URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21280
[ Назад ]

Исходное сообщение
"iproute"
Отправлено ss2707 , 08-Июл-10 12:27

уважаемые гуру, помогите пожалуйста понять
внешний ip 212.0.0.1
внутреняя сетка 10.0.0.0/24
удаленный внешний ip 83.0.0.1
удаленная внутреняя сетка 10.0.1.0/24

---------
!
interface Tunnel6
description tunnel MSK-TEST
no ip address
tunnel source FastEthernet0/1
tunnel destination 83.0.0.1
crypto map MSK-TEST
!
ip route 10.0.1.0 255.255.255.0 83.0.0.1
----------
sh int tun6
Tunnel6 is up, line protocol is up
  Hardware is Tunnel
  Description: tunnel MSK-TEST
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 212.0.0.1 (FastEthernet0/1), destination 83.0.0.1
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255
  Fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
sh ip route
такого маршрута нет
-----------------

что я должен написать, чтобы маршрут появляся в таблице?

Содержание

iproute,sigbat, 13:06 , 08-Июл-10
- iproute,ss2707, 14:00 , 08-Июл-10
  - iproute,sigbat, 16:13 , 08-Июл-10
    - iproute,ss2707, 19:04 , 08-Июл-10
      - iproute,j_vw, 19:45 , 08-Июл-10
  - iproute,j_vw, 19:39 , 08-Июл-10

Сообщения в этом обсуждении

"iproute"
Отправлено sigbat , 08-Июл-10 13:06

насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка
поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу маршртищацци
ну и далее вы просто пишете роут через внутренний ип адрес удаленного туннеля
кроме того на туннель не вешают крипто мап. Там есть tunnel proteced profile
роут у вас не появляется видимо потому что шлюз напрямую не доступен

"iproute"
Отправлено ss2707 , 08-Июл-10 14:00

>насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка
>поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу
>маршртищацци
>ну и далее вы просто пишете роут через внутренний ип адрес удаленного
>туннеля
>кроме того на туннель не вешают крипто мап. Там есть tunnel proteced
>profile
>роут у вас не появляется видимо потому что шлюз напрямую не доступен
>
хорошо, тогда как лучше сделать 20 ipsec туннелей на одной cisco, при этом имея один внешний ip и 20 isakmp keys ?

"iproute"
Отправлено sigbat , 08-Июл-10 16:13

эээээ
можно конечно и 20 ключей но тгда лучше сертификаты
читайте DMVPN или DVTI

"iproute"
Отправлено ss2707 , 08-Июл-10 19:04

>можно конечно и 20 ключей но тгда лучше сертификаты
проблемы с генерацией ключей нет (openssl rand 40 -hex), точно также нет проблем с созданием crypto map (даже с ключами)
----------
crypto map sec_b 10 ipsec-isakmp
        match address 101
        set peer 192.168.1.2
        set transform-set sec_b
        set session-key inbound esp 256 cipher 12345678901234567890123456789012
        set session-key inbound ah 256 1234567890123456789012345678901234567890
        set session-key outbound esp 257 cipher 12345678901234567890123456789012
        set session-key outbound ah 257 1234567890123456789012345678901234567890
----------
я не понимаю куда их (crypto map) привязать (к одному interface можно привязать только один crypto map). в примерах типа http://undeadly.org/cgi?action=article&sid=20080711190301 или http://www.cisco.com/en/US/tech/tk827/tk369/technologies_con... показано, как формировать
один vpn тунель, а мне их поболее надо.

"iproute"
Отправлено j_vw , 08-Июл-10 19:45

>я не понимаю куда их (crypto map) привязать (к одному interface можно
>привязать только один crypto map).
crypto map sec_b 10 ipsec-isakmp
X
X
  X
crypto map sec_b 15 ipsec-isakmp
y
y
  y
crypto map sec_b 20 ipsec-isakmp
z
z
  z
Крипто-меп один - "sec_b"
Но записей - сколько угодно....
Только, если есть динамические, пишите с последними номерами...

"iproute"
Отправлено j_vw , 08-Июл-10 19:39

Кодовая фраза кеуring
Вот так работает:
crypto keyring TUN1
  pre-shared-key address VASYA key VASYA_KEY
crypto keyring TUN2
  pre-shared-key address PETYA key PETYA_KEY

crypto isakmp profile TUN1
   keyring TUN1
   match identity address VASYA 255.255.255.255
crypto isakmp profile TUN2
   keyring TUN2
   match identity address PETYA 255.255.255.255

crypto ipsec profile TUN1
set transform-set SET
set isakmp-profile TUN1
!
crypto ipsec profile TUN2
set transform-set SET
set isakmp-profile TUN2
Мне кажется, даже, упростить можно....