URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19625
[ Назад ]

Исходное сообщение
"GRE+IP sec"
Отправлено kastet , 15-Сен-09 19:45

Добрый вечер, столкнулся с проблемой :)
был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках.
как понять в чем проблема?
офис1

router1#sh run
Building configuration...

Current configuration : 2436 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
no ip subnet-zero
no ip source-route
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
username admin privilege 15 secret 5 ххххххххххххххххххххххх
!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.153.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.153.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.152.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link
ip address 81.94.143.хх 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.0.230 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.143.хх
ip route 192.168.1.0 255.255.255.0 Tunnel0
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
no scheduler allocate
end

офис2


router2#sh run
Building configuration...Current configuration : 1984 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router2
!
boot-start-marker
boot-end-marker
!
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
!
!
ip cef
no ip domain lookup
!
!
!
username admin privilege 15 password 7 ххххххххххххххххххххххх
!
!
!
crypto isakmp policy 30
 hash md5
 authentication pre-share
crypto isakmp key superpassword address 81.94.143.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
 mode transport
!
crypto map CM 10 ipsec-isakmp
 set peer 81.94.143.хх
 set transform-set TSZT
 match address 101
!
!
!
interface Tunnel0
 ip address 192.168.100.2 255.255.255.252
 ip mtu 1400
 ip virtual-reassembly
 tunnel source FastEthernet4
 tunnel destination 81.94.143.хх
 tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description Link Astel telecom
 ip address 81.94.153.хх 255.255.255.248
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map CM
!
interface Vlan1
 description Link LAN
 ip address 192.168.1.231 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.153.хх
ip route 192.168.0.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 81.94.153.хх host 81.94.143.хх
!
control-plane
!
!
line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

заранее спасибо за любой ответ

пс раньше провайдер был через выделеную линию а теперь черз адсл модем.

Содержание

GRE+IP sec,bmonk, 08:00 , 16-Сен-09
GRE+IP sec,Stell, 10:16 , 16-Сен-09
- GRE+IP sec,mario, 10:31 , 16-Сен-09
- GRE+IP sec,Stell, 10:48 , 16-Сен-09
- GRE+IP sec,kastet, 11:35 , 16-Сен-09
  - GRE+IP sec,Stell, 13:25 , 16-Сен-09
    - GRE+IP sec,Stell, 13:31 , 16-Сен-09
  - GRE+IP sec,bmonk, 13:15 , 17-Сен-09

Сообщения в этом обсуждении

"GRE+IP sec"
Отправлено bmonk , 16-Сен-09 08:00

>пс раньше провайдер был через выделеную линию а теперь черз адсл
>модем.
а дебаг что говорит?
конфиг вроде нормальный

"GRE+IP sec"
Отправлено Stell , 16-Сен-09 10:16

Router1:
>crypto isakmp key superpassword address 81.94.153.хх no-xauth
>
>crypto map CM 10 ipsec-isakmp
> set peer 81.94.153.хх
...
>
>interface Tunnel0
>...
> tunnel destination 81.94.152.хх
> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
Адрес в tunnel destination - это реальный конфиг, или опечатка?

"GRE+IP sec"
Отправлено mario , 16-Сен-09 10:31

>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?
перепутали айпи походу.

"GRE+IP sec"
Отправлено Stell , 16-Сен-09 10:48

А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:
crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac
mode transport
crypto ipsec profile GREIPSEC
set transform-set aes-sha-transport
interface Tunnel3
tunnel source xxx
tunnel destination xxx
tunnel protection ipsec profile GREIPSEC
Суть та же, а конфиг компактнее и нагляднее.
Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.

"GRE+IP sec"
Отправлено kastet , 16-Сен-09 11:35

>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?
Спасибо большое, реальная опечатка)) Только работать не стало после этого:)
От пинга ответы идут не понятные
router1#ping 192.168.1.231Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...

"GRE+IP sec"
Отправлено Stell , 16-Сен-09 13:25

> no ip classless
А вот это вам зачем?!
sh crypto isakmp sa
sh crypto ipsec sa
debug ip icmp
debug crypto isakmp

"GRE+IP sec"
Отправлено Stell , 16-Сен-09 13:31

> no ip subnet-zero
Это тоже абсолютно лишнее!

"GRE+IP sec"
Отправлено bmonk , 17-Сен-09 13:15

>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда
>пакеты уходят...
debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся