URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15212
[ Назад ]
Исходное сообщение
"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено zavrik , 10-Янв-08 10:50 
Имеется 2 удаленных офиса подсоединенные к центральному. В одном офисе стоит Cisco857, за ней 192.168.8.0/24 сетка. В другом стоит Линуксоподобный роутер Микротик, за ним 192.168.2.0/24 сетка. В ЦО стоит 3845 циска, за ней 172.16.0.0/16 сетка.
Все это настроено так, чтобы 3845 маршрутизировал между удаленными сетками и они видели друг друга. Микротик запихивает весь траффик в туннель до ЦО и все. Конфиги цисок такие:

857:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0192837465 address X.X.X.X
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set CO esp-3des esp-sha-hmac
!
crypto map OFFICE 10 ipsec-isakmp
set peer X.X.X.X
set transform-set CO
set pfs group2
match address 100

ip route 172.16.0.0 255.255.0.0 X.X.X.X
ip route 192.168.2.0 255.255.255.0 X.X.X.X

access-list 100 permit ip 192.168.8.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit tcp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit udp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255

3845:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0192837465 address 10.0.23.42
crypto isakmp key 0192837465 address 10.1.17.106
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set REMOTE esp-3des esp-sha-hmac
!
crypto map Computers 108 ipsec-isakmp
set peer Y.Y.Y.Y
set transform-set REMOTE
set pfs group2
match address 108
!
crypto map TD-corporate local-address Loopback0
crypto map TD-corporate 102 ipsec-isakmp
set peer 10.1.3.242
set transform-set REMOTE
set pfs group2
match address 102

ip route 192.168.2.0 255.255.255.0 10.1.3.242
ip route 192.168.8.0 255.255.255.0 Y.Y.Y.Y

access-list 102 permit ip 172.16.0.0 0.0.255.255 192.168.2.0 0.0.0.255
access-list 102 permit tcp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit udp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 108 permit ip 172.16.0.0 0.0.255.255 192.168.8.0 0.0.0.255
access-list 108 permit tcp 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 108 permit udp 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 108 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255

(permit tcp/udp были добавлены в листы в надежде что поможет протолкнуть)

Проблема: пинги спокойно летают между всеми сетками - 192.168.2.200 до 192.168.8.59, например.  Как только я врубаю терминальную сессию (RDP) между этими же хостами, она начинает матерится на то что хост недоступен и у меня намертво пропадают пинги.  При этом туннели из ЦО живут и цветут - что терминальные сессии, что пинги продолжают летать от 172 сетки до любого места.

Вот что говорит 857 циска после того как у нее отваливается пинг:
#show crypto session
Crypto session current status
Interface: BVI1
Session status: UP-ACTIVE
Peer: X.X.X.X port 500
  IKE SA: local Y.Y.Y.Y/500 remote X.X.X.X/500 Active
  IPSEC FLOW: permit 17 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map
  IPSEC FLOW: permit ip 192.168.8.0/255.255.255.0 172.16.0.0/255.255.0.0
        Active SAs: 2, origin: crypto map
  IPSEC FLOW: permit ip 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map
  IPSEC FLOW: permit 6 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map

В чем может быть прикол?

Содержание
Сообщения в этом обсуждении
"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено DN , 10-Янв-08 12:22 
>В чем может быть прикол?

В MTU.
Добавь
crypto ipsec df-bit clear

"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено CrAzOiD , 10-Янв-08 12:26 
>>В чем может быть прикол?
>
>В MTU.
>Добавь
>crypto ipsec df-bit clear

мне это не помогает
только либо глобальное отключение cef либо с интерфейса на котором висит криптомэп
причем даже пинги криво ходят - много дропов

"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено zavrik , 10-Янв-08 12:54 
На 857 добавить или на обе циски?
CrAzOiD, я обяз почитаю еще, но если вкратце - ip cef для чего используется?
"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено CrAzOiD , 10-Янв-08 14:09 
>На 857 добавить или на обе циски?
>CrAzOiD, я обяз почитаю еще, но если вкратце - ip cef для
>чего используется?

ip cef включает Cisco Express Forwarding для всего маршрутизатора
http://www.cisco.com/en/US/tech/tk827/tk831/technologies_whi...

"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено zavrik , 11-Янв-08 06:45 
Выключила ip cef на обоих цисках и добавила crypto ipsec df-bit clear на интерфейсы. Перестали пропадать пинги (до этого если пускаешь трейс от одного хоста до одругого он мог одуплиться только на 29 хопе, хз где пролетав 28), но РДП так и не хочет! :(
При этом с центрального офиса спокойно залезаю и туда и туда РДПхой по тем же каналам...
Что еще можно вырубить/врубить?
В других местах тоже говорят выруби ip cef и будет тебе счастье.. счастья нет.
"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено DN , 11-Янв-08 12:47 
>Выключила ip cef на обоих цисках и добавила crypto ipsec df-bit clear
>на интерфейсы. Перестали пропадать пинги (до этого если пускаешь трейс от
>одного хоста до одругого он мог одуплиться только на 29 хопе,
>хз где пролетав 28), но РДП так и не хочет! :(

Включите crypto ipsec df-bit clear временно глобально.
У Вас там приватные IP фигурируют (10.1.3.242). NAT включен?
Если включен, что он натит (ACL)?

Типичные ошибки с IPSec , по своему опыту , это ошибки с ACL типа 100  и 102 .
Минимизируйте эти ACL, сначала только для icmp трафика. Потом остального.

Еще обратите внимание на
ip route 172.16.0.0 255.255.0.0 X.X.X.X
ip route 192.168.2.0 255.255.255.0 X.X.X.X
Этот роутинг точно нужен , или достаточно default ?


"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено zavrik , 11-Янв-08 13:22 
Приватные IP фигурируют с одной стороны (при связи с одним из филиалов), именно поэтому приходится прокладывать туннель через центральный офис. На втором филиале ИПшники публичные и пользователи НАТятся в Интернет. Там используется другой ACL, сюда не выложеный, и в нем указывается что не нужно натить от 192.168.8.0 до 192.168.2.0.
Приведенный роутинг необходим для поднятия туннелей, сколько с IPSecом не работала, они всегда были необходимы.

"IPSec туннели - пинги летают, остальной трафик - нет"
Отправлено DN , 11-Янв-08 14:11 
>Приватные IP фигурируют с одной стороны (при связи с одним из филиалов),
>именно поэтому приходится прокладывать туннель через центральный офис. На втором филиале
>ИПшники публичные и пользователи НАТятся в Интернет. Там используется другой ACL,
>сюда не выложеный, и в нем указывается что не нужно натить
>от 192.168.8.0 до 192.168.2.0.

По неволе будешь телепатом .

Может у Вас еще GRE туннели дополнительно настроены?

crypto isakmp key 0192837465 address 10.0.23.42
crypto isakmp key 0192837465 address 10.1.17.106

Вот эти приватные адреса как попадают на 3845?  

>Приведенный роутинг необходим для поднятия туннелей, сколько с IPSecом не работала, они
>всегда были необходимы.

Интересно зачем, если офисы удаленные, связанные публичным Internet?

Для 857: X.X.X.X - это рубличный адрес 3845.
857  имеет отдельный линк с 3845 ?

Для 3845:   Y.Y.Y.Y - это адрес 857 ?

Где pre-share key для Y.Y.Y.Y в конфиге 3845?

Микротик имеет IPSec туннель с 3845. Микротик умеет сбрасывать df бит ?

Вы уж пришлите весь конфиг.
Телепаты в отпуске.