URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1523
[ Назад ]

Исходное сообщение
" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 31-Окт-14 09:40

Господа. Есть роуте 2911 и построенный тоннель до другой такой же железки . Как заставить сами железки видеть что-нибудь внутри тоннеля.
Сейчас все попытки обратиться с любой к хосту через тоннель приводят к уходу пакетов в дефолтовый шлюз .

Содержание

Как заставить роутер обращаться через тунельный интерфейс,eek, 10:11 , 31-Окт-14
- Как заставить роутер обращаться через тунельный интерфейс,Doc, 10:39 , 31-Окт-14
  - Как заставить роутер обращаться через тунельный интерфейс,gfh, 11:09 , 31-Окт-14
    - Как заставить роутер обращаться через тунельный интерфейс,Doc, 11:40 , 31-Окт-14
      - Как заставить роутер обращаться через тунельный интерфейс,gfh, 11:56 , 31-Окт-14
        
        Как заставить роутер обращаться через тунельный интерфейс,Doc, 12:43 , 31-Окт-14
        
        Как заставить роутер обращаться через тунельный интерфейс,Doc, 12:47 , 31-Окт-14
        
        Как заставить роутер обращаться через тунельный интерфейс,crash, 07:20 , 05-Ноя-14
        Как заставить роутер обращаться через тунельный интерфейс,ShyLion, 12:58 , 05-Ноя-14
        
        Как заставить роутер обращаться через тунельный интерфейс,RedD, 20:23 , 05-Ноя-14
        Как заставить роутер обращаться через тунельный интерфейс,Doc, 21:53 , 05-Ноя-14
        
        Как заставить роутер обращаться через тунельный интерфейс,ShyLion, 07:32 , 06-Ноя-14

Сообщения в этом обсуждении

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено eek , 31-Окт-14 10:11

Вы внутри тоннеля хотите увидеть электроны что-ли?
Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты до этих сетей и на другом конце тоннеля прописать обратные до ваших.

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 31-Окт-14 10:39

> Вы внутри тоннеля хотите увидеть электроны что-ли?
> Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты
> до этих сетей и на другом конце тоннеля прописать обратные до
> ваших.
маршруты откуда?
ведь интерфейс самого тоннеля принадлежит маршрутизатору и доступен из другой сети (за тоннелем)
нужно заставить сам моршрутер общаться с сеткой за тоннелем через интерфейс тоннеля
поясню (понимаю что как то неудачно выражаюсь)
у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) и тоннельный tunelcanel1 192.2.1.1
так вот при отправки пакетов скажем по ftp или radius с самого маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не приходит есои на адрес за тонелем (скажем 192.2.2.2)

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено gfh , 31-Окт-14 11:09

> поясню (понимаю что как то неудачно выражаюсь)
> у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд)
> и тоннельный tunelcanel1 192.2.1.1
> так вот при отправки пакетов скажем по ftp или radius с самого
> маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не
> приходит есои на адрес за тонелем (скажем 192.2.2.2)
Вам же сказали - прописать сети:
ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1
и соответственно на втором конце туннеля сделать то-же самое:
ip route 100.100.100.100 её_маска 192.2.1.1

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 31-Окт-14 11:40

>> поясню (понимаю что как то неудачно выражаюсь)
>> у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд)
>> и тоннельный tunelcanel1 192.2.1.1
>> так вот при отправки пакетов скажем по ftp или radius с самого
>> маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не
>> приходит есои на адрес за тонелем (скажем 192.2.2.2)
> Вам же сказали - прописать сети:
> ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1
> и соответственно на втором конце туннеля сделать то-же самое:
> ip route 100.100.100.100 её_маска 192.2.1.1
а что роут мапа на тоннель недостаточно?

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено gfh , 31-Окт-14 11:56

> а что роут мапа на тоннель недостаточно?
Давайте конфиг, иначе непонятно что у вас творится.

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 31-Окт-14 12:43

>> а что роут мапа на тоннель недостаточно?
> Давайте конфиг, иначе непонятно что у вас творится.

