URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22775
[ Назад ]

Исходное сообщение
"Маршрутизация при поднятом IPSEC "

Отправлено varlis , 21-Июн-11 10:24 
Всем привет. Никак не могу разобраться, как происходит муршрутизация в crypto map.
Допустим есть две Cisco , между ними IPSec туннель. Crypto map.

За центральной cisco-й есть сети 192.168.15; 192.168.100.
За филиальной cisco-й есть сетка 192.168.2.
так вот из сетки 192.168.2.0 видны хосты и 15-ой и 100-ой сетей.

При этом если набирать на филиальной cisco show ip route то информации по этим сетям нет.
Gateway of last resort is 212.212.212.212 to network 0.0.0.0
212.212.212.212/28 is subnetted, 1 subnets
C 212.212.212.0 is directly connected, FastEthernet4
C 192.168.2.0/24 is directly connected, Vlan1
S* 0.0.0.0/0 [1/0] via 212.212.212.212
За центральной ciscoй появилась новая сеть к примеру 10.1.1.0 Никак не могу разобраться как мне к ней организовать доступ.
Подскажите пжл!


Содержание

Сообщения в этом обсуждении
"Маршрутизация при поднятом IPSEC "
Отправлено Rez , 21-Июн-11 13:03 
>[оверквотинг удален]
> При этом если набирать на филиальной cisco show ip route то информации
> по этим сетям нет.
> Gateway of last resort is 212.212.212.212 to network 0.0.0.0
> 212.212.212.212/28 is subnetted, 1 subnets
> C 212.212.212.0 is directly connected, FastEthernet4
> C 192.168.2.0/24 is directly connected, Vlan1
> S* 0.0.0.0/0 [1/0] via 212.212.212.212
> За центральной ciscoй появилась новая сеть к примеру 10.1.1.0 Никак не могу
> разобраться как мне к ней организовать доступ.
> Подскажите пжл!

Добрый день.
если у вас настроен Plain