Организовал ipsec между двумя удаленными офисами (cisco1841). Но есть проблема... Пинги идут между хостами удаленных локалок, но с рутеров не могу пинговать удаленные LAN-ы.
Что я сделал не так?

Пример

Router1
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 6 xxxxx address x.x.x.x

crypto ipsec transform-set xxxxx esp-des esp-md5-hmac
crypto map xxxx 1 ipsec-isakmp
set peer x.x.x.x
set transform-set xxxxx
match address ACEESS (named)
///////////////////////////////////
ip access-list extended ACCESS
permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN)
permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1)
permit ip network (локальная LAN) network (удаленная LAN)
permit ip network (удаленная LAN) network (локальная LAN)

Router2 Аналогичный конфиг.
Не могу пинговать с Ruter1 удаленный LAN хотя из локалки можно...???

• помогите правильно настроить  ipsec !!!,ajaxx, 16:16 , 24-Янв-08
  • помогите правильно настроить  ipsec !!!,tnecr, 13:53 , 25-Янв-08
    • помогите правильно настроить  ipsec !!!,ajaxx, 14:04 , 25-Янв-08
      • помогите правильно настроить  ipsec !!!,tnecr, 14:32 , 25-Янв-08
        • помогите правильно настроить  ipsec !!!,ajaxx, 16:12 , 25-Янв-08
          • помогите правильно настроить  ipsec !!!,dxer, 23:54 , 27-Янв-08

да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, то запросы идут с wan-овского интерфейса и если (я в этом уверен) не настроены должным образом трансляции, то вы и не сможете пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..

>да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов
>роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то
>левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть,
>то запросы идут с wan-овского интерфейса и если (я в этом
>уверен) не настроены должным образом трансляции, то вы и не сможете
>пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то
>пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..

Насколько я понял благодаря IPsec тунэлю который поднят между внутренними сетями удаленных офисов, все пакеты приходящие из внешних интерфейсов (когда я пингую прямо с рутера удаленный LAN) не могут пройти вне тунэля. Для этого я сделал следующее-

R1
permit ip host (удален. внеш. адрес) network (моя LAN)
permit ip network (моя LAN) host (удален. внеш. адрес)

R2
permit ip host (удален. внеш. адрес) network (моя LAN)
permit ip network (моя LAN) host (удален. внеш. адрес)

Нужно ли ставить crypto map на внеш. интерфейсы?

Но я все равно с рутера не вижу удаленной LAN?

>Нужно ли ставить crypto map на внеш. интерфейсы?

извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map не висит на интерфейсах???? надо вешать, ибо без этого вы просто забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать ошибки и неточности..

>>Нужно ли ставить crypto map на внеш. интерфейсы?
>
>извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map
>не висит на интерфейсах???? надо вешать, ибо без этого вы просто
>забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и,
>пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать
>ошибки и неточности..

Прошу прощение за неточность, crypto map-ы конечно есть на WAN интервейсах

Router1
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 6 xxxxx address x.x.x.x

crypto ipsec transform-set xxxxx esp-des esp-md5-hmac
crypto map peace 1 ipsec-isakmp
set peer x.x.x.x
set transform-set xxxxx
match address ACEESS (named)
///////////////////////////////////
ip access-list extended ACCESS
permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN)
permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1)
permit ip network (локальная LAN) network (удаленная LAN)
permit ip network (удаленная LAN) network (локальная LAN)

!
interface FastEthernet0/0 (внутренний)
description to LAN
ip address x.x.x.x
duplex auto
speed auto
!
interface FastEthernet0/1 (внешний)
ip address x.x.x.x
duplex auto
speed auto
crypto map peace

Тунэль работает исправно, я добавил access-list для тунэля между удаленным WAN interface и
локальной LAN. Я удаленно не могу скопировать config на локальный tftp

> локальной LAN. Я удаленно не могу скопировать config на локальный tftp

т.е. вы хотите хотите слить конфиг с цыски? вот вы так и не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены публичные айпишники а вы пытаетесь обратиться с них по tftp во внуреннюю приватную сеть, то вполне естественно, что у вас не получается..

>> локальной LAN. Я удаленно не могу скопировать config на локальный tftp
>
>т.е. вы хотите хотите слить конфиг с цыски? вот вы так и
>не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены
>публичные айпишники а вы пытаетесь обратиться с них по tftp во
>внуреннюю приватную сеть, то вполне естественно, что у вас не получается..
>

ping remote.host.ip.addr source имя_инт_который_смотрит_в_лан
т.е. ip сеть, которая прописана у тебя в ACL для crypto.