Доброго времени суток,есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются.
конфиг:
####### cisco 1841 - piter ########
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {msk-ext-ip} no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source {piter-ext-ip}
tunnel destination {msk-ext-ip}
tunnel protection ipsec profile myprofile
!####### cisco 1841 - msk ################
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {piter-ext-ip} no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source {msk-ext-ip}
tunnel destination {piter-ext-ip}
tunnel protection ipsec profile myprofile shared
!
обмен ключами успешен, насколько могу судить по этому:
#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
213.182.181.66 212.45.2.67 QM_IDLE 1018 ACTIVEIPv6 Crypto ISAKMP SA
#sh crypto ipsec sa
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr {msk-ext-ip}protected vrf: (none)
local ident (addr/mask/prot/port): ({msk-ext-ip}/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): ({piter-ext-ip}/255.255.255.255/47/0)
current_peer {piter-ext-ip} port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: {msk-ext-ip}, remote crypto endpt.: {piter-ext-ip}
path mtu 1500, ip mtu 1500, ip mtu idb Vlan2
current outbound spi: 0x39AC5EB5(967597749)
PFS (Y/N): N, DH group: noneinbound esp sas:
spi: 0x6916F589(1763112329)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2043, flow_id: FPGA:43, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4471926/84077)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
spi: 0xC20B462A(3255518762)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2045, flow_id: FPGA:45, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4384769/84852)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC788A48C(3347621004)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2044, flow_id: FPGA:44, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4471922/84077)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
spi: 0x39AC5EB5(967597749)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2046, flow_id: FPGA:46, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4384765/84852)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEoutbound ah sas:
outbound pcp sas:
В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в которых сложно.
Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ ) : аналогично - просто туннель работает, как только применяешь крипто мап - не работает.
Прошу помощи!
>[оверквотинг удален]
>
1. poprobuite:
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen propustit' gre + esp (+ah) + udp 500 (+ udp 4500 esli u vas nat) mezhdu peerami.
>1. poprobuite:
>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
> mode transportпопробовал - все равно не пингуются концы туннеля
>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>esli u vas nat) mezhdu peerami.acl-ов на внешних интерфейсах нет
>[оверквотинг удален]
>>crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
>> mode transport
>
>попробовал - все равно не пингуются концы туннеля
>
>>2. u vas est ACL na vneshnix interfaceax? esli da ACL dolzhen
>>propustit' gre + esp (+ah) + udp 500 (+ udp 4500
>>esli u vas nat) mezhdu peerami.
>
>acl-ов на внешних интерфейсах нетtak... kak ponimaju iz show commands na 212.45.2.67:
#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov netu. stranno chto decps i decrypt 0. poxozhe na to chto obratno paketi ne xodjat c 213.182.181.66.kak vigledit analogichnie show commnads na drugom ciske?
I esho pochemu u vas na "msk" stoit shared na tunnel protection... ? u vas na "msk" est' drugoi tunel s tem zhe crypto map?
>[оверквотинг удален]
>tak... kak ponimaju iz show commands na 212.45.2.67:
> #pkts encaps: 40, #pkts encrypt: 40, #pkts digest:
>40
> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify:
>0
>paketi vxodjat v tunnel tak kak encaps i encrypt 40 i errorov
>netu. stranno chto decps i decrypt 0. poxozhe na to chto
>obratno paketi ne xodjat c 213.182.181.66.
>
>kak vigledit analogichnie show commnads na drugom ciske?вот так:
#sh crypto ipsec sainterface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 213.182.181.66protected vrf: (none)
local ident (addr/mask/prot/port): (213.182.181.66/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (212.45.2.67/255.255.255.255/47/0)
current_peer 212.45.2.67 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 50, #pkts encrypt: 50, #pkts digest: 50
#pkts decaps: 55, #pkts decrypt: 55, #pkts verify: 55
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: 213.182.181.66, remote crypto endpt.: 212.45.2.67
path mtu 1500, ip mtu 1500, ip mtu idb Vlan3
current outbound spi: 0xC20B462A(3255518762)
PFS (Y/N): N, DH group: noneinbound esp sas:
spi: 0xC788A48C(3347621004)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2015, flow_id: FPGA:15, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4540168/76298)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
spi: 0x39AC5EB5(967597749)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2017, flow_id: FPGA:17, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4434487/77073)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x6916F589(1763112329)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2016, flow_id: FPGA:16, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4540168/76298)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
spi: 0xC20B462A(3255518762)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2018, flow_id: FPGA:18, sibling_flags 80000046, crypto map: Tunnel1-head-0
sa timing: remaining key lifetime (k/sec): (4434487/77073)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEoutbound ah sas:
outbound pcp sas:
#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
213.182.181.66 212.45.2.67 QM_IDLE 1006 ACTIVEIPv6 Crypto ISAKMP SA
число decaps совпадает с encaps на московской циске. т.е. получается питерская циска отправляет и получает пакеты, а московская - только отправляет.>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>? u vas na "msk" est' drugoi tunel s tem zhe
>crypto map?нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной из статей по настройке циски. убрал - ничего не изменилось.
>[оверквотинг удален]
>
>число decaps совпадает с encaps на московской циске. т.е. получается питерская циска
>отправляет и получает пакеты, а московская - только отправляет.
>
>>I esho pochemu u vas na "msk" stoit shared na tunnel protection...
>>? u vas na "msk" est' drugoi tunel s tem zhe
>>crypto map?
>
>нет, нету. каюсь - не разбираясь в значении параметра скопипастил с одной
>из статей по настройке циски. убрал - ничего не изменилось.jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re 100iz show crypto sa vidno chto ipsec u vas rabotaet. a encap encrypt 0 poxozhe chto vi prosto pinguete is vneshnogo ip a ne iz tunnel ip.
krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full config ne obaitis. (jasno bez passwords :) ).
>jasno. izvinjajus kanechno, no kak vi pingujete tunnel ip? prosto ping tunnel_ip?
>
>na ciske v pitere: ping 192.168.3.2 so 192.168.3.1 si 1300 re 100
>
>ili na ciske v moskve: ping 192.168.3.1 so 192.168.3.2 si 1300 re
>100
>именно так (только без re 100).
если убрать "tunnel protection ipsec", т.е. оставить только gre туннель - сразу же этими же коммандами начинают пинговаться оба конца туннеля.
#ping 192.168.3.2 so 192.168.3.1 si 1300Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
.....
Success rate is 0 percent (0/5)
ipgate#conf t
Enter configuration commands, one per line. End with CNTL/Z.
ipgate(config)#int tunnel1
ipgate(config-if)#no tunnel protection ipsec profile myprofile
ipgate(config-if)#^Z
ipgate#ping 192.168.3.2 so 192.168.3.1 si 1300Type escape sequence to abort.
Sending 5, 1300-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/60 ms
ipgate#traceroute 192.168.3.2Type escape sequence to abort.
Tracing the route to 192.168.3.21 192.168.3.2 72 msec * 52 msec
>krome etogo necego strannogo ne vizhu. mozhno posmatret dalshe no bez full
>config ne obaitis. (jasno bez passwords :) ).выкладываю полный конфиг, убраны только параметры про пользователей и доступ к консоли.
msk:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
dot11 syslog
ip source-route
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 213.182.181.66 no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source 212.45.2.67
tunnel destination 213.182.181.66
tunnel protection ipsec profile myprofile
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 192.168.2.100 255.255.255.0
ip tcp adjust-mss 1380
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
ip virtual-reassembly
!
interface Vlan2
ip address 212.45.2.67 255.255.255.248
ip virtual-reassembly
!
interface Vlan3
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.45.2.65
ip route 10.0.0.0 255.0.0.0 Tunnel1
ip route 192.168.1.0 255.255.255.0 Tunnel1
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
!
!
piter (эта циска уже "боевая", маршрутизацию и нат настраивал не я):
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ipgate
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
no logging monitor
!
aaa new-model
!
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 10.0.0.1
ip address-pool local
!
multilink bundle-name authenticated
!!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vpn address 212.45.2.67 no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile C
set transform-set vpn1
!
!
!
class-map match-all BOSS
match access-group 100
!
!
policy-map QOS-PITER
class BOSS
shape average 4194304
bandwidth percent 50
class class-default
shape average 3000000
fair-queue
!
!
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source 213.182.181.66
tunnel destination 212.45.2.67
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
bandwidth 4096
ip address 192.168.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1380
ip policy route-map C-OUT
duplex auto
speed auto
no cdp enable
service-policy output QOS-PITER
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 3
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 217.170.93.154 255.255.255.248 secondary
ip address 217.170.93.18 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface Vlan3
ip address 212.119.170.2 255.255.255.240 secondary
ip address 213.182.181.66 255.255.255.240
ip nat outside
ip virtual-reassembly
!
ip local policy route-map M-OUT
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.170.93.17
ip route 10.0.0.0 255.0.0.0 192.168.1.3
ip route 10.0.0.1 255.255.255.255 192.168.1.2
ip route 10.0.0.232 255.255.255.255 192.168.1.2
ip route 10.0.1.43 255.255.255.255 192.168.1.2
ip route 10.0.1.44 255.255.255.255 192.168.1.2
ip route 10.0.1.64 255.255.255.255 192.168.1.2
ip route 10.0.1.65 255.255.255.255 192.168.1.2
ip route 10.0.1.66 255.255.255.255 192.168.1.2
ip route 10.0.1.67 255.255.255.255 192.168.1.2
ip route 10.0.1.75 255.255.255.255 192.168.1.2
ip route 10.0.1.103 255.255.255.255 192.168.1.2
ip route 10.0.1.105 255.255.255.255 192.168.1.2
ip route 10.0.1.106 255.255.255.255 192.168.1.2
ip route 10.0.1.107 255.255.255.255 192.168.1.2
ip route 10.0.1.108 255.255.255.255 192.168.1.2
ip route 10.0.1.114 255.255.255.255 192.168.1.2
ip route 10.0.1.181 255.255.255.255 192.168.1.2
ip route 10.0.1.182 255.255.255.255 192.168.1.2
ip route 10.0.1.183 255.255.255.255 192.168.1.2
ip route 10.0.1.201 255.255.255.255 192.168.1.2
ip route 10.0.1.208 255.255.255.255 192.168.1.2
ip route 10.0.2.1 255.255.255.255 192.168.1.2
ip route 10.0.3.1 255.255.255.255 192.168.1.2
ip route 10.0.4.23 255.255.255.255 192.168.1.2
ip route 10.0.10.20 255.255.255.255 192.168.1.2
ip route 10.0.10.30 255.255.255.255 192.168.1.2
ip route 10.0.11.0 255.255.255.0 192.168.1.2
ip route 94.230.0.254 255.255.255.255 212.119.170.1
ip route 192.168.2.0 255.255.255.0 Tunnel1
!
ip nat inside source list 5 interface Vlan2 overload
ip nat inside source list 7 interface Vlan2 overload
ip nat inside source list 8 interface Vlan3 overload
ip nat inside source list 10 interface Vlan2 overload
ip nat inside source list 11 interface Vlan3 overload
ip nat inside source list 12 interface Vlan2 overload
ip nat inside source list 13 interface Vlan3 overload
ip nat inside source list 14 interface Vlan2 overload
ip nat inside source list 15 interface Vlan3 overload
ip nat inside source list 16 interface Vlan3 overload
ip nat inside source list 17 interface Vlan3 overload
ip nat inside source list 18 interface Vlan3 overload
ip nat inside source list 40 interface Vlan2 overload
ip nat inside source static 10.0.1.44 212.119.170.3
ip nat inside source static 10.0.1.22 212.119.170.4
ip nat inside source static 10.0.3.146 212.119.170.5
ip nat inside source static 10.0.1.126 212.119.170.6
ip nat inside source static 192.168.1.4 212.119.170.7
ip nat inside source static tcp 10.0.7.32 80 212.119.170.8 80 extendable
ip nat inside source static 10.0.3.147 212.119.170.9
ip nat inside source static 10.0.7.33 212.119.170.10
ip nat inside source static tcp 10.0.1.44 22 212.119.170.12 22 extendable
ip nat inside source static tcp 10.0.7.40 1090 212.119.170.12 1090 extendable
ip nat inside source static tcp 10.0.7.40 1199 212.119.170.12 1199 extendable
ip nat inside source static tcp 10.0.7.40 8083 212.119.170.12 8083 extendable
ip nat inside source static tcp 10.0.7.41 9874 212.119.170.12 9874 extendable
ip nat inside source static tcp 10.0.7.191 9940 212.119.170.12 9940 extendable
ip nat inside source static tcp 10.0.1.44 10022 212.119.170.12 10022 extendable
ip nat inside source static tcp 10.0.1.44 10023 212.119.170.12 10023 extendable
ip nat inside source static tcp 10.0.170.12 80 212.119.170.12 10080 extendable
ip nat inside source static tcp 10.0.7.41 443 212.119.170.12 10443 extendable
ip nat inside source static tcp 10.0.7.40 44499 212.119.170.12 11199 extendable
ip nat inside source static tcp 10.0.1.240 22 212.119.170.14 22 extendable
ip nat inside source static 10.0.3.3 213.182.181.68
ip nat inside source static 10.0.3.1 213.182.181.70
ip nat inside source static tcp 10.0.8.2 25 213.182.181.72 25 extendable
ip nat inside source static tcp 10.0.8.1 143 213.182.181.72 143 extendable
ip nat inside source static tcp 10.0.8.1 443 213.182.181.72 443 extendable
ip nat inside source static 10.0.1.105 213.182.181.73
ip nat inside source static 10.0.170.9 213.182.181.74
ip nat inside source static 10.0.0.4 217.170.93.155
ip nat inside source static 192.168.1.3 217.170.93.156
ip nat inside source static tcp 10.0.2.1 25 217.170.93.157 25 extendable
!
access-list 2 permit 10.0.7.10
access-list 2 permit 10.0.1.103
access-list 2 permit 10.0.1.114
access-list 5 permit 192.168.1.1
access-list 5 permit 192.168.1.2
access-list 5 permit 10.0.0.0 0.0.0.255
access-list 7 permit 192.168.1.3
access-list 10 permit 10.0.10.20
access-list 10 permit 10.0.10.30
access-list 11 permit 10.0.1.0 0.0.0.255
access-list 11 permit 10.0.11.0 0.0.0.255
access-list 12 permit 10.0.2.0 0.0.0.255
access-list 13 permit 10.0.3.0 0.0.0.255
access-list 14 permit 10.0.4.0 0.0.0.255
access-list 15 permit 10.0.5.0 0.0.0.255
access-list 16 permit 10.0.8.0 0.0.0.255
access-list 17 permit 10.0.170.0 0.0.0.255
access-list 18 permit 10.0.7.0 0.0.0.255
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 40 permit 10.0.140.0 0.0.0.255
access-list 66 permit 213.182.181.66
access-list 90 permit 10.0.7.11
access-list 90 permit 10.0.7.10
access-list 90 permit 10.0.3.1
access-list 90 permit 10.0.0.2
access-list 90 permit 10.0.2.1
access-list 90 permit 10.0.1.1
access-list 90 permit 10.0.2.2
access-list 90 permit 10.0.2.3
access-list 90 permit 192.168.1.1
access-list 90 permit 192.168.1.3
access-list 90 permit 192.168.1.2
access-list 90 permit 10.0.1.101
access-list 90 permit 10.0.1.114
access-list 90 permit 10.0.3.148
dialer-list 1 protocol ip permit
!
!
!
route-map M-OUT permit 5
match ip address 66
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 5
match ip address 5 10 15
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 7
match ip address 7 12
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 10
match ip address 8
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 20
set ip next-hop 213.182.181.65
!
route-map C-OUT permit 30
match ip address 17 16
set ip next-hop 212.119.170.1
!
route-map C-OUT permit 40
match ip address 40 14 5
set ip next-hop 217.170.93.17
!
route-map C-OUT permit 99
set interface Null0
!
>[оверквотинг удален]
> set ip next-hop 212.119.170.1
>!
>route-map C-OUT permit 40
> match ip address 40 14 5
> set ip next-hop 217.170.93.17
>!
>route-map C-OUT permit 99
> set interface Null0
>!
>s pervogo vzgljada...
na ciske v moskve:
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
ip route 192.168.3.0 255.255.255.252 Tunnel1
nenuzhni
ipsec peer 213.182.181.66 i eto ip stoit na vlan3 na ciske v pitere.na ciske v pitere
ipsec peer (moskow endpoint) 212.45.2.67 no default route stoit na 217.170.93.17.
dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw (RPF - revers path filtring).i nakonec nado proverit' est' li firewall mezhdu piter i msk nepropuskajushi "esp".
>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>(RPF - revers path filtring).izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochku
>
>>dobavte "ip route 212.45.2.67 255.255.255.255 213.182.181.65" route-map zdes ne pomozhet.
>>problema mozhet bit v etom v zavisimosti chto iz sebja predstovljaet gw
>>(RPF - revers path filtring).
>
>izvinjajus. ne uvidel "ip local policy route-map M-OUT" strochkuда, и судя по трассировке уходит по правильному шлюзу:
pgate#traceroute 212.45.2.67 so 213.182.181.66 numericType escape sequence to abort.
Tracing the route to 212.45.2.671 213.182.181.65 4 msec 4 msec 0 msec
==cut==насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я не знаю как проверить режут ли что-либо они или нет.
Если это поможет - через этих же провайдеров (с другими ip есс-но) прокинут виндовый ВПН (isa) и он работает.
>[оверквотинг удален]
>Tracing the route to 212.45.2.67
>
> 1 213.182.181.65 4 msec 4 msec 0 msec
>==cut==
>
>
>насчет фаерволлов: во внешние интерфейсы обеих цисок идут кабеля провайдеров и я
>не знаю как проверить режут ли что-либо они или нет.
>Если это поможет - через этих же провайдеров (с другими ip есс-но)
>прокинут виндовый ВПН (isa) и он работает.mozhno posmatret' v route cache i proverit' est' li tam prot 32 mezhdu peerami v oboix napravlenijax. kanechno eto nado delat posle dobovlenija "ip flow in" i "ip flow eg" pod vneshnix interface-ax i posle pinga tunnel-ip s pomoshju "show ip cache flow | in 32" (32 eto esp). esli vse v norme to vi dolzhni uvidet' chto to poxozhe:
Fa-x peer1-ip Fa-y peer2-ip 32 F185 1E32 14
Fa-y peer2-ip Fa-x peer1-ip 32 1E32 F185 14na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp v oboix ili v odnu storonu ili iz za routinga.
32" (32 eto esp). esli vse v norme to vi dolzhni
>[оверквотинг удален]
> 32 F185 1E32 14
> Fa-y peer2-ip
> Fa-x peer1-ip
> 32 1E32 F185 14
>
>na oboix routerax chto oznachaet traffik idet v tunnel s oboix storon.
>
>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>v oboix ili v odnu storonu ili iz za routinga.попробовал - на обеих цисках в cache flow нет записей с протоколом 32, т.е. esp не проходит :/
фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров нет. Получается пинать нужно провайдеров?
А может ли это быть из-за того, что кабеля от провайдеров заведены в свитч, а из него уже в циски?
