Уважаемые форумчане. Имеется 3 роутера c1841 в центральном офисе c871 в одном филиале, c831 в другом филиале. В c1841 два провайдера, один для интернета, второй для VPN. Были до этого настроены 2 IPSEC туннеля типа точка-точка соответственно с1841->c871 c1841->c831 со статическим роутингом. Решил перейти на GRE-туннели с динамической маршрутизацией на RIP. Создал пока без шифрования. Туннели поднялись, но в подсети 192.168.1.0 пингуются теперь только 2 хоста, на обычном IPSEC пинговались все. Пробовал использовать статическую маршрутизацию, тоже самое. Проблема соответственно между c1841 и c831. У кого какие мысли и какую часть (части, весь) конфиг приводить?
Давайте все конфиги, а там разберемся...
>Давайте все конфиги, а там разберемся...Центральная циска c1841, криптокарты пока не задействованы
Current configuration : 6292 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HOSTNAME
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 PASSWORD
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
ip flow-cache timeout active 1
ip name-server NS-1-ISP-1
ip name-server NS-2-ISP-2
ip sla 1
icmp-echo GW-ISP-2 source-interface FastEthernet1
timeout 2000
frequency 3
ip sla schedule 1 life forever start-time now
!
!
crypto pki trustpoint TP-self-signed-507021174
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-507021174
revocation-check none
rsakeypair TP-self-signed-507021174
!
!
crypto pki certificate chain TP-self-signed-507021174
certificate self-signed 01
30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 35303730 32313137 34301E17 0D303831 31313331 31353735
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3530 37303231
31373430 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
CBF98BCA 558C8FA9 69B9435E 41ADDEC7 3E26DE76 C098A3E7 7C0DA9AE 1FCDC84B
C8A2008A 37EFADB3 AC57056B 3A7871C5 1FD806F5 4E596D6B 23019FBD 1C6930F2
8CB6D9EC 27B87972 262103B4 F324809C 91C96DAE A8431098 CC6CB967 03932719
32CB200A EF16CC8D F9FE23EC F45ADD97 190E5A71 407B65B8 36B6DB28 F03E9D59
02030100 01A36D30 6B300F06 03551D13 0101FF04 05300301 01FF3018 0603551D
11041130 0F820D76 6D2D6D73 6B2D6F66 66696365 301F0603 551D2304 18301680
148351EE F7CAE5E5 82B1EF92 AA88FDF5 BF000AF6 7F301D06 03551D0E 04160414
8351EEF7 CAE5E582 B1EF92AA 88FDF5BF 000AF67F 300D0609 2A864886 F70D0101
04050003 818100C8 15C41BA9 3E737E16 2F26E98A 5B78A778 6EDCB780 0BB5E284
947D91E3 95A962DB 61B862CD D6B5E8FF 2160E679 254E8D87 48E782BC 2CA710CC
283B3EA0 F31F9510 4D5D489E AE16189B 9EED176F F6920166 AA27B68D 75A86ADB
CFCA5486 12699F24 0FBF9D28 CBA3ED50 5F4979D6 2FFCA9BD 90BE28C0 4D6F1BB1
92D26FBF 14456A
quit
username LOGIN privilege 15 password 0 PASSWORD
!
!
track 1 rtr 1 reachability
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3des_trans esp-3des esp-sha-hmac
mode transport
!
!
crypto map mapvpn 10 ipsec-isakmp
set peer IP-FILIAL-1
set transform-set 3des_trans
match address 110
crypto map mapvpn 20 ipsec-isakmp
set peer IP-FILIAL-2
set transform-set 3des_trans
match address 120
!
!
!
!
interface Tunnel1
description TUNNEL TO FILIAL-2
ip address 192.168.30.5 255.255.255.252
ip mtu 1300
delay 1000
tunnel source FastEthernet1
tunnel destination IP-FILIAL-2
tunnel path-mtu-discovery
!
interface Tunnel0
description TUNEL TO FILIAL-1
ip address 192.168.30.1 255.255.255.252
ip mtu 1300
delay 1000
tunnel source FastEthernet1
tunnel destination IP-FILIAL-1
tunnel path-mtu-discovery
!
interface FastEthernet0
description WAN Interface for NAT
ip address IP-ISP-1 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec df-bit clear
!
interface FastEthernet1
description WAN Interface for VPN
ip address IP-ISP-2 255.255.255.252
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet2
description GW-192.168.0.1
switchport access vlan 2
!
interface FastEthernet3
!
interface FastEthernet4
switchport access vlan 3
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
no ip address
!
interface Vlan2
description GW-VLAN-192.168.0.1
ip address 192.168.0.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
interface Async1
no ip address
encapsulation slip
!
router rip
version 2
passive-interface FastEthernet0
passive-interface FastEthernet1
network 192.168.0.0
network 192.168.30.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 GW-ISP-1
!
ip flow-export version 9
ip flow-export destination 192.168.0.5 9996
!
no ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 100 interface FastEthernet0 overload
ip nat inside source static tcp 192.168.0.10 25 IP-ISP-1 25 extendable
ip nat inside source static tcp 192.168.0.10 80 IP-ISP-1 80 extendable
ip nat inside source static tcp 192.168.0.10 110 IP-ISP-1 110 extendable
ip nat inside source static tcp 192.168.0.10 143 IP-ISP-1 143 extendable
ip nat inside source static tcp 192.168.0.10 443 IP-ISP-1 443 extendable
ip nat inside source static tcp 192.168.0.10 465 IP-ISP-1 465 extendable
ip nat inside source static tcp 192.168.0.10 587 IP-ISP-1 587 extendable
ip nat inside source static tcp 192.168.0.10 993 IP-ISP-1 993 extendable
ip nat inside source static tcp 192.168.0.10 995 IP-ISP-1 995 extendable
ip nat inside source static tcp 192.168.0.10 3389 IP-ISP-1 3389 extendable
!
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip host 192.168.0.5 any
access-list 100 permit ip host 192.168.0.10 any
access-list 100 permit tcp host 192.168.0.14 any eq www
access-list 100 permit tcp host 192.168.0.14 any eq 443
access-list 100 permit tcp host 192.168.0.15 any eq www
access-list 100 permit tcp host 192.168.0.15 any eq 443
access-list 100 permit ip host 192.168.0.19 any
access-list 100 permit ip host 192.168.0.20 any
access-list 100 permit ip host 192.168.0.21 any
access-list 100 permit ip host 192.168.0.35 any
access-list 100 permit tcp 192.168.0.0 0.0.0.255 any eq 3389
access-list 110 permit gre host IP-ISP-2 host IP-FILIAL-1
access-list 120 permit gre host IP-ISP-2 host IP-FILIAL-2
!
!
!
!
!
!
control-plane
!
!
line con 0
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
password PASSWORD
login
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
endsh hard
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T7, RELEASE SOFTWARE (fc5)
Филиал 1 c831Current configuration : 2410 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HOSTNAME
!
boot-start-marker
boot-end-marker
!
enable secret 5 PASSWORD
!
no aaa new-model
!
resource policy
!
!
!
ip cef
no ip domain lookup
ip name-server FILIAL-1-ISP-NS
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 3
!
!
crypto ipsec transform-set 3des_trans esp-3des esp-sha-hmac
mode transport
!
crypto map mapsigon 10 ipsec-isakmp
set peer IP-ISP-2
set transform-set 3des_trans
match address 110
!
!
!
interface Tunnel0
description Main tunnel to office
ip address 192.168.30.2 255.255.255.252
ip mtu 1300
delay 1000
tunnel source Ethernet1
tunnel destination IP-ISP-2
tunnel path-mtu-discovery
crypto map mapsigon
!
interface Ethernet0
description LAN Interface 192.168.1.1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Ethernet1
description WAN Int
ip address IP-FILIAL-1 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
router rip
version 2
passive-interface Ethernet1
network 192.168.1.0
network 192.168.30.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 GW-FILIAL-1
no ip http server
no ip http secure-server
!
ip nat inside source list 100 interface Ethernet1 overload
ip nat inside source static tcp 192.168.1.9 3389 IP-FILIAL-1 3389 extendable
!
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip host 192.168.1.5 any
access-list 100 permit ip host 192.168.1.16 any
access-list 100 permit ip host 192.168.1.17 any
access-list 100 permit ip host 192.168.1.21 any
access-list 110 permit gre host IP-FILIAL-1 host IP-ISP-2
!
control-plane
!
!
line con 0
password PASSWORD
login
no modem enable
line aux 0
line vty 0 4
exec-timeout 120 0
password PASSWORD
login
length 0
!
scheduler max-task-time 5000
endsh hard
Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)
Уберите crypto map mapsigon из второго конфига... А туннели поднимаются?
>Уберите crypto map mapsigon из второго конфига... А туннели поднимаются?Извиняюсь за задержку, там где удаленная циска, что-то делали и связь пропала :-).
