URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 201
[ Назад ]
Исходное сообщение
"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 12:10 
Доброго дня.

Просьба помочь советом, мой мозг уже не в состоянии что то понять ))

При попытке пропинговать хост Компании Б туннель не поднимается, в дебагах тишина.
Когда со стороны Компании Б пингуют хост из нашей локальной сети - все сразу начинает работать. Нужные сети (компании Б) в таблице маршрутизации появляются.

Доступ к хостам  нужных подсетей регулируется ACL 106.

Есть такая схема:
                
                    internet
Компания А <======================> Компания Б
          |                        |
          |   <=================>  |
             site to site ipsec VPN

С моей стороны (Компания А), стоит Cisco 3660 (C3660-IK9S-M), Version 12.3(14)T7.

Настройки следующие:

crypto isakmp policy 10
encr 3des
authentication pre-share
group 5
crypto isakmp key @@@@@@@@ address 92.xx.xx.xx
crypto isakmp keepalive 30 periodic
no crypto isakmp ccm
!
!
crypto ipsec transform-set Sxxxxx esp-3des esp-md5-hmac
!
crypto map Sxxxxxx 10 ipsec-isakmp
set peer 92.xx.xx.xx
set transform-set Sxxxxxx
set pfs group2
match address 106
reverse-route

# Сабинтерфейс который смотрит на провайдера

interface FastEthernet0/0.XXX
description Inet
encapsulation dot1Q 325
ip address 88.xx.xx.xx 255.255.255.252
ip access-group 102 in
ip access-group 103 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
no snmp trap link-status
no cdp enable
crypto map Sxxxxxx

# ACL 102 IN

160 permit udp host 92.xx.xx.xx eq isakmp host xx.xx.xx.xx
170 permit udp host 92.xx.xx.xx eq non500-isakmp host 88.xx.xx.xx
180 permit esp host 92.xx.xx.xx host 88.xx.xx.xx

# ACL 103 OUT

10 permit udp host 88.xx.xx.xx eq isakmp host 92.xx.xx.xx
20 permit udp host 88.xx.xx.xx eq non500-isakmp host 92.xx.xx.xx
30 permit esp host 88.xx.xx.xx host 92.xx.xx.xx

# ACL 106

10 permit ip host 10.9.38.49 host 10.75.x.xx
20 permit ip host 10.9.38.49 host 10.75.x.xx
30 permit ip host 10.9.38.49 host 10.75.x.xx
40 permit ip host 10.9.38.49 host 10.75.x.xx

Содержание
Сообщения в этом обсуждении
"site to site IPSEC VPN работает в одну сторону"
Отправлено GolDi , 12-Окт-12 13:46 
>[оверквотинг удален]
> 180 permit esp host 92.xx.xx.xx host 88.xx.xx.xx
> # ACL 103 OUT
> 10 permit udp host 88.xx.xx.xx eq isakmp host 92.xx.xx.xx
> 20 permit udp host 88.xx.xx.xx eq non500-isakmp host 92.xx.xx.xx
> 30 permit esp host 88.xx.xx.xx host 92.xx.xx.xx
> # ACL 106
> 10 permit ip host 10.9.38.49 host 10.75.x.xx
> 20 permit ip host 10.9.38.49 host 10.75.x.xx
> 30 permit ip host 10.9.38.49 host 10.75.x.xx
> 40 permit ip host 10.9.38.49 host 10.75.x.xx

Так мне кажется в соответствии с вашими натсройками так и должно работать.
Удалите reverse-route  и пропишите маршруты в удалённую сеть статикой.

"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 14:54 

> Так мне кажется в соответствии с вашими натсройками так и должно работать.
> Удалите reverse-route  и пропишите маршруты в удалённую сеть статикой.

Так то и странно что все работало.
А потом как всегда: никто ничего не менял, а не работает. ((

"site to site IPSEC VPN работает в одну сторону"
Отправлено McS555 , 12-Окт-12 14:25 
> Доброго дня.
> Просьба помочь советом, мой мозг уже не в состоянии что то понять

сделай нормальный
sho run

(без белых ip)


"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 15:02 

> сделай нормальный
> sho run
> (без белых ip)

Весь sh run не вижу смысла выкладывать здесь, ибо очень длинная простыня получиться.

В посте кусок конфига со всеми  настройками относящимися к реализации site-to -site  IPSEC VPN


"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 15:05 
На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. Пока к сожалению не могу выложить конфиг удаленной стороны

"site to site IPSEC VPN работает в одну сторону"
Отправлено McS555 , 12-Окт-12 15:26 
> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности.
> Пока к сожалению не могу выложить конфиг удаленной стороны

свой!

"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 15:50 
>> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности.
>> Пока к сожалению не могу выложить конфиг удаленной стороны
> свой!

)))) да понятно что свой. но не стоит исключать что причина трабла на противоположной стороне, хоть по их утверждениям они ничего не изменяли в конфиге...

"site to site IPSEC VPN работает в одну сторону"
Отправлено McS555 , 12-Окт-12 15:28 

> Весь sh run не вижу смысла

Ну... ок


"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 15:49 
>> Весь sh run не вижу смысла
> Ну... ок

Если есть вопросы касательно конфига постараюсь ответить.

Кстати, после замены IOS в конфиге появилась строчка : resource policy.
Она никаким образом не могла повлиять?

"site to site IPSEC VPN работает в одну сторону"
Отправлено Nightly , 12-Окт-12 16:04 
>>> Весь sh run не вижу смысла
>> Ну... ок
> Если есть вопросы касательно конфига постараюсь ответить.
> Кстати, после замены IOS в конфиге появилась строчка : resource policy.
> Она никаким образом не могла повлиять?

ИХОХОО!!! ПРОБЛЕМА РЕШЕНА!!  оказывается в старом IOS команда reverse-route подразумевала собой reverse-route static. Вновой версии софта надо ее было прописать явно, как: reverse-route static.

Все заработало моментально!!