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 31-Окт-14 12:47

Вот сразу пример к серверу р архивирования не достукиваеться - отправляет наружу к такагсу тоже.
archive
path ftp://cisco:cisco@192.0.2.253/1492/conf_1492_$H.txt
write-memory
username root privilege 15 secret 5 $1$n3ur$oecFhZ34343VJA7zkuYk/q.
redundancy
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key ######## address 10.136.104.126
!
crypto ipsec transform-set ESP-3DES-SHA esp-aes 256 esp-sha-hmac
!
crypto dynamic-map INT_MAP 1
set security-association lifetime kilobytes 530000000
set security-association lifetime seconds 14400
!
!
crypto map INT_MAP 30000 ipsec-isakmp dynamic INT_MAP
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 1978
set peer 10.136.104.126
set transform-set ESP-3DES-SHA
match address 111
!
bridge irb
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
no ip address
duplex auto
speed auto
bridge-group 100
bridge-group 100 spanning-disabled
!
!
interface GigabitEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
!
interface GigabitEthernet0/1.2
description SF
encapsulation dot1Q 2
ip address 192.1.2.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.3
description 3
encapsulation dot1Q 3
ip address 192.1.3.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.4
description 4
encapsulation dot1Q 4
ip address 192.1.4.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.5
description 5
encapsulation dot1Q 5
ip address 192.1.5.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.6
description 6
encapsulation dot1Q 6
ip address 192.1.6.1 255.255.255.0
ip helper-address 192.1.2.10
no ip route-cache
!
interface GigabitEthernet0/1.7
description 7
encapsulation dot1Q 7
ip address 192.1.7.1 255.255.255.0
ip helper-address 192.1.2.10
no ip route-cache
!
interface GigabitEthernet0/1.8
description wi-fi work
encapsulation dot1Q 8
ip address 192.1.8.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.9
description wi-fi guest
encapsulation dot1Q 9
ip address 192.1.9.1 255.255.255.0
ip access-group 2131 in
ip access-group 2132 out
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
bridge-group 100
bridge-group 100 spanning-disabled
!
!
interface BVI100
ip address 10.136.87.254 255.255.255.128
ip access-group 2001 in
ip access-group 2002 out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
crypto map SDM_CMAP_1
!
!
!
ip local pool SDM_POOL_2 192.1.10.10 192.1.10.254
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export source BVI100
ip flow-export version 9
ip flow-export destination 10.143.255.10 9995
ip flow-export destination 10.143.255.58 9995
!
ip nat pool 1 10.136.87.241 10.136.87.241 netmask 255.255.255.128
ip nat pool 3 10.136.87.243 10.136.87.243 netmask 255.255.255.128
ip nat pool 4 10.136.87.244 10.136.87.244 netmask 255.255.255.128
ip nat pool 5 10.136.87.245 10.136.87.245 netmask 255.255.255.128
ip nat pool 6 10.136.87.246 10.136.87.246 netmask 255.255.255.128
ip nat pool 7 10.136.87.247 10.136.87.247 netmask 255.255.255.128
ip nat pool 8 10.136.87.248 10.136.87.248 netmask 255.255.255.128
ip nat pool 9 10.136.87.249 10.136.87.249 netmask 255.255.255.128
ip nat pool 2 10.136.87.242 10.136.87.242 netmask 255.255.255.128
ip nat pool temp 10.136.87.254 10.136.87.254 netmask 255.255.255.128
ip nat inside source list 101 pool 1 overload
ip nat inside source list 102 pool 2 overload
ip nat inside source list 103 pool 3 overload
ip nat inside source list 104 pool 4 overload
ip nat inside source list 105 pool 5 overload
ip nat inside source list 106 pool 6 overload
ip nat inside source list 107 pool 7 overload
ip nat inside source list 108 pool 8 overload
ip nat inside source list 109 pool 9 overload
ip route 0.0.0.0 0.0.0.0 10.136.87.129
!
ip access-list extended SPLIT_T
remark CCP_ACL Category=20
permit ip 192.1.0.0 0.0.255.255 any
!
logging 10.143.255.2
logging 10.143.255.6
logging 10.143.255.10
logging 10.143.255.14
access-list 101 deny   ip 192.1.1.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 101 permit ip 192.1.1.0 0.0.0.255 any
access-list 102 deny   ip 192.1.2.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 102 permit ip 192.1.2.0 0.0.0.255 any
access-list 103 deny   ip 192.1.3.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 103 permit ip 192.1.3.0 0.0.0.255 any
access-list 104 deny   ip 192.1.4.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 104 permit ip 192.1.4.0 0.0.0.255 any
access-list 105 deny   ip 192.1.5.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 105 permit ip 192.1.5.0 0.0.0.255 any
access-list 106 deny   ip 192.1.6.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 106 permit ip 192.1.6.0 0.0.0.255 any
access-list 107 deny   ip 192.1.7.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 107 permit ip 192.1.7.0 0.0.0.255 any
access-list 108 deny   ip 192.1.8.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 108 permit ip 192.1.8.0 0.0.0.255 any
access-list 109 deny   ip 192.1.9.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 109 permit ip 192.1.9.0 0.0.0.255 any
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.0.0.0 0.0.255.255
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.10.0.0 0.0.255.255
access-list 2001 permit ip any any
access-list 2002 permit tcp host 10.136.104.2 any eq smtp
access-list 2002 deny   tcp any any eq smtp
access-list 2002 permit ip any any
access-list 2131 permit udp any any eq bootps
access-list 2131 permit udp any any eq bootpc
access-list 2131 permit udp any host 192.1.2.10 eq ntp
access-list 2131 permit udp any host 192.1.2.10 eq domain
access-list 2131 permit udp any host 192.1.2.10 eq nameserver
access-list 2131 permit udp any host 192.1.2.10 eq time
access-list 2131 permit tcp any host 192.1.2.30 eq smtp time-range guest
access-list 2131 permit tcp any host 192.1.2.30 eq pop3 time-range guest
access-list 2131 deny   tcp any 192.0.0.0 0.255.255.255
access-list 2131 permit tcp any any eq www time-range guest
access-list 2131 permit tcp any any eq smtp time-range guest
access-list 2131 permit tcp any any eq 465 time-range guest
access-list 2131 permit tcp any any eq 995 time-range guest
access-list 2131 permit tcp any any eq 587 time-range guest
access-list 2131 permit tcp any any eq pop3 time-range guest
access-list 2131 permit tcp any any eq 143 time-range guest
access-list 2131 permit tcp any any eq 443 time-range guest
access-list 2131 permit udp any any eq nameserver time-range guest
access-list 2131 deny   ip any any
access-list 2132 permit ip any any
!
!
!
!
route-map SDM_CMAP_1 permit 10
match ip address 111
!
!

!
bridge 100 protocol ieee
bridge 100 route ip
ntp server 10.143.255.2
ntp server 10.143.255.6
ntp server 10.143.255.10
ntp server 10.143.255.14
time-range guest
periodic weekdays 8:00 to 16:00
periodic Monday 8:00 to 14:00
!
end

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено crash , 05-Ноя-14 07:20

укажите какой source интерфейс должен быть при подключении по ftp

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено ShyLion , 05-Ноя-14 12:58

1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
IPSec профили и интерфейсы вида:
interface tunnelXXX
tunnel mode ipsec ipv4
tunnel protection ipsec profile XXXX
3. SDM зло

по делу:
#sho crypto isakmp sa
#sho crypto ipsec sa

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено RedD , 05-Ноя-14 20:23

> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
> 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
> IPSec профили и интерфейсы вида:
> interface tunnelXXX
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile XXXX
> 3. SDM зло
> по делу:
> #sho crypto isakmp sa
> #sho crypto ipsec sa
А где в конфиге видно тунель?
Ткните носом

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено Doc , 05-Ноя-14 21:53

> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
> 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
> IPSec профили и интерфейсы вида:
> interface tunnelXXX
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile XXXX
> 3. SDM зло
> по делу:
> #sho crypto isakmp sa
> #sho crypto ipsec sa
1) есть значит надо.
2) не вижу большой разници какой вид использовать криптомапы распространенный прием
3) SDM я не использовал - использовали те кто первоначально настраивал роутер
sch1492-2911#sho crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.136.87.254   10.136.104.126  QM_IDLE           1007 ACTIVE
IPv6 Crypto ISAKMP SA
sch1492-2911#sho crypto ipsec sa
interface: BVI100
    Crypto map tag: SDM_CMAP_1, local addr 10.136.87.254
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.0.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 19229577, #pkts encrypt: 19229577, #pkts digest: 19229577
    #pkts decaps: 12271870, #pkts decrypt: 12271870, #pkts verify: 12271870
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x42F401D9(1123287513)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
      spi: 0x89D343C5(2312324037)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2351, flow_id: Onboard VPN:351, sibling_flags 80000046, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4382431/1032)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x42F401D9(1123287513)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2352, flow_id: Onboard VPN:352, sibling_flags 80000046, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4381155/1032)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.2.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.10.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:

" Как заставить роутер обращаться через тунельный интерфейс"
Отправлено ShyLion , 06-Ноя-14 07:32

> 1) есть значит надо.
> 2) не вижу большой разници какой вид использовать криптомапы распространенный прием
Удачи.