Добрый вечер, столкнулся с проблемой :)
был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках.
как понять в чем проблема?
офис1
router1#sh run
Building configuration...Current configuration : 2436 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
no ip subnet-zero
no ip source-route
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
username admin privilege 15 secret 5 ххххххххххххххххххххххх
!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.153.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.153.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.152.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link
ip address 81.94.143.хх 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.0.230 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.143.хх
ip route 192.168.1.0 255.255.255.0 Tunnel0
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
no scheduler allocate
endофис2
router2#sh run
Building configuration...Current configuration : 1984 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router2
!
boot-start-marker
boot-end-marker
!
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
!
!
ip cef
no ip domain lookup
!
!
!
username admin privilege 15 password 7 ххххххххххххххххххххххх!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.143.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.143.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.2 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.143.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link Astel telecom
ip address 81.94.153.хх 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.1.231 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.153.хх
ip route 192.168.0.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 81.94.153.хх host 81.94.143.хх
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
заранее спасибо за любой ответпс раньше провайдер был через выделеную линию а теперь черз адсл модем.
>пс раньше провайдер был через выделеную линию а теперь черз адсл
>модем.а дебаг что говорит?
конфиг вроде нормальный
Router1:
>crypto isakmp key superpassword address 81.94.153.хх no-xauth
>
>crypto map CM 10 ipsec-isakmp
> set peer 81.94.153.хх...
>
>interface Tunnel0
>...
> tunnel destination 81.94.152.хх
> access-list 101 permit gre host 81.94.143.хх host 81.94.153.ххАдрес в tunnel destination - это реальный конфиг, или опечатка?
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?перепутали айпи походу.
А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac
mode transportcrypto ipsec profile GREIPSEC
set transform-set aes-sha-transportinterface Tunnel3
tunnel source xxx
tunnel destination xxx
tunnel protection ipsec profile GREIPSECСуть та же, а конфиг компактнее и нагляднее.
Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?Спасибо большое, реальная опечатка)) Только работать не стало после этого:)
От пинга ответы идут не понятныеПодскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...
router1#ping 192.168.1.231Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
> no ip classlessА вот это вам зачем?!
sh crypto isakmp sa
sh crypto ipsec sadebug ip icmp
debug crypto isakmp
> no ip subnet-zeroЭто тоже абсолютно лишнее!
>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда
debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся