URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15508
[ Назад ]

Исходное сообщение
"GRE туннель между белым и серым адресами "
Отправлено Petek , 12-Фев-08 21:07

Доброго времени суток.
Помогите новичку.
Задача такая: есть три Cisco877 подключенных к инету, на одной белый IP в центральном офисе, остальные находятся за NATом одного провайдера. Оба маршрутизатора в удаленных офисах имеют серые, но постоянные IP из разных подсетей.
Хочется поднять GRE туннели между центральным офисом и удаленными.
Допустим X.X.X.X - белый ип центрального офиса
10.10.10.0/24 - внутренняя сеть центрального офиса
Y.Y.Y.Y - Nat провайдера
192.168.0.2 - IP удаленного офиса
10.0.0.0/24 - внутренняя сеть удаленного офиса
конфигурация в центральном офисе:
interface Tunnel0
ip address 172.16.0.1 255.255.255.252
keepalive 20 3
tunnel source X.X.X.X
tunnel destination Y.Y.Y.Y
ip route 10.0.0.0 255.255.255.0 172.16.0.2

И в удаленном офисе:
interface Tunnel0
ip address 172.16.0.2 255.255.255.252
keepalive 20 3
tunnel source Y.Y.Y.Y
tunnel destination X.X.X.X
interface FastEthernet4
description ** Internet **
ip address 192.168.0.2 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 10.10.10.0 255.255.255.0 172.16.0.1

Вопросы:
1. Возможна ли вообще такая схема? А если я добавлю еще один тунель в ЦО с таким же самым destination, как они смогут разделиться на NATe провайдера?
2. Правильно ли я проставляю sourse/destination?
3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?

Долго искал на форуме и cisco.com, но нашел информацию только по созданию IPsec туннелей.... Но ведь и такая схема может работать?

Содержание

GRE туннель между белым и серым адресами ,CrAzOiD, 21:36 , 12-Фев-08
- GRE туннель между белым и серым адресами ,Petek, 21:44 , 12-Фев-08
GRE туннель между белым и серым адресами ,KostyaK, 06:46 , 13-Фев-08
- GRE туннель между белым и серым адресами ,CrAzOiD, 10:51 , 13-Фев-08
  - GRE туннель между белым и серым адресами ,KostyaK, 11:02 , 13-Фев-08
GRE туннель между белым и серым адресами ,Ярослав Росомахо, 12:10 , 13-Фев-08
- GRE туннель между белым и серым адресами ,Ярослав Росомахо, 12:12 , 13-Фев-08
  - GRE туннель между белым и серым адресами ,Petek, 14:30 , 13-Фев-08
    - GRE туннель между белым и серым адресами ,Ярослав Росомахо, 14:38 , 13-Фев-08
      - GRE туннель между белым и серым адресами ,Petek, 15:30 , 13-Фев-08
        
        GRE туннель между белым и серым адресами ,Ярослав Росомахо, 16:28 , 13-Фев-08
        
        GRE туннель между белым и серым адресами ,Petek, 18:32 , 13-Фев-08
        
        GRE туннель между белым и серым адресами ,Ярослав Росомахо, 11:06 , 14-Фев-08
        
        GRE туннель между белым и серым адресами ,Petek, 14:14 , 19-Фев-08
        
        GRE туннель между белым и серым адресами ,Ярослав Росомахо, 16:48 , 19-Фев-08
        GRE туннель между белым и серым адресами ,WinniePooh, 13:45 , 18-Мрт-09
GRE туннель между белым и серым адресами ,Cta1kep, 19:43 , 18-Фев-08
- GRE туннель между белым и серым адресами ,Petek, 14:12 , 19-Фев-08
GRE туннель между белым и серым адресами ,Cta1kep, 19:43 , 18-Фев-08

