоих сторон.

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 27-Авг-14 15:26

>[оверквотинг удален]
>>> Есть еще криптомапы какие с теми-же адресами пиров?
>>> ESP у тебя не фильтруется часом? У провайдера?
>> вдоль и поперек все провел, да и не такой уж он и
>> большой, что б что то забыть.
>> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
>> нет не фильтруется.
>> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
>> с впн, с впдн, с натом и кучей акл)
> sh crypto ipsec sa
> с обоих сторон.
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
37.*.*.*    178.*.*.*   QM_IDLE          18002 ACTIVE
178.*.*.*   37.*.*.*   QM_IDLE          18003 ACTIVE

"IPSec туннель поднимается, но трафик не проходит"
Отправлено Andrey , 27-Авг-14 17:52

>[оверквотинг удален]
>> с обоих сторон.
> IPv4 Crypto ISAKMP SA
> dst
>  src
>    state
>   conn-id status
> 37.*.*.*    178.*.*.*   QM_IDLE
>      18002 ACTIVE
> 178.*.*.*   37.*.*.*   QM_IDLE
>     18003 ACTIVE
Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec sa и фазы установления IPSec - разговор по большей части бесполезен.
Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...

"IPSec туннель поднимается, но трафик не проходит"
Отправлено iCrash , 27-Авг-14 23:06

>[оверквотинг удален]
>>  src
>>    state
>>   conn-id status
>> 37.*.*.*    178.*.*.*   QM_IDLE
>>      18002 ACTIVE
>> 178.*.*.*   37.*.*.*   QM_IDLE
>>     18003 ACTIVE
> Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec
> sa и фазы установления IPSec - разговор по большей части бесполезен.
> Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...
упс, не внимательно прочитал. но там тоже все было ап-актив. короче, походу был некий баг или еще что, психанул - erase startap config, заново все собрал и...о чудо!
в любом случае, благодарю за помощь!