URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19896
[ Назад ]

Исходное сообщение
"Резервный интерфейс для VPN - помогите разобраться"

Отправлено SpaceCow , 26-Окт-09 09:18 
Есть центральный маршрутизатор Cisco 2811 в офисе с двумя внешними интерфейсами, к нему по VPN на один из интерфейсов коннектятся Cisco 851 филиалов.

Задача: сделать так, чтобы при падении канала на одном из внешних интерфейсов циски филиалов автоматически начали соединяться на второй.

Переключение интерфейсов на центральном маршрутизаторе, вроде, настроено. На клиентских цисках прописал вторым set peer адрес резервного интерфейса. Дергаю из центральной циски провод из первого интерфейса - второй интерфейс начинает отвечать на пинги, но клиенты законнектиться не могут. Что не так?

Конфиг основного роутера:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname MainOffice
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
!
ip cef
!
ip tftp source-interface Vlan1
ip domain name salespress.ru
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
ip sla monitor 1
type echo protocol ipIcmpEcho 213.234.195.177 source-interface FastEthernet0/0
timeout 2000
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 78.40.108.41 source-interface FastEthernet0/1
timeout 2000
frequency 3
ip sla monitor schedule 2 life forever start-time now
!
{пропущено: сертификат, пароли}
!
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key seils_open address 81.88.209.243
{...и повторяется для каждого филиала}
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
{...и повторяется для каждого филиала}
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 81.88.209.243
set peer 81.88.209.243
set transform-set ESP-3DES-SHA2
match address 104
{...и повторяется для каждого филиала}
!
!
!
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ES_LAN$$FW_OUTSIDE$$ETH-LAN$
ip address 213.234.195.189 255.255.255.240
ip access-group 102 in
ip verify unicast reverse-path
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface FastEthernet0/1
description $FW_INSIDE$$ETH-WAN$
ip address 78.40.108.45 255.255.255.248
ip access-group 102 in
ip verify unicast reverse-path
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
ip address 192.168.0.22 255.255.254.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 213.234.195.177 50 track 1
ip route 0.0.0.0 0.0.0.0 78.40.108.41 100 track 2
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
!
{тут идут ACL, если надо - покажу}
!
route-map SDM_RMAP_1 permit 1
match ip address 103
set ip next-hop verify-availability 213.234.195.177 10 track 1
set ip next-hop verify-availability 78.40.108.41 20 track 2
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Конфиг клиентской циски (в филиале):

!
version 12.4
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Magazin
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
!
no aaa new-model
!
resource policy
!
clock timezone MSK 4
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
!
!
ip cef
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
ip tftp source-interface Vlan1
no ip domain lookup
ip domain name yourdomain.com
!
{сертификаты, пароли}
!
archive
log config
  hidekeys
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key our_key address 213.234.195.189
crypto isakmp key our_key address 78.40.108.45
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 213.234.195.189
set peer 78.40.108.45
set peer 213.234.195.189
set transform-set ESP-3DES-SHA
match address 100
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ETH-WAN$
ip address 94.79.41.6 255.255.255.248
ip access-group 103 in
ip verify unicast reverse-path
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 192.168.24.100 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 94.79.41.1 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
{ACL пропущены, если надо - покажу}
!
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 101
!
control-plane
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
ntp logging
ntp clock-period 17174983
ntp source Vlan1
ntp server 192.168.0.5
end


Содержание

Сообщения в этом обсуждении
"Резервный интерфейс для VPN - помогите разобраться"
Отправлено GolDi , 26-Окт-09 12:14 
>[оверквотинг удален]
> privilege level 15
> login local
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>ntp logging
>ntp clock-period 17174983
>ntp source Vlan1
>ntp server 192.168.0.5
>end

Вот посмотрите:
http://www.opennet.me/openforum/vsluhforumID6/17409.html


"Резервный интерфейс для VPN - помогите разобраться"
Отправлено SpaceCow , 26-Окт-09 13:49 
>Вот посмотрите:
>http://www.opennet.me/openforum/vsluhforumID6/17409.html

Посмотрел - не понял. Мне нужно, чтобы один интерфейс был основным, а второй поднимался для VPN в случае отказа первого. У них там явно как-то иначе реализовано.


"Резервный интерфейс для VPN - помогите разобраться"
Отправлено Myxa , 26-Окт-09 14:19 
>Посмотрел - не понял. Мне нужно, чтобы один интерфейс был основным, а
>второй поднимался для VPN в случае отказа первого. У них там
>явно как-то иначе реализовано.

А еще вариант: IPSec привязывать не к физическим интерфейсам, а к VTI (Virtual Tunnelling Interface)


"Резервный интерфейс для VPN - помогите разобраться"
Отправлено SpaceCow , 27-Окт-09 09:17 
>А еще вариант: IPSec привязывать не к физическим интерфейсам, а к VTI

Про эту технологию вообще не слышал, если есть конкретный пример, то можно попробовать...

...

Пытаюсь разбираться со своим конфигом. Дернул первый интерфейс из основной циски (FastEthernet0/0, 213.234.195.189), смотрю, что происходит на клиентской:

#ping 78.40.108.45

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 78.40.108.45, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms

Значит, резервный интерфейс она видит и он доступен! Но не переключается:

#show crypto session
Crypto session current status

Interface: FastEthernet4
Session status: UP-NO-IKE
Peer: 213.234.195.189 port 500
  IPSEC FLOW: permit ip 192.168.24.0/255.255.255.0 192.168.0.0/255.255.254.0
        Active SAs: 2, origin: crypto map

Interface: FastEthernet4
Session status: DOWN
Peer: 78.40.108.45 port 500
  IPSEC FLOW: permit 1 192.168.24.0/255.255.255.0 192.168.0.0/255.255.254.0
        Active SAs: 0, origin: crypto map

Как выяснить, что мешает? Куда копать?