URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17537
[ Назад ]

Исходное сообщение
"Проблема с Ipseс мужду 1841 и 3825"
Отправлено manoff , 10-Ноя-08 07:17

Уважемые гуру, просьба подтолкнуть в нужную сторону ибо сломан уже мозг
Значит имеет ферму серверов citrix в сети 192.168.3.0 за 1841 с белым IP XXX.XXX.XXX.XXX
Цитата:
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, R
ELEASE SOFTWARE (fc2)
к которой поджключаются как VPN клиенты, что отлично работает так и несколько site-2-site (D-link DIR-330 и т.п., а так-же ASA)
В новом недавно построенном здании Временно, пока ехало оборудование, установили еще один Dir-330, настроил site-2-site с головным сеть 192.168.9.0 внешний белый YYY.YYY.YYY.YYY)
Вот часть конфы по данному тунелю с 1841-й Цитата:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ********* address YYY.YYY.YYY.YYY no-xauth
crypto isakmp keepalive 90 periodic
no crypto isakmp ccm
crypto isakmp xauth timeout 15
crypto ipsec transform-set ushakova esp-3des
crypto map CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map CMAP_1 client configuration address respond
crypto map CMAP_1 1 ipsec-isakmp
description Tunnel to YYY.YYY.YYY.YYY
set peer YYY.YYY.YYY.YYY
set transform-set ushakova
set pfs group2
match address 111
interface FastEthernet0/1
description OUT
ip address XXX.XXX.XXX.XXX 255.255.255.252
ip access-group 102 in
ip verify unicast reverse-path
ip nbar protocol-discovery
ip inspect SDM_LOW out
ip flow ingress
ip flow egress
ip ips sdm_ips_rule out
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
crypto map CMAP_1
access-list 111 remark VPN_ACL Category=4
access-list 111 remark IPSec Rule
access-list 111 permit ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255
Все пакеты ходят как надо, приложения летают.
А теперь переходим к самому интересному.
Пришла к нам его величество 3825
Цитата:
Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(22)T,
RELEASE SOFTWARE (fc1)
куски конфы
Цитата:
crypto isakmp policy 2
encr 3des
group 2
crypto isakmp key ********** address XXX.XXX.XXX.XXX no-xauth
crypto ipsec transform-set popova esp-3des
crypto map CMAP_1 1 ipsec-isakmp
description Tunnel to XXX.XXX.XXX.XXX
set peer XXX.XXX.XXX.XXX
set transform-set popova
match address 103
interface GigabitEthernet0/1
description OUT
ip address YYY.YYY.YYY.YYY 255.255.255.252
ip access-group 105 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
crypto map CMAP_1
access-list 103 remark VPN_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255

Тунель поднимается, хосты пингуются, сетевое окружение работает. RDP и тот без проблем, но непонятным образом перестает нормально работать citrix. Подключаемся через ICA файл. netstat -a показывает established с 1494 портом, но статус подключение выполняется у citrix висит секунд 20 и заканчивается успешным подключением только у позьзователей с административными правами. При этом если подключение увенчалось успехом, то все летает. Telnet на 1494 порт подключается без проблем. Плюс обратили внимание что дольше чем в случае использования dir-330 открываются в сетевом окружении хосты на другой стороне тунеля. Отсюда возникает мысль, что 3825 либо не все, что необходимо заворачивает в тунель (вопрос что ) ), либо, что еще более вероятно что-то из траффика не пускает в обратку.
Плюс в догонку вопрос по acl inbound на внешнем интерфейсе 3825 возник
Цитата:
access-list 105 permit icmp any host YYY.YYY.YYY.YYY
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 443
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 4443
access-list 105 permit udp any host YYY.YYY.YYY.YYY eq non500-isakmp
access-list 105 permit udp any host YYY.YYY.YYY.YYY eq isakmp
access-list 105 permit esp any host YYY.YYY.YYY.YYY
access-list 105 permit ahp any host YYY.YYY.YYY.YYY
access-list 105 remark Auto NTP (123) time.windows.com
access-list 105 permit udp host 207.46.197.32 eq ntp host YYY.YYY.YYY.YYY eq ntp
access-list 105 remark IPSec Rule
access-list 105 permit ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 105 remark Radmin
access-list 105 permit tcp any host yyy.yyy.yyy.yyy eq 4899
access-list 105 remark WWW
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq www
access-list 105 remark ftp
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq ftp
access-list 105 remark pop3
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq pop3
access-list 105 remark smtp
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq smtp
access-list 105 remark citrix www
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 8080
access-list 105 remark citrix
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 1494
access-list 105 remark WebMail
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 3000
access-list 105 deny ip 192.0.0.0 0.255.255.255 any
access-list 105 deny ip 10.0.0.0 0.255.255.255 any
access-list 105 deny ip 172.16.0.0 0.15.255.255 any
access-list 105 deny ip 192.168.0.0 0.0.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
access-list 105 deny ip host 0.0.0.0 any
access-list 105 deny ip host 255.255.255.255 any
в таком виде по неясным мне пока причинам пропадает траффик наружу, при том что больше ничего не денаил Цитата:
access-list 105 permit ip any YYY.YYY.YYY.YYY log

спасает, но это ведь не выход.
Прошу высказаться всех сочувствующих, любые мысли пригодятся, заранее спасибо

Содержание

Проблема с Ipseс мужду 1841 и 3825,manoff, 11:25 , 10-Ноя-08
Проблема с Ipseс мужду 1841 и 3825,sh_, 12:21 , 10-Ноя-08
- Проблема с Ipseс мужду 1841 и 3825,manoff, 12:35 , 10-Ноя-08
  - Проблема с Ipseс мужду 1841 и 3825,sh_, 14:50 , 10-Ноя-08
    - Проблема с Ipseс мужду 1841 и 3825,manoff, 08:23 , 11-Ноя-08
      - Проблема с Ipseс мужду 1841 и 3825,sh_, 09:52 , 11-Ноя-08
        
        Проблема с Ipseс мужду 1841 и 3825,manoff, 07:16 , 12-Ноя-08

Сообщения в этом обсуждении

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено manoff , 10-Ноя-08 11:25

с первой половиной ответ найден
crypto ipsec df-bit clear волшебная команда :)
По второму вопросу высказываемся господа.

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено sh_ , 10-Ноя-08 12:21

А не пробовали в конце access-list 105 permit ip an an делать?

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено manoff , 10-Ноя-08 12:35

>А не пробовали в конце access-list 105 permit ip an an делать?
>
Читайте пожалуйста внимательней, даже с access-list 105 permit ip an YYY.YYY.YYY.YYY
начинает работать

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено sh_ , 10-Ноя-08 14:50

>>А не пробовали в конце access-list 105 permit ip an an делать?
>>
>
>Читайте пожалуйста внимательней, даже с access-list 105 permit ip an YYY.YYY.YYY.YYY
>начинает работать
Тады я не понимаю. Можно поподробнее чего добиться хотите? У вас есть ACL, который запрещает трафик. Менять его вы не хотите, но нужно чтобы трафик проходил?

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено manoff , 11-Ноя-08 08:23

В общем проблему объяснил не до конца, за что извиняюсь
Хочу обеспечить доступ пользователям в инет. Пробую завернуть через reflect acl

Ткните пож-ста носом где накосячил
Extended IP access list inlist
    10 permit icmp any host XXX.XXX.XXX.XXX
    20 permit tcp any host XXX.XXX.XXX.XXX  eq 443
    30 permit tcp any host XXX.XXX.XXX.XXX  eq 4443
    40 permit udp any host XXX.XXX.XXX.XXX  eq non500-isakmp
    50 permit udp any host XXX.XXX.XXX.XXX  eq isakmp
    60 permit esp any host XXX.XXX.XXX.XXX
    70 permit ahp any host XXX.XXX.XXX.XXX
    80 permit udp host 207.46.197.32 eq ntp host 94.25.6.38 eq ntp
    90 permit ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255
    100 permit tcp any host XXX.XXX.XXX.XXX  eq 4899
    110 permit tcp any host XXX.XXX.XXX.XXX  eq www
    120 permit tcp any host XXX.XXX.XXX.XXX  eq ftp
    130 permit tcp any host XXX.XXX.XXX.XXX  eq pop3
    140 permit tcp any host XXX.XXX.XXX.XXX  eq smtp
    150 permit tcp any host XXX.XXX.XXX.XXX  eq 8080
    160 permit tcp any host XXX.XXX.XXX.XXX eq 1494
    180 deny ip 192.0.0.0 0.255.255.255 any
    190 deny ip 10.0.0.0 0.255.255.255 any
    200 deny ip 172.16.0.0 0.15.255.255 any
    210 deny ip 192.168.0.0 0.0.255.255 any
    220 deny ip 127.0.0.0 0.255.255.255 any
    230 deny ip host 0.0.0.0 any
    240 deny ip host 255.255.255.255 any
    250 evaluate tmplist
    260 deny ip any any log
Extended IP access list outlist
    5 permit ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255
    10 permit tcp any any reflect tmplist
Приматываю их к GI0/0
на вход и на выход соотвественно
Инет - ходит, но падает site-2-site :( и не продебагить нормально :(

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено sh_ , 11-Ноя-08 09:52

В outlist и inlist разрешите прохождение IP адресов L2L туннеля.
Типа
5 permit ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255
7 permit ip host YYY.YYY.YYY.YYY host XXX.XXX.XXX.XXX
10 permit tcp any any reflect tmplist

"Проблема с Ipseс мужду 1841 и 3825"
Отправлено manoff , 12-Ноя-08 07:16

>В outlist и inlist разрешите прохождение IP адресов L2L туннеля.
>Типа
>5 permit ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255
>7 permit ip host YYY.YYY.YYY.YYY host XXX.XXX.XXX.XXX
>10 permit tcp any any reflect tmplist
Разрешил в аутлисте 20 permit ip any any
Завелось.