>[оверквотинг удален]
>>esli u vas tol'ko odna strochka to traffic idet v tunnel tol'ko
>>v odnu storonu chto mozhet bit' v sluchae firewalla blakirujushe esp
>>v oboix ili v odnu storonu ili iz za routinga.
>
>попробовал - на обеих цисках в cache flow нет записей с протоколом
>32, т.е. esp не проходит :/
>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>нет. Получается пинать нужно провайдеров?
>А может ли это быть из-за того, что кабеля от провайдеров заведены
>в свитч, а из него уже в циски?nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v route cache.
net switch ne dolzhen meshat' esli u vas L2 switch a ne L3 s ACL i route interfaicami.
v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix na schet filtraci...
>[оверквотинг удален]
>>
>>попробовал - на обеих цисках в cache flow нет записей с протоколом
>>32, т.е. esp не проходит :/
>>фаерволл у меня стоит после цисок, между цисками и провайдерами никаких фаеров
>>нет. Получается пинать нужно провайдеров?
>>А может ли это быть из-за того, что кабеля от провайдеров заведены
>>в свитч, а из него уже в циски?
>
>nadejus ne zabili vkljuchit ip route in|en pered tem kak smotret' v
>route cache.не забыл - куча других записей в кэше появляются, но с протоколом 32 - ни одной.
>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>L3 s ACL i route interfaicami.да, обычный l2 switch
>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>na schet filtraci...ясно. спасибо за консультацию
пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты эксперемента - будет ли та же проблема с esp.
>[оверквотинг удален]
>>net switch ne dolzhen meshat' esli u vas L2 switch a ne
>>L3 s ACL i route interfaicami.
>
>да, обычный l2 switch
>>v ISP ljudi sereznie :) no vse taki mozhno sprosit' u nix
>>na schet filtraci...
>
>ясно. спасибо за консультацию
>пропробую связаться с провайдерами; еще попробую поднять ipsec+gre на фряхе, для чистоты
>эксперемента - будет ли та же проблема с esp.privet,
ja semuliroval vash network u menja.
vse taki "ip route 212.45.2.67 255.255.255.255 213.182.181.65" na pitere pomog reshit' problemu dlja menja!ptr#ping 192.168.3.2 so 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms
ptr#msk#ping 192.168.3.1 so 192.168.3.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms
msk#esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto u vas:) tol'ko u mejna na pitere netu poslednei route-map ... NULL0 tak kak u menja router rugajetsa na eto.
posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na oboix peer: "clear crypto isakmp" i "clear crypto sa".nadejus kak to pomog.
>[оверквотинг удален]
>
>esli nuzhno mogu brosit' moi configi... xotja eto to zhe samoe chto
>u vas:) tol'ko u mejna na pitere netu poslednei route-map ...
>NULL0 tak kak u menja router rugajetsa na eto.
>
>
>posle izmenenija chego to svjazannoe s crypto vsegda xorosho udolit' "sa" na
>oboix peer: "clear crypto isakmp" i "clear crypto sa".
>
>nadejus kak to pomog.спасибо за помощь :)
пока возможности проверить нет - циску пришлось снять, стали зависать внешние порты. как только с этим разберемся - снова попробую.
!
route-map C-OUT permit 3
match ip address 100
set ip next-hop 192.168.3.1
!
ip access-list ext 100
permit ip any 192.168.2.0 0.0.0.255
>!
>route-map C-OUT permit 3
> match ip address 100
> set ip next-hop 192.168.3.1
>!
>ip access-list ext 100
> permit ip any 192.168.2.0 0.0.0.255mozhet i oshibajus', no
1. tam zhe est' ip route 192.168.2.0 255.255.255.0 Tunnel1
2. esli problema v route map to pochemu vse rabotajet v sluchae GRE
3. route map C-OUT stoit pod vnutreenem interface a problema v tom chto posle activaci ipseca ping ne vozmozhen mezhdu tunnel interfeisamki a ne mezhdu LAN.