Доброго времени суток.
Помогите новичку.
Задача такая: есть три Cisco877 подключенных к инету, на одной белый IP в центральном офисе, остальные находятся за NATом одного провайдера. Оба маршрутизатора в удаленных офисах имеют серые, но постоянные IP из разных подсетей.
Хочется поднять GRE туннели между центральным офисом и удаленными.Допустим X.X.X.X - белый ип центрального офиса
10.10.10.0/24 - внутренняя сеть центрального офиса
Y.Y.Y.Y - Nat провайдера
192.168.0.2 - IP удаленного офиса
10.0.0.0/24 - внутренняя сеть удаленного офисаконфигурация в центральном офисе:
interface Tunnel0
ip address 172.16.0.1 255.255.255.252
keepalive 20 3
tunnel source X.X.X.X
tunnel destination Y.Y.Y.Yip route 10.0.0.0 255.255.255.0 172.16.0.2
И в удаленном офисе:interface Tunnel0
ip address 172.16.0.2 255.255.255.252
keepalive 20 3
tunnel source Y.Y.Y.Y
tunnel destination X.X.X.Xinterface FastEthernet4
description ** Internet **
ip address 192.168.0.2 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed autoip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 10.10.10.0 255.255.255.0 172.16.0.1
Вопросы:
1. Возможна ли вообще такая схема? А если я добавлю еще один тунель в ЦО с таким же самым destination, как они смогут разделиться на NATe провайдера?
2. Правильно ли я проставляю sourse/destination?
3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
Долго искал на форуме и cisco.com, но нашел информацию только по созданию IPsec туннелей.... Но ведь и такая схема может работать?
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?в качестве tunnel source в филиале и tunnel destination в центре серый адрес?
что-то я не вижу причины этому туннелю подниматься.Поднимайте crypto map без tunnel
Easy VPN Server в центр
Easy VPN Remote в удаленные офисыпровайдеры должны открыть UDP/500 UDP/4500
>[оверквотинг удален]
>>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>>
>>
>>
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>в качестве tunnel source в филиале и tunnel destination в центре серый
>адрес?
>что-то я не вижу причины этому туннелю подниматься.нет, я ставил белый адрес NATa провайдера, но это тоже вызывало сильные сомнения...
>
>Поднимайте crypto map без tunnel
>Easy VPN Server в центр
>Easy VPN Remote в удаленные офисы
>
>провайдеры должны открыть UDP/500 UDP/4500Спасибо за ответ, буду работать в этом направлении :)
DMVPN & NHRP вам в руки...
http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
http://www.cisco.com/en/US/docs/ios/security/configuration/g...
>DMVPN & NHRP вам в руки...
>http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>http://www.cisco.com/en/US/docs/ios/security/configuration/g...поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые для DMVPN & NHRP ?
>>DMVPN & NHRP вам в руки...
>поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые
>для DMVPN & NHRP ?
>В каком месте непонятно????
HUB (Central office):
---------------------
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 100000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
!Spokes (branch):
---------------
interface Tunnel0
ip address 10.0.0.<n+1> 255.255.255.0
ip nhrp authentication test
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp network-id 100000
ip nhrp nhs 10.0.0.1
tunnel source Ethernet0
tunnel destination 172.17.0.1
tunnel key 100000
!
На удаленном сайте:crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2crypto isakmp key BIGSECRET addr X.X.X.X
crypto ipsec trans 3DES_MD5 esp-3des esp-md5
ip access-list e SPOKE
permit gre host 192.168.0.2 host X.X.X.Xcrypto map VPN 10 ipsec-isakmp
match addr SPOKE
set peer X.X.X.X
set trans SPOKEint fa4
crypto map VPNint tu0
ip address 172.16.0.2 255.255.255.0
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination X.X.X.XНа центральном сайте:
crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2crypto isakmp key BIGSECRET addr 0.0.0.0 0.0.0.0
crypto ipsec trans 3DES_MD5 esp-3des esp-md5
crypto dynamic-map DYNAMIC 10
set trans 3DES_MD5crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
int <внешний интерфейс с адресом X.X.X.X>
crypto map VPNint tu0
tunnel mode gre m
ip address 172.16.0.1 255.255.255.0
keepalive 20 3
tunnel source X.X.X.XПровайдерам ничего открывать не надо. Встроенный в IPSec Nat-T вас спасет.
Как-то так...
Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set trans 3DES_MD5"
>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>trans 3DES_MD5"Спасибо.
Попробовал предложенный вариант.
Но пока туннели не поднимаются.....
в логах на удаленном хосте
%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х
>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>trans 3DES_MD5"
>
>Спасибо.
>Попробовал предложенный вариант.
>Но пока туннели не поднимаются.....
>в логах на удаленном хосте
>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.ХПокажите ваши show run
>>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>>trans 3DES_MD5"
>>
>>Спасибо.
>>Попробовал предложенный вариант.
>>Но пока туннели не поднимаются.....
>>в логах на удаленном хосте
>>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х
>
>Покажите ваши show runудаленный (за NATом)
Building configuration...
Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.252
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
endЦентральный маршрутизатор:
Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.252
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
!
interface Tunnel12
ip address 172.16.1.49 255.255.255.252
keepalive 20 3
tunnel source FastEthernet4
tunnel destination Z.Z.Z.Z
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end
А вот как надо было:удаленный (за NATом)
Building configuration...
Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.0
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp map 172.16.1.45 X.X.X.X
ip nhrp network-id 1
ip nhrp holdtime 60
ip nhrp nhs 172.16.1.45
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end
Центральный маршрутизатор:Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.0
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp network-id 1
ip nhrp holdtime 60
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end
После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear ip nhrp на обоих устройствах.
>
>После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear
>ip nhrp на обоих устройствах.Не выходит....
опять та же ошибка на удаленном маршрутизаторе:%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at X.X.X.X
Tunnel0 is up, line protocol is down
Hardware is Tunnel
Description: ** VRN **
Internet address is 172.16.1.46/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (20 sec), retries 3
Tunnel source 192.168.2.18, destination X.X.X.X
Tunnel protocol/transport GRE/IP
Key 0x1, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input never, output 00:43:51, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 623
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
164 packets output, 9060 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped outHOSTNAME#sh ip nhrp
172.16.1.45/32 via 172.16.1.45, Tunnel0 created 01:50:45, never expire
Type: static, Flags: authoritative
NBMA address: X.X.X.X
HOSTNAME#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
X.X.X.X 192.168.2.18 MM_NO_STATE 0 0 ACTIVE
X.X.X.X 192.168.2.18 MM_NO_STATE 0 0 ACTIVE (deleted)IPv6 Crypto ISAKMP SA
Даже не знаю где еще ковырять.....
Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, debug crypto ipsecПеред debug сделайте clear crypto isakmp и clear crypto sa с двух сторон.
>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>debug crypto ipsec
>
>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>сторон.Спасибо огромное! Все получилось. Просто недосмотрел....
Теперь все заработало!Последняя конфигурация полностью рабочая.
>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.Раз помочь.
Основная проблема со всеми этими isakmp-ipsecами - очень много строк в конфигурации и очень много различных фаз и согласований между устройствами. Легко ошибиться.
>>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>>debug crypto ipsec
>>
>>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>>сторон.
>
>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.А в чем была проблема? У меня такая же ошибка появляется при попытке подключения iPhone к 2821.
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офисаУ тебя одинаковые локальные сети на двух концах.
>[оверквотинг удален]
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>Как предположение
>>10.10.10.0/24 - внутренняя сеть центрального офиса
>>Y.Y.Y.Y - Nat провайдера
>>192.168.0.2 - IP удаленного офиса
>>10.0.0.0/24 - внутренняя сеть удаленного офиса
>
>У тебя одинаковые локальные сети на двух концах.Да нет. сети разные. Но это уже не важно, все получилось!
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офисаУ тебя одинаковые локальные сети на двух концах.