URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19625
[ Назад ]

Исходное сообщение
"GRE+IP sec"

Отправлено kastet , 15-Сен-09 19:45 
Добрый вечер, столкнулся с проблемой :)
был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках.
как понять в чем проблема?
офис1

router1#sh run
Building configuration...

Current configuration : 2436 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
no ip subnet-zero
no ip source-route
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
username admin privilege 15 secret 5 ххххххххххххххххххххххх
!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.153.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.153.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.152.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link
ip address 81.94.143.хх 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.0.230 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.143.хх
ip route 192.168.1.0 255.255.255.0 Tunnel0
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
no scheduler allocate
end

офис2


router2#sh run
Building configuration...

Current configuration : 1984 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router2
!
boot-start-marker
boot-end-marker
!
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
!
!
ip cef
no ip domain lookup
!
!
!
username admin privilege 15 password 7 ххххххххххххххххххххххх

!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.143.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.143.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.2 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.143.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link Astel telecom
ip address 81.94.153.хх 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.1.231 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.153.хх
ip route 192.168.0.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 81.94.153.хх host 81.94.143.хх
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end


заранее спасибо за любой ответ

пс раньше провайдер  был через выделеную линию а теперь черз адсл модем.


Содержание

Сообщения в этом обсуждении
"GRE+IP sec"
Отправлено bmonk , 16-Сен-09 08:00 
>пс раньше провайдер  был через выделеную линию а теперь черз адсл
>модем.

а дебаг что говорит?
конфиг вроде нормальный


"GRE+IP sec"
Отправлено Stell , 16-Сен-09 10:16 
Router1:
>crypto isakmp key superpassword address 81.94.153.хх no-xauth
>
>crypto map CM 10 ipsec-isakmp
> set peer 81.94.153.хх

...
>
>interface Tunnel0
>...
> tunnel destination 81.94.152.хх
> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх

Адрес в tunnel destination - это реальный конфиг, или опечатка?


"GRE+IP sec"
Отправлено mario , 16-Сен-09 10:31 
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?

перепутали айпи походу.


"GRE+IP sec"
Отправлено Stell , 16-Сен-09 10:48 
А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:

crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac
mode transport

crypto ipsec profile GREIPSEC
set transform-set aes-sha-transport

interface Tunnel3
tunnel source xxx
tunnel destination xxx
tunnel protection ipsec profile GREIPSEC

Суть та же, а конфиг компактнее и нагляднее.
Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.


"GRE+IP sec"
Отправлено kastet , 16-Сен-09 11:35 
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?

Спасибо большое, реальная опечатка)) Только работать не стало после этого:)
От пинга ответы идут не понятные


router1#ping 192.168.1.231

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)

Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...



"GRE+IP sec"
Отправлено Stell , 16-Сен-09 13:25 
> no ip classless

А вот это вам зачем?!

sh crypto isakmp sa
sh crypto ipsec sa

debug ip icmp
debug crypto isakmp


"GRE+IP sec"
Отправлено Stell , 16-Сен-09 13:31 
> no ip subnet-zero

Это тоже абсолютно лишнее!


"GRE+IP sec"
Отправлено bmonk , 17-Сен-09 13:15 

>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда

>пакеты уходят...

debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся