URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17917
[ Назад ]
Исходное сообщение
"reverse-route в IpSec"
Отправлено www_tank , 24-Дек-08 09:02 
имеется рабочий туннель IpSec до филиала на multyhome с2801. т.к. провайдера два, в сторону филиала написан статический маршрут по сети резервного повайдера.
у филиала нет постоянного ip, приходится за этим статическим маршрутом следить.

нашлась такая технология как reverse route injection у циски.
добавляю в
crypto dynamic-map IPSEC-DYNMAP 10
set transform-set TSET-SITES
set isakmp-profile SITES-PROFILE
reverse-route remote-peer х.х.х.21
последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30

по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен написать
reverse-route enable и начать добавлять маршруты....

вот это и не работает.... int tunnel yy shutdown не помогает.
как бы ipsec передернуть?

Содержание
Сообщения в этом обсуждении
"reverse-route в IpSec"
Отправлено AlexDv , 24-Дек-08 11:27 
>[оверквотинг удален]
> set isakmp-profile SITES-PROFILE
> reverse-route remote-peer х.х.х.21
>последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30
>
>по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен
>написать
>reverse-route enable и начать добавлять маршруты....
>
>вот это и не работает.... int tunnel yy shutdown не помогает.
>как бы ipsec передернуть?

clea crypto isakmp XXX , где XXX connection id of SA

"reverse-route в IpSec"
Отправлено www_tank , 24-Дек-08 12:21 
>clea crypto isakmp XXX , где XXX connection id of SA

спасибо, что откликнулись.
sh cry isakmp sa показывает пусто, sh cry map без изменений, туннель как жил так и живет


"reverse-route в IpSec"
Отправлено www_tank , 24-Дек-08 13:00 
после удаления и привязки политики к интерфейсу в sh cry map появилось reverse-route enable
а вот маршрутов не создает никаких, даже если убрать статический(о котором в начале поста гвориться)


"reverse-route в IpSec"
Отправлено AlexDv , 24-Дек-08 15:27 
>после удаления и привязки политики к интерфейсу в sh cry map появилось
>reverse-route enable
>а вот маршрутов не создает никаких, даже если убрать статический(о котором в
>начале поста гвориться)

Если sh cry is sa ничего не показывает - значит данный пир неактивен, ничего  и не должно быть.

"reverse-route в IpSec"
Отправлено www_tank , 24-Дек-08 16:22 
>Если sh cry is sa ничего не показывает - значит данный пир
>неактивен, ничего  и не должно быть.

после того как политику не фейсе передернули, sh cry is sa  показывает sa.
полиси и профиль в одном экземпляре и по идее должно отрабатывать.
склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в книжке полнофункционально RRJ рассматривается для 12.4(15)

"reverse-route в IpSec"
Отправлено AlexDv , 24-Дек-08 18:03 
>>Если sh cry is sa ничего не показывает - значит данный пир
>>неактивен, ничего  и не должно быть.
>
>после того как политику не фейсе передернули, sh cry is sa  
>показывает sa.
>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>книжке полнофункционально RRJ рассматривается для 12.4(15)

Я это еще на 12.3 использовал. Работало.

"reverse-route в IpSec"
Отправлено www_tank , 25-Дек-08 12:41 
>>>Если sh cry is sa ничего не показывает - значит данный пир
>>>неактивен, ничего  и не должно быть.
>>
>>после того как политику не фейсе передернули, sh cry is sa  
>>показывает sa.
>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>
>Я это еще на 12.3 использовал. Работало.

а можно конфиг сюда или на www_tank@rambler.ru?

"reverse-route в IpSec"
Отправлено AlexDv , 25-Дек-08 13:25 
>[оверквотинг удален]
>>>
>>>после того как политику не фейсе передернули, sh cry is sa  
>>>показывает sa.
>>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>>
>>Я это еще на 12.3 использовал. Работало.
>
>а можно конфиг сюда или на www_tank@rambler.ru?

Все то-же самое, но без set isakmp-profile .

А с профайлом видимо надо ИОС обновлять:
Previously RRI was available for crypto map configurations only. Cisco IOS Release 12.4(15)T
introduces support for relevant RRI options on IPsec profiles that are predominantly used for virtual
tunnel interfaces. On tunnel interfaces, only the distance metric and tag options are useful with the
generic RRI capability.

"reverse-route в IpSec"
Отправлено www_tank , 28-Дек-08 17:23 
IOS обновился, добавилась куча команд, но...
RRJ заработал, только не как надо. он добавляет маршрут в удаленную сеть, типа такой:
ip route 192.168.x.x 255.255.255.0 x.x.x.21
такой и так уже рукаим сделан и никогда не меняется. мне бы такой:
ip route a.a.a.a 255.255.255.255 x.x.x.21
(a.a.a.a белый адрес удаленного хоста, обратившегося за IPSEC
x.x.x.21 линк резервного провайдера)

думаю, может на event manager applet что-нибудь сделать. повесить например на событие:
syslog "%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr" тока как потом для action получить адрес ломящегося удаленного хоста???

"reverse-route в IpSec"
Отправлено Nick.spb , 27-Янв-11 12:33 
Здравствуйте.
Пропишите в криптокарте просто "reverse-route static", т.к. у вас Ip-адрес пира постоянно меняется:

crypto dynamic-map IPSEC-DYNMAP 10
set transform-set TSET-SITES
set isakmp-profile SITES-PROFILE
reverse-route static


Чтобы маршруты пришли, сбросьте туннель к-дой clear crypto session и инициируйте поднятие туннеля заново. И будет вам счастье.