URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19562
[ Назад ]

Исходное сообщение
"1841 не пропускает собственный траффик в IPSEC"

Отправлено macho , 02-Сен-09 10:36 
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname oms.c1841
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 warnings
logging console informational
no logging monitor
enable secret 5 $1$N.42$xltv0XaCbzmprb/Y.O9tl0
!
aaa new-model
!
!        
!
aaa session-id common
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.254
ip dhcp excluded-address 192.168.10.3
ip dhcp excluded-address 192.168.10.55
!
ip dhcp pool dhcppool
   import all
   network 192.168.10.0 255.255.255.0
   dns-server 77.*.*.* 77.221.203.2
   default-router 192.168.10.254
   lease 8
!
!
ip flow-cache entries 40960
ip flow-cache timeout inactive 130
ip flow-cache timeout active 20
no ip bootp server
ip domain name 1sk.ru
ip inspect name firewall cuseeme
ip inspect name firewall dns
ip inspect name firewall ftp
ip inspect name firewall h323
ip inspect name firewall https
ip inspect name firewall icmp
ip inspect name firewall imap
ip inspect name firewall pop3
ip inspect name firewall netshow
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall rtsp
ip inspect name firewall esmtp
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall vdolive
!
!
!
username n*** privilege 15 password 7 1317121F041801050617
!
!
ip ssh version 2
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key neytkmgjbynthytne address 83.*.*.*
crypto isakmp keepalive 60 3
!
!
crypto ipsec transform-set fox esp-3des esp-sha-hmac
!
crypto map fox 10 ipsec-isakmp
set peer 83.*.*.*
set transform-set fox
match address 102
!
!
!
interface FastEthernet0/0
description $FW_OUTSIDE$
ip address 77.*.*.* 255.255.255.252
ip access-group 103 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip inspect firewall out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map fox
!
interface FastEthernet0/1
description $FW_INSIDE$
ip address 192.168.10.254 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 77.*.*.*
ip route 172.16.0.0 255.255.0.0 83.*.*.*
!
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 172.16.0.29 9996
!
ip http server
ip http authentication local
no ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/0 overload
!
access-list 100 remark #inside IN#
access-list 100 deny   ip 77.221.209.136 0.0.0.3 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark #NAT#
access-list 101 deny   ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 102 remark #CRYPTO_IN#
access-list 102 permit ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 103 remark #outside IN#
access-list 103 permit udp host 77.*.*.2 eq domain host 77.*.*.*
access-list 103 permit udp host 77.*.*.2 eq domain host 77.*.*.*
access-list 103 permit tcp host 83.*.*.147 host 77.*.*.* eq 22
access-list 103 permit ahp host 83.*.*.* host 77.*.*.*
access-list 103 permit esp host 83.*.*.* host 77.*.*.*
access-list 103 permit udp host 83.*.*.* host 77.*.*.* eq isakmp
access-list 103 permit udp host 83.*.*.* host 77.*.*.* eq non500-isakmp
access-list 103 permit ip 172.16.0.0 0.0.255.255 192.168.10.0 0.0.0.255
access-list 103 deny   ip 192.168.10.0 0.0.0.255 any
access-list 103 permit icmp any host 77.*.*.* echo-reply
access-list 103 permit icmp any host 77.*.*.* time-exceeded
access-list 103 permit icmp any host 77.*.*.* unreachable
access-list 103 deny   ip any any log
snmp-server community public RO
no cdp run
!
route-map nonat permit 10
match ip address 101


Вот вопросы:

1. я не могу собственный трафик роутера докинуть до 2 стороны, отсюда хотябы слить конфу. Пинги не ходят с роутера до PEER.
2. на другой стороне аса стоит, насколько я знаю она ospf может в тунель такого типа пулять ... А 1841 сможет? т.е. чтобы мне не писать статику на ASA на этом маршрутизаторе на 30 городов и не городить full mesh vpn )

Если не решить вопрос 1 , не получится вопрос 2 :)

Ремарка: Точно так же организовал доступ в другом городе, там я поднял PPTP, хоть даже функция скрытая, но трафик отлично идет по тунелю и FLOW и т.д.. Если кто скажет что здесь появился новый интерфейс, то огорчу, при организации dialer на PPPoE трафик роутера не работает по тунелю.


Содержание

Сообщения в этом обсуждении
"1841 не пропускает собственный траффик в IPSEC"
Отправлено Terebok , 02-Сен-09 18:51 
а тоннель поднялся?

"1841 не пропускает собственный траффик в IPSEC"
Отправлено macho , 03-Сен-09 11:51 
>а тоннель поднялся?

конечно,

вобщем то перехожу на mgre... там нет таких проблем