Сообщения в этом обсуждении

"GRE туннель между белым и серым адресами "
Отправлено CrAzOiD , 12-Фев-08 21:36

>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?
в качестве tunnel source в филиале и tunnel destination в центре серый адрес?
что-то я не вижу причины этому туннелю подниматься.
Поднимайте crypto map без tunnel
Easy VPN Server в центр
Easy VPN Remote в удаленные офисы
провайдеры должны открыть UDP/500 UDP/4500

"GRE туннель между белым и серым адресами "
Отправлено Petek , 12-Фев-08 21:44

>[оверквотинг удален]
>>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>>
>>
>>
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>в качестве tunnel source в филиале и tunnel destination в центре серый
>адрес?
>что-то я не вижу причины этому туннелю подниматься.
нет, я ставил белый адрес NATa провайдера, но это тоже вызывало сильные сомнения...
>
>Поднимайте crypto map без tunnel
>Easy VPN Server в центр
>Easy VPN Remote в удаленные офисы
>
>провайдеры должны открыть UDP/500 UDP/4500
Спасибо за ответ, буду работать в этом направлении :)

"GRE туннель между белым и серым адресами "
Отправлено KostyaK , 13-Фев-08 06:46

DMVPN & NHRP вам в руки...
http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
http://www.cisco.com/en/US/docs/ios/security/configuration/g...

"GRE туннель между белым и серым адресами "
Отправлено CrAzOiD , 13-Фев-08 10:51

>DMVPN & NHRP вам в руки...
>http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>http://www.cisco.com/en/US/docs/ios/security/configuration/g...
поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые для DMVPN & NHRP ?

"GRE туннель между белым и серым адресами "
Отправлено KostyaK , 13-Фев-08 11:02

>>DMVPN & NHRP вам в руки...
>поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые
>для DMVPN & NHRP ?
>
В каком месте непонятно????
HUB (Central office):
---------------------
interface Tunnel0
  ip address 10.0.0.1 255.255.255.0
  ip nhrp authentication test
  ip nhrp map multicast dynamic
  ip nhrp network-id 100000
  tunnel source Ethernet0
  tunnel mode gre multipoint
  tunnel key 100000
  tunnel protection ipsec profile vpnprof
!
Spokes (branch):
---------------
interface Tunnel0
  ip address 10.0.0.<n+1> 255.255.255.0
  ip nhrp authentication test
  ip nhrp map 10.0.0.1 172.17.0.1
  ip nhrp network-id 100000
  ip nhrp nhs 10.0.0.1
  tunnel source Ethernet0
  tunnel destination 172.17.0.1
  tunnel key 100000
!

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 12:10

На удаленном сайте:
crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2
crypto isakmp key BIGSECRET addr X.X.X.X
crypto ipsec trans 3DES_MD5 esp-3des esp-md5
ip access-list e SPOKE
permit gre host 192.168.0.2 host X.X.X.X
crypto map VPN 10 ipsec-isakmp
match addr SPOKE
set peer X.X.X.X
set trans SPOKE
int fa4
crypto map VPN
int tu0
ip address 172.16.0.2 255.255.255.0
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination X.X.X.X
На центральном сайте:
crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2
crypto isakmp key BIGSECRET addr 0.0.0.0 0.0.0.0
crypto ipsec trans 3DES_MD5 esp-3des esp-md5
crypto dynamic-map DYNAMIC 10
set trans 3DES_MD5
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
int <внешний интерфейс с адресом X.X.X.X>
crypto map VPN
int tu0
tunnel mode gre m
ip address 172.16.0.1 255.255.255.0
keepalive 20 3
tunnel source X.X.X.X
Провайдерам ничего открывать не надо. Встроенный в IPSec Nat-T вас спасет.
Как-то так...

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 12:12

Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set trans 3DES_MD5"

"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 14:30

>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>trans 3DES_MD5"
Спасибо.
Попробовал предложенный вариант.
Но пока туннели не поднимаются.....
в логах на удаленном хосте
%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 14:38

>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>trans 3DES_MD5"
>
>Спасибо.
>Попробовал предложенный вариант.
>Но пока туннели не поднимаются.....
>в логах на удаленном хосте
>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х
Покажите ваши show run

"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 15:30

>>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>>trans 3DES_MD5"
>>
>>Спасибо.
>>Попробовал предложенный вариант.
>>Но пока туннели не поднимаются.....
>>в логах на удаленном хосте
>>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х
>
>Покажите ваши show run
удаленный (за NATом)
Building configuration...
Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.252
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end
Центральный маршрутизатор:
Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.252
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
!
interface Tunnel12
ip address 172.16.1.49 255.255.255.252
keepalive 20 3
tunnel source FastEthernet4
tunnel destination Z.Z.Z.Z
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 16:28

А вот как надо было:
удаленный (за NATом)
Building configuration...
Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.0
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp map 172.16.1.45 X.X.X.X
ip nhrp network-id 1
ip nhrp holdtime 60
ip nhrp nhs 172.16.1.45
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end

Центральный маршрутизатор:
Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.0
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp network-id 1
ip nhrp holdtime 60
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end

После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear ip nhrp на обоих устройствах.

"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 18:32

>
>После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear
>ip nhrp на обоих устройствах.
Не выходит....
опять та же ошибка на удаленном маршрутизаторе:
%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at X.X.X.X
Tunnel0 is up, line protocol is down
  Hardware is Tunnel
  Description: ** VRN **
  Internet address is 172.16.1.46/30
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive set (20 sec), retries 3
  Tunnel source 192.168.2.18, destination X.X.X.X
  Tunnel protocol/transport GRE/IP
    Key 0x1, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255
  Fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input never, output 00:43:51, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 623
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     164 packets output, 9060 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
HOSTNAME#sh ip nhrp
172.16.1.45/32 via 172.16.1.45, Tunnel0 created 01:50:45, never expire
  Type: static, Flags: authoritative
  NBMA address: X.X.X.X

HOSTNAME#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
X.X.X.X        192.168.2.18    MM_NO_STATE          0    0 ACTIVE
X.X.X.X        192.168.2.18    MM_NO_STATE          0    0 ACTIVE (deleted)
IPv6 Crypto ISAKMP SA
Даже не знаю где еще ковырять.....

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 14-Фев-08 11:06

Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, debug crypto ipsec
Перед debug сделайте clear crypto isakmp и clear crypto sa с двух сторон.

"GRE туннель между белым и серым адресами "
Отправлено Petek , 19-Фев-08 14:14

>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>debug crypto ipsec
>
>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>сторон.
Спасибо огромное! Все получилось. Просто недосмотрел....
Теперь все заработало!
Последняя конфигурация полностью рабочая.

"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 19-Фев-08 16:48

>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.
Раз помочь.
Основная проблема со всеми этими isakmp-ipsecами - очень много строк в конфигурации и очень много различных фаз и согласований между устройствами. Легко ошибиться.

"GRE туннель между белым и серым адресами "
Отправлено WinniePooh , 18-Мрт-09 13:45

>>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>>debug crypto ipsec
>>
>>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>>сторон.
>
>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.
А в чем была проблема? У меня такая же ошибка появляется при попытке подключения iPhone к 2821.

"GRE туннель между белым и серым адресами "
Отправлено Cta1kep , 18-Фев-08 19:43

>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?
Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офиса
У тебя одинаковые локальные сети на двух концах.

"GRE туннель между белым и серым адресами "
Отправлено Petek , 19-Фев-08 14:12

>[оверквотинг удален]
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>Как предположение
>>10.10.10.0/24 - внутренняя сеть центрального офиса
>>Y.Y.Y.Y - Nat провайдера
>>192.168.0.2 - IP удаленного офиса
>>10.0.0.0/24 - внутренняя сеть удаленного офиса
>
>У тебя одинаковые локальные сети на двух концах.
Да нет. сети разные. Но это уже не важно, все получилось!

"GRE туннель между белым и серым адресами "
Отправлено Cta1kep , 18-Фев-08 19:43

>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?
Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офиса
У тебя одинаковые локальные сети на двух концах.