URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18186
[ Назад ]

Исходное сообщение
"DMVPN+PBR"

Отправлено sergey_taurus , 06-Фев-09 07:54 
Здравствуйте коллеги.

Есть 3745 роутер. Ранее на нем вполне нормально работал NAT и DMVPN когда был
всего один Инет канал с дефолтом в него.

Недавно подключили второй канал от другого ISP. Сделал на роутере PBR+IPSLA.
Перестал работать DMVPN. Туннели поднимаются, IEGRP на туннелях работает.
С самого роутера концы туннелей и удаленные сети через туннели пингуются.
Из локалки (за NATом) - нет. Не могу понять в чем напутал. Конфигурация ниже.
fa0/0.1 и fa0/0.2 - принимают каналы от провайдеров. fa0/1 - локалка.
ACL 101 и 102 - листинг юзеров для PBR+NAT (кому в какой канал ходить наружу).
Также настроен PRB локальный для роутинга трафика с самого роутера.

Маршруты все есть:

#sh ip rou eigrp
          172.16.0.0/24 is subnetted, 7 subnets
D 172.16.104.0 [90/297372416] via 172.16.100.4, 16:45:45, Tunnel1
D 172.16.106.0 [90/297372416] via 172.16.100.6, 16:08:26, Tunnel1
D 172.16.107.0 [90/297372416] via 172.16.100.7, 07:07:38, Tunnel1
D 172.16.102.0 [90/297372416] via 172.16.100.2, 10:30:50, Tunnel1
D 172.16.103.0 [90/297372416] via 172.16.100.3, 06:16:54, Tunnel1

Дебаг показывает вот такие странности:

IP: tableid=0, s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), routed via RIB
IP: s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), len 56, sending

Т.е. зачем-то ходят пакет от адреса туннеля на реальник интерфейса ISP1.
Возможно, проблема где-то здесь (в неправильной работе NAT).

Дебаг NAT 172.16.0.0\16 показывает такое:

NAT*: s=192.168.0.102->172.16.100.1, d=172.16.103.254 [17135]

Т.е. прямая трансляция на удаленные сети за туннелями проходит. Обратной трансляции в логах нет.
Сниф на Инет каналах не показывает, чтобы в них ошибочно отправлялись пакеты для 172.16.0.0\16
Т.е. вроде как пакеты корректно НАТятся и отправляются в туннели. Но не работает.
ISAKMP\IPSEC все нормально, peer'ы и sa установлены. С роутера все пингуется. С локалки нет.


Со всеми этими мудреными роутмапами для НАТ overload и static все раньше работало.
До момента подключения второго провайдера и настройки PBR.

AS нет, взять нереально (BGP провайдеры не дают).


В чем может быть дело? Заранее спасибо за ответы.


!
boot system flash:c3745-adventerprisek9-mz.124-12.bin
!
ip sla monitor 1
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.1
  timeout 1000
  frequency 5
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.2
  timeout 1000
  frequency 5
ip sla monitor schedule 2 life forever start-time now
!
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
interface Loopback0
  ip address 172.16.101.254 255.255.255.0
!
interface Tunnel1
  ip address 172.16.100.1 255.255.255.0
  no ip redirects
  ip nat outside
  ip nhrp map multicast dynamic
  ip nhrp network-id 1
  ip nhrp holdtime 60
  ip virtual-reassembly
  tunnel source FastEthernet0/0.1
  tunnel mode gre multipoint
  tunnel key 1
  tunnel protection ipsec profile VTI_IPSEC
!
interface FastEthernet0/0
  no ip address
  ip virtual-reassembly
!
interface FastEthernet0/0.1
  description ISP1_LINK
  encapsulation dot1Q 1111
  ip address x.x.x.x 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/0.2
  description ISP2_LINK
  encapsulation dot1Q 2222
  ip address y.y.y.y 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/1
  ip address 192.168.0.254 255.255.255.0
    ip nat inside
  ip virtual-reassembly
  ip policy route-map RMAP_ISP_GW_SELECT
!
!
router eigrp 100
  passive-interface Loopback0
  network 172.16.100.0 0.0.0.255
  network 172.16.101.0 0.0.0.255
  no auto-summary
!
ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT
!
ip nat inside source route-map RMAP_NAT_ISP1 interface FastEthernet0/0.1 overload
ip nat inside source route-map RMAP_NAT_ISP2 interface FastEthernet0/0.2 overload
ip nat inside source route-map RMAP_NAT_VPN interface Tunnel1 overload
ip nat inside source static 192.168.0.234 x.x.x.x route-map RMAP_NAT_ISP1_STAT
ip nat inside source static 192.168.0.123 172.16.101.123 route-map RMAP_NAT_VPN_STATIC
!
ip access-list extended ACL_NAT_INET
  permit ip host 255.255.255.255 any
  permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended ACL_NAT_ISP1_STATIC
  permit ip host 255.255.255.255 any
  permit ip host 192.168.0.234 any
ip access-list extended ACL_NAT_ISP2_STATIC
  permit ip host 255.255.255.255 any
ip access-list extended ACL_NAT_VPN
  permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended ACL_NAT_VPN_STATIC
  permit ip host 192.168.0.123 any
ip access-list extended ACL_SLA_ISP1
  permit ip x.x.x.x 0.0.0.3 any
ip access-list extended ACL_SLA_ISP2
  permit ip y.y.y.y 0.0.0.3 any
!
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip host 192.168.0.234 any
...
access-list 102 permit ip host 192.168.0.101 any
...
!
route-map RMAP_ISP_GW_SELECT deny 5
  match ip address ACL_NAT_VPN
!
!
route-map RMAP_ISP_GW_SELECT permit 10
  match ip address ACL_NAT_ISP1_STATIC
  set ip next-hop x.x.x.1
!
route-map RMAP_ISP_GW_SELECT permit 20
  match ip address ACL_NAT_ISP2_STATIC
  set ip next-hop y.y.y.1
!
route-map RMAP_ISP_GW_SELECT permit 100
  match ip address 101
  set ip next-hop verify-availability x.x.x.1 10 track 1
  set ip next-hop verify-availability y.y.y.1 20 track 2
!
route-map RMAP_ISP_GW_SELECT permit 200
  match ip address 102
  set ip next-hop verify-availability y.y.y.1 10 track 2
  set ip next-hop verify-availability x.x.x.1 20 track 1
!
route-map RMAP_ISP_GW_SELECT deny 1000
  set interface Null0
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 10
  match ip address ACL_SLA_ISP1
  set ip default next-hop x.x.x.1
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 20
  match ip address ACL_SLA_ISP2
  set ip default next-hop y.y.y.1
!
route-map RMAP_NAT_VPN deny 10
  match ip address ACL_NAT_VPN_STATIC
!
route-map RMAP_NAT_VPN permit 20
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 20
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP2 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.2
!
route-map RMAP_NAT_ISP1 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP1 deny 20
  match ip address ACL_NAT_ISP1_STATIC
!
route-map RMAP_NAT_ISP1 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.1
!
route-map RMAP_NAT_VPN_STATIC permit 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2_STAT permit 10
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP1_STAT permit 10
  match ip address ACL_NAT_ISP1_STATIC


Содержание

Сообщения в этом обсуждении
"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 07:55 
Update:

Собрал сейчас тестовую лабу на dynamips.
Результат такой-же: с самого роутера все пингуется, с локалки - нет.
Выключил шифрование на DMVPN, оставил чистый GRE.

На удивление заработало с локалки. Пакеты теряются, идут ретрансмиты, но кое как работает.
Шифрование включается - все опять не работает

В чем же дело? Что я не так делаю?


"DMVPN+PBR"
Отправлено mario23 , 06-Фев-09 08:51 
>[оверквотинг удален]
>
>Собрал сейчас тестовую лабу на dynamips.
>Результат такой-же: с самого роутера все пингуется, с локалки - нет.
>Выключил шифрование на DMVPN, оставил чистый GRE.
>
>На удивление заработало с локалки. Пакеты теряются, идут ретрансмиты, но кое как
>работает.
>Шифрование включается - все опять не работает
>
>В чем же дело? Что я не так делаю?

mtu укажите поменьше 1500 (погуглите на предмет )


"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 09:09 
>>В чем же дело? Что я не так делаю?
>mtu укажите поменьше 1500 (погуглите на предмет )

Что такое MTU понятно.
Непонятно одно (как я и озвучил) до применения PBR все работало, после - нет.
PBR на MTU никаким боком не влияет, или я не прав?



"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 09:24 
Update

Дальнейшие игры с лабой показали что проблема исчезает при выключении локального PBR.
Т.е. дело в
ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT
Что-то в нем не хватает...


"DMVPN+PBR"
Отправлено mario23 , 06-Фев-09 10:06 
>Update
>
>Дальнейшие игры с лабой показали что проблема исчезает при выключении локального PBR.
>
>Т.е. дело в
>ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT
>Что-то в нем не хватает...

сложно смотреть ваш конфиг выделите все что связанно с даным мапом

set ip default next-hop x.x.x.1 это я так понимаю интрефейс ан циске вашей а не прова шлюз ?


"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 11:10 
>сложно смотреть ваш конфиг выделите все что связанно с даным мапом

ip access-list extended ACL_SLA_ISP1
  permit ip x.x.x.x 0.0.0.3 any
ip access-list extended ACL_SLA_ISP2
  permit ip y.y.y.y 0.0.0.3 any

route-map RMAP_LOCAL_ISP_GW_SELECT permit 10
  match ip address ACL_SLA_ISP1
  set ip default next-hop x.x.x.1
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 20
  match ip address ACL_SLA_ISP2
  set ip default next-hop y.y.y.1

x.x.x.1 и y.y.y.1 - это шлюзы провайдеров

Сейчас еще раз проверил: в описанном варианте с самого роутера все работает, туннели подняты, EIGRP анонсит сети за туннелями, все пингуется. За роутером из локалки - нет.
Сейчас еще раз проверил: как только локальный мап убирается и добавляется просто дефолт, все начинает работать и из локалки.



"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 11:48 
При пингах с локалки получил вот такое:

#debug ip error
IP packet errors debugging is on
IP: s=x.x.x.x (Tunnel1), d=<branch_ext_IP>, len 168, dispose ip.noroute

Т.е. идет пакет с Source fa0/0.1 почему-то через туннель по направлению Dest на адрес внешнего интерфейса удаленного роутера где терминируется конец туннеля.

Такое впечатление, что криптованные пакеты не попадают под локальный PBR
Если добавить статический маршрут на адрес удаленного роутера <branch_ext_IP>, то все работает.


"DMVPN+PBR"
Отправлено sergey_taurus , 06-Фев-09 12:17 
Это оказалось известной багофичей...
Подробности тут:
http://certification.ru/cgi-bin/forum.cgi?action=thread&id=3...

"Гы ;) "
Отправлено j_vw , 09-Фев-09 20:29 
http://www.opennet.me/openforum/vsluhforumID6/18199.html



"DMVPN+PBR"
Отправлено sgv , 09-Апр-09 20:03 
У меня такая же проблема, один в один. Кто то решение нашел?


"DMVPN+PBR"
Отправлено sergey_taurus , 10-Апр-09 07:28 
>У меня такая же проблема, один в один. Кто то решение нашел?

Вариантов решения немного:
1) Если удаленный пиры работают на статике - прописать на них статические маршруты. У меня так заработало.
2) Еще говорят есть какой-то вариант с мудреной конфигурацией VRF...