URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17581
[ Назад ]

Исходное сообщение
"Easy VPN Remote пинги с самой циски"

Отправлено sash555 , 14-Ноя-08 09:23 
Всем здравствуйте!
Следующая проблема есть 2811 с Easy VPN Server. Один из интерфейсов смотрит в интернет с реальным IP. Есть 871 с Easy VPN Remote в доп. офисе один из интерфейсов которой опять же смотрит в Инет с реальным ip. Трафик ходит из удаленной подсети в подсеть центрального офиса и обратно. Но есть маленький затык. С 871 из CLI не возможно пропинговать ни одну машину в центральном офисе. Куда копать не ясно. Пробовал отлавливать все ICMP пакеты на всех интерфейсах на 2811. Ничего не поймал. Из этого сделал вывод что они туда не доходят и проблема в 871. Поэтому привожу её конфиг:

Building configuration...
Current configuration : 5296 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname blabla
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 52000
enable secret 5 blabla
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-193625654
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-193625654
revocation-check none
rsakeypair TP-self-signed-193625654
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
!
crypto pki certificate chain TP-self-signed-193625654
certificate self-signed 01
  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  5D081291 C1DD2229 28F6D67D B1F8A2FA 19FF24AF B02B5BAF DA0F7828 30FEC74A
  B4EEE836 847A4B65 3C9D315C 682B771A C791BECB 82275907 F9350F5B 22913155
  C9E4EBFD 49EEE11F 88AF0366 74694CBE F826D763 2600D4CB E4F150A5 E89A8FBF
  02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
  11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F
  0603551D 23041830 16801410 25E3B88C 2A322353 EC79D3D0 6F1191CC C0599330
  1D060355 1D0E0416 04141025 E3B88C2A 322353EC 79D3D06F 1191CCC0 5993300D
  06092A86 4886F70D 01010405 00038181 0030EBBA 9C7CC7C6 CC21B6CD 09665518
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31393336 32353635 34301E17 0D303230 33303130 30303733
  385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3139 33363235
  36353430 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  A3244A2A B13080F4 B4058515 977ACD7B 0C4C9CC0 579A9350 1F472941 144D7CCB
  DD8664DA D9BC014A 716B6AFA F634BD55 13C2908B DF1FFB5E 1CCC7CDB 8F710397
  3D295753 114A961F 065A45D8 4A15BF3B 7C378E11 C0DDA860 482A0F88 0D60C4EE
  DB910593 97240993 2B0FA209 BD917735 B429470E A21384B3 03BF8F6F CE51C02C
  2E919BA6 E861718F 80D2AA47 29D234A1 57
      quit
crypto pki certificate chain tti
dot11 syslog
no ip source-route
ip cef
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name blabla
!
multilink bundle-name authenticated
!
!
username adm privilege 15 secret 5 blabla
!
crypto isakmp keepalive 30 20 periodic
!
!
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group blabla1 key blabla1
mode network-extension
peer 212.152.XXX.XXX
peer 83.102.XXX.XXX
virtual-interface 1
username blabla2 password blabla2
xauth userid mode local
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
ip address 83.102.XXX.XXX 255.255.255.240
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
interface Virtual-Template1 type tunnel
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.8.115.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 83.102.YYY.YY 2 permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 1 remark Auto generated by SDM Management Access feature
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 192.8.0.0 0.0.255.255
access-list 101 remark Auto generated by SDM Management Access feature
access-list 101 remark SDM_ACL Category=1
access-list 101 permit ip 192.8.0.0 0.0.255.255 any
no cdp run
!
!
!
!
control-plane
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 101 in
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Жду помощи. Спасибо.


Содержание

Сообщения в этом обсуждении
"Easy VPN Remote пинги с самой циски"
Отправлено sh_ , 14-Ноя-08 10:35 
А когда пингуете, source адрес указываете?

"Easy VPN Remote пинги с самой циски"
Отправлено sash555 , 14-Ноя-08 11:08 
>А когда пингуете, source адрес указываете?

Нет.


"Easy VPN Remote пинги с самой циски"
Отправлено sash555 , 14-Ноя-08 14:31 
Если указать внутренний IP кошки в команде ping то пакеты действительно проходят.

ping 192.8.101.5 source 192.8.115.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.8.101.5, timeout is 2 seconds:
Packet sent with a source address of 192.8.115.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/12 ms

но я думал что она в состоянии принять решение, как маршрутизить пакет исходя из таблицы маршрутизации

obninsk#sh ip rou
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     83.0.0.0/28 is subnetted, 1 subnets
C       83.102.XXX.XX is directly connected, FastEthernet4
C    192.8.115.0/24 is directly connected, Vlan1
     212.152.XX.0/32 is subnetted, 1 subnets
S       212.152.XX.XXX [1/0] via 83.102.XXX.XX
S*   0.0.0.0/0 [1/0] via 0.0.0.0, Virtual-Access2

Если нет, то ещё вопрос, допустим нужно отсылать на Syslog сервер сообщения с этой кошки, сервер нах-ся в сети центрального офиса, как быть? Подскажите хотя бы куда копать?


"Easy VPN Remote пинги с самой циски"
Отправлено sh_ , 14-Ноя-08 16:07 

>но я думал что она в состоянии принять решение, как маршрутизить пакет
>исходя из таблицы маршрутизации

Так и происходит.


Для логов используйте logging source-interface


"Easy VPN Remote пинги с самой циски"
Отправлено sash555 , 14-Ноя-08 16:56 
Спасибо за помощь!