Убрал, ничего не поменялось. Тунели поднимаються но как-то странно работают, как я писал в начале, пингуються только 2 хоста из подсети 192.168.1.0 когда делаешь пинг из центрального офиса, хотя в предыдущей конфигурации пинговались все. Вот вывод:
c831:
sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.41 45 000e.a6b2.1595 ARPA Ethernet0
Internet 192.168.1.44 39 00e0.7da5.6cba ARPA Ethernet0
Internet 192.168.1.33 1 0016.17ce.54c9 ARPA Ethernet0
Internet 192.168.1.32 0 000c.6ed7.0d7f ARPA Ethernet0
Internet 192.168.1.34 65 0019.db86.4dd5 ARPA Ethernet0
Internet 192.168.1.37 29 0019.dbab.d5be ARPA Ethernet0
Internet 192.168.1.36 19 0019.dbaa.f344 ARPA Ethernet0
Internet 192.168.1.9 0 001b.7839.4de0 ARPA Ethernet0
Internet 192.168.1.1 - 0019.2fb7.e9c8 ARPA Ethernet0
Internet 192.168.1.5 0 0004.23c7.7078 ARPA Ethernet0
Internet 192.168.1.25 0 0021.5ad4.2a90 ARPA Ethernet0
Internet 192.168.1.27 28 000c.6ed2.da8b ARPA Ethernet0
Internet 192.168.1.26 54 0019.db86.4de2 ARPA Ethernet0
Internet 192.168.1.29 46 0019.db87.3eff ARPA Ethernet0
Internet 192.168.1.28 88 0080.4819.696d ARPA Ethernet0
Internet 192.168.1.31 99 0019.db25.b0dd ARPA Ethernet0
Internet 192.168.1.30 74 00e0.7dc2.84e9 ARPA Ethernet0
Internet 192.168.1.17 20 000e.a6b2.154f ARPA Ethernet0
Internet 192.168.1.21 71 0013.20bd.d825 ARPA Ethernet0ping 192.168.1.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 msping 192.168.1.17
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.17, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 msc1841:
ping 192.168.1.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/46/48 ms
ping 192.168.1.17Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.17, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)Вот такой бред.
Может поменять иос на более новый?
А на 192.168.1.17 шлюз по умолчанию правильно прописан?
>А на 192.168.1.17 шлюз по умолчанию правильно прописан?Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не пингуется с c1841. Там шлюз прописан правильно. Но когда я на на него залез по RDP и попинговал 192.168.0.10, все отлично, но когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32, то он не пингуеться. Куда дальше копать?
>>А на 192.168.1.17 шлюз по умолчанию правильно прописан?
>
>Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не
>пингуется с c1841. Там шлюз прописан правильно. Но когда я на
>на него залез по RDP и попинговал 192.168.0.10, все отлично, но
>когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32,
>то он не пингуеться. Куда дальше копать?Копать в сторону отключения брэндмауэра в винде...
>>>А на 192.168.1.17 шлюз по умолчанию правильно прописан?
>>
>>Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не
>>пингуется с c1841. Там шлюз прописан правильно. Но когда я на
>>на него залез по RDP и попинговал 192.168.0.10, все отлично, но
>>когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32,
>>то он не пингуеться. Куда дальше копать?
>
>Копать в сторону отключения брэндмауэра в винде...Отключено, даже драйвера залез поменял, результат такой же.
>>>А на 192.168.1.17 шлюз по умолчанию правильно прописан?
>>
>>Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не
>>пингуется с c1841. Там шлюз прописан правильно. Но когда я на
>>на него залез по RDP и попинговал 192.168.0.10, все отлично, но
>>когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32,
>>то он не пингуеться. Куда дальше копать?
>
>Копать в сторону отключения брэндмауэра в винде...Ладно, с этим разобрался, оказался виноват касперский, всю жизнь портил :-)
Вопрос номер 2, пытаюсь вешать криптоммэпы на интерфейсы, все сразу отрубается, снимаю, все нормально, где ошибка?c831:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3des_trans esp-3des esp-sha-hmac
mode transport
!
crypto map mapvpn 10 ipsec-isakmp
set peer IP-ISP-2
set transform-set 3des_trans
match address 110access-list 110 permit gre host IP-FILIAL-1 host IP-ISP-2
с1841:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3des_trans esp-3des esp-sha-hmac
mode transport
!
!
crypto map mapvpn 10 ipsec-isakmp
set peer IP-FILIAL-1
set transform-set 3des_trans
match address 110
crypto map mapvpn 20 ipsec-isakmp
set peer IP-FILIAL-2
set transform-set 3des_trans
match address 120access-list 110 permit gre host IP-ISP-2 host IP-FILIAL-1
access-list 120 permit gre host IP-ISP-2 host IP-FILIAL-2Пытаюсь повесить данные криптокарты на внешние интерфейсы, шифрованный тунель поднимаеться и тишина, добавляю их так же на туннельные интерфейсы, то же самое. Оставляю только на туннельных интерфейсах, тоже не работает.
Куда смотреть?