URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19064
[ Назад ]

Исходное сообщение
"Не поднимается IPSec"
Отправлено apex , 15-Июн-09 13:35

Здравствуйте!
Подскажите, не поднимается IPSec между маршрутизаторами. Все команды проходят, пинг есть, а трафик не шифруется.
R1-GG#show crypto ipsec sa
interface: FastEthernet1
    Crypto map tag: MAP, local addr 10.10.1.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.255/0/0)
   current_peer 10.10.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.10.1.1, remote crypto endpt.: 10.10.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
Вот конфиг основной циски:
R1-GG#sh run
Building configuration...
Current configuration : 2109 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1-GG
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1
enable password 7 759384340569
!
no aaa new-model
!
dot11 syslog
!
ip cef
!
ip domain name cisco.com
!
multilink bundle-name authenticated
isdn switch-type basic-net3
!
username 1t privilege 15 password 7 011
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86000
crypto isakmp key 5 address 10.10.1.2
!
crypto ipsec transform-set TRAN esp-des esp-md5-hmac
!
crypto map MAP local-address FastEthernet1
crypto map MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set TRAN
match address 101
!
archive
log config
  hidekeys
!
ip ssh version 2
!
interface FastEthernet0
ip address 172.16.1.250 255.255.0.0
speed auto
full-duplex
!
interface FastEthernet1
ip address 10.10.1.1 255.255.255.0
speed auto
full-duplex
crypto map MAP
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn switch-type basic-net3
isdn point-to-point-setup
!
interface FastEthernet2
switchport access vlan 20
!
interface FastEthernet3
switchport access vlan 30
interface Vlan1
no ip address
shutdown
!
interface Vlan20
ip address 10.10.2.1 255.255.255.0
!
interface Vlan30
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.0.254
ip route 192.168.1.0 255.255.255.0 10.10.1.2
ip route 192.168.3.0 255.255.255.0 10.10.2.2
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 172.16.0.0 host 192.168.1.0
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password 7 1302
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end
Вот конфиг циски филиала:
R1-AA#sh run
Building configuration...
Current configuration : 1720 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1-AA
!
boot-start-marker
boot-end-marker
!
enable password 7 01
!
no aaa new-model
!
dot11 syslog
!
ip cef
!
ip domain name cisco.com
!
multilink bundle-name authenticated
!
username 1t privilege 15 password 7 121
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86000
crypto isakmp key 5 address 10.10.1.1
!
crypto ipsec transform-set TRAN esp-des esp-md5-hmac
!
crypto map MAP local-address FastEthernet1
crypto map MAP 10 ipsec-isakmp
set peer 10.10.1.1
set transform-set TRAN
match address 101
!
archive
log config
  hidekeys
!
ip ssh version 2
!
interface FastEthernet0
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1
ip address 10.10.1.2 255.255.255.0
duplex auto
speed auto
crypto map MAP
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
switchport access vlan 20
interface Vlan1
no ip address
!
interface Vlan20
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.0.254
ip route 172.16.0.0 255.255.0.0 10.10.1.1
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 192.168.1.0 host 172.16.0.0
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end
Подскажите, что упустил из виду или настроил не так. Спасибо!

Содержание

Не поднимается IPSec,shadow_alone, 14:00 , 15-Июн-09
- Не поднимается IPSec,apex, 14:30 , 15-Июн-09
  - Не поднимается IPSec,shadow_alone, 14:37 , 15-Июн-09
    - Не поднимается IPSec,apex, 15:02 , 15-Июн-09
      - Не поднимается IPSec,shadow_alone, 15:09 , 15-Июн-09
        
        Не поднимается IPSec,shadow_alone, 15:13 , 15-Июн-09
        Не поднимается IPSec,apex, 16:27 , 15-Июн-09
      - Не поднимается IPSec,zzzzzak, 15:16 , 15-Июн-09
        
        Не поднимается IPSec,apex, 16:31 , 15-Июн-09
        
        Не поднимается IPSec,shadow_alone, 18:13 , 15-Июн-09
        
        Не поднимается IPSec,apex2009, 19:01 , 15-Июн-09
        Не поднимается IPSec,zzzzzak, 23:13 , 15-Июн-09
        
        Не поднимается IPSec,shadow_alone, 23:36 , 15-Июн-09
        
        Не поднимается IPSec,apex, 10:14 , 16-Июн-09
        
        Не поднимается IPSec,shadow_alone, 10:25 , 16-Июн-09
        
        Не поднимается IPSec,apex, 12:16 , 16-Июн-09

Сообщения в этом обсуждении

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 14:00

access-list 101 permit ip host 172.16.0.0 host 192.168.1.0
access-list 101 permit ip host 192.168.1.0 host 172.16.0.0
ГЫ....
подумайте что написали.

"Не поднимается IPSec"
Отправлено apex , 15-Июн-09 14:30

>access-list 101 permit ip host 172.16.0.0 host 192.168.1.0
>
>access-list 101 permit ip host 192.168.1.0 host 172.16.0.0
>
>ГЫ....
>подумайте что написали.
Подумал - нужно было сделать ограничение по IP адресам (в основном офисе несколько сеток и не всем нужно видить филиал). Не все же гуру в цисках. ACL убирал, все равно итог такой же.

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 14:37

нихрена не подумали.
192.168.1.0 - чей это адрес?
172.16.0.0 - а это чей?
адреса реальные пишите, кому и куда положено, столько и правил в этот ACL
ну или сети пишите с маской, без host
и вот это вот не надо
ip route 172.16.0.0 255.255.0.0 10.10.1.1
и на другой стороне не надо

"Не поднимается IPSec"
Отправлено apex , 15-Июн-09 15:02

>нихрена не подумали.
>192.168.1.0 - чей это адрес?
>172.16.0.0  - а это чей?
>адреса реальные пишите, кому и куда положено, столько и правил в этот
>ACL
>ну или сети пишите с маской, без host
>
>и вот это вот не надо
>ip route 172.16.0.0 255.255.0.0 10.10.1.1
>и на другой стороне не надо
Спасибо конечно за доходчивость.
ip route нужен для маршрутизации между интернетом и филиалом. Циска раздается через DHCP как шлюз.
ACL переписал (делаю это всего 3 раз), затем просто исключил.
Но все равно получается вот так:
protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.10.1.1, remote crypto endpt.: 10.10.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1
     current outbound spi: 0x0(0)
Если у Вас есть направление моей ошибке, подскажите. Может все-таки ACL здесь не причем.

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 15:09

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
на другой стороне наоборот
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
ip route не нужен, если вы хотите совет - получите, а не спорьте.
у Вас есть mach address 101
и так завернется все то что указано в 101 ACL
no ip route 192.168.1.0 255.255.255.0 10.10.1.2
no ip route 172.16.0.0 255.255.0.0 10.10.1.1

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 15:13

потом попробуйте из одной сети пингануть другую, с компа комп, а не с рутера
и посмотрите вывод
sh cry isa sa
вы должны увидеть поднятое соединение.

"Не поднимается IPSec"
Отправлено apex , 15-Июн-09 16:27

>[оверквотинг удален]
>
>ip route не нужен, если вы хотите совет - получите, а не
>спорьте.
>
>у Вас есть mach address 101
>и так завернется все то что указано в 101 ACL
>
>no ip route 192.168.1.0 255.255.255.0 10.10.1.2
>
>no ip route 172.16.0.0 255.255.0.0 10.10.1.1
Не я не спорю. Возможно это такая манера общения. Я просто объяснил зачем они были нужны. ACL написал. Маршруты удалил. Пинг пропал. Совсем.

"Не поднимается IPSec"
Отправлено zzzzzak , 15-Июн-09 15:16

192.168.1.0, 172.16.0.0 - в моем понимании это подсети, а ты пишешь хосты.
напиши 101 акл вот так:
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
А если трафик надо фильтровать - то делай это на крипто мапе:
set ip access-group <ИМЯ АКЦЕСС-ЛИСТА> in
и еще маршруты я б написал не через некст-хоп, а через интерфейс вот так:
ip route 192.168.1.0 255.255.255.0 FastEthernet1

"Не поднимается IPSec"
Отправлено apex , 15-Июн-09 16:31

>[оверквотинг удален]
>access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
>
>А если трафик надо фильтровать - то делай это на крипто мапе:
>
>set ip access-group <ИМЯ АКЦЕСС-ЛИСТА> in
>
>и еще маршруты я б написал не через некст-хоп, а через интерфейс
>вот так:
>
>ip route 192.168.1.0 255.255.255.0 FastEthernet1
Спасибо ACL уже подправил.
Маршруты пробую.

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 18:13

ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
автоматом заворот идет по 101 листу.

"Не поднимается IPSec"
Отправлено apex2009 , 15-Июн-09 19:01

>ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
>
>автоматом заворот идет по 101 листу.
Удалил маршруты, совсем. Пропал пинг между хостами.
Т.е. делал пинг от одного хоста к другому, а не с циски.
Просто пробовал варианты с маршрутами.
Сейчас циски без маршрутов. Пинга нет, что делать не знаю???

"Не поднимается IPSec"
Отправлено zzzzzak , 15-Июн-09 23:13

>ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
>
>автоматом заворот идет по 101 листу.
shadow_alone, люди мы внимательные. посмотри на маршрут по умолчанию, он все пакеты будет туда и направлять, и 101 акцесс лист не поможет, я полагаю, хотя... интерфейсы находятся в одной подсети. Но в любом случае, маршрты данные дело не подпортят.
Для траблшутинга совет:
sh cry ses
sh cry ses det
sh access-list 101 - обязятельно посмотри, есть ли попадания в строчки листа.
И, может есть смысл в трасформ-сете алгоритм шифрования поставить тройной des: esp-3des?

"Не поднимается IPSec"
Отправлено shadow_alone , 15-Июн-09 23:36

может вы и люди внимательные.... НО.... дальше не буду даж говорить, буду выражать свой гнев.
Слава Богу здесь есть люди которые не дадут соврать, может даж CCIE есть, а то я не дорос малость, да и не стремлюсь, возраст не тот.
Но ЕСЛИ Я ГОВОРЮ что МАРШРУТЫ НЕ НУЖНЫ, то так оно и есть.
выше я уже говорил, что по ACL всё заворачивается в ipsec.
А если кто-то еще в чем-то сомневается, то я срать хотел на "кого-то".
Вы сами подумайте какую чушь вы порете... хосты в одной подсети
10.10.1.1-2 255.255.255.0

"Не поднимается IPSec"
Отправлено apex , 16-Июн-09 10:14

Слишком, эмоционально. Я конечно же не CCIE и даже не ICND. Но приходится юзать т.к. просто не кому. Вот попробовал сделать вот так:

GRE over IPSEC
Роутер A:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp key 123 address 10.10.1.2
!
crypto ipsec transform-set some_set esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile some_profile
set transform-set some_set
!
interface Tunnel0
ip address 10.10.1.1 255.255.255.0
ip mtu 1500
tunnel source 10.10.1.1
tunnel destination 10.10.1.2
tunnel protection ipsec profile some_profile
ip access-group 101 in
!
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
Роутер B:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp key 123 address 10.10.1.1
!
crypto ipsec transform-set some_set esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile some_profile
set transform-set some_set
!
interface Tunnel0
ip address 10.10.1.2 255.255.255.0
ip mtu 1500
tunnel source 10.10.1.2
tunnel destination 10.10.1.1
tunnel protection ipsec profile some_profile
ip access-group 101 in
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Без ip route не работает. Пинга между хостами нет. Не заворачивается в ACL. С ip route ходит, но не шифруется.

"Не поднимается IPSec"
Отправлено shadow_alone , 16-Июн-09 10:25

если GRE, это совсем другое дело, обязательно route нужно, ибо поднимается интерфейс.
с GRE я описывал уже такое подключение - http://wiki.dodex.org/?p=431
здесь Вам еще надо
access-list 101 permit gre host 10.10.1.2 host 10.10.1.1
попытаюсь еще раз без эмоций:
когда мы имеем match address 101, то все что будет соответствовать 101 ACL будет шифроваться, а значит заворачиваться - то есть route не нужен

"Не поднимается IPSec"
Отправлено apex , 16-Июн-09 12:16

Спасибо за помощь, статья очень интересная.
Сделал как в статье, до шифрования пинги шли, после ходить перестали.
Скорей всего, что-то я не догоняю. (Наверно с ACL, что то не так).
Сделал вот так:
R - A
interface Tunnel10
tunnel source FastEthernet1
tunnel destination 10.10.1.2
ip unnumbered FastEthernet1
!
ip route 192.168.1.0 255.255.255.0 Tunnel10
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.1.2
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1
tunnel source FastEthernet1
tunnel destination 10.10.1.2
!
interface FastEthernet1
ip address 10.10.1.2 255.255.255.0
crypto map cr_outside
!
ip route 192.168.1.0 255.255.255.0 Tunnel10
!
access-list 110 permit gre host 10.10.1.1 host 10.10.1.2
!
R – B
interface Tunnel10
tunnel source FastEthernet1
tunnel destination 10.10.1.1
ip unnumbered FastEthernet1
!
ip route 172.16.0.0 255.255.0.0 Tunnel10
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.1.1
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.1.1
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1
tunnel source FastEthernet1
tunnel destination 10.10.1.1
!
interface FastEthernet1
ip address 10.10.1.1 255.255.255.0
crypto map cr_outside
!
ip route 172.16.0.0 255.255.0.0 Tunnel10
!
access-list 110 permit gre host 10.10.1.2 host 10.10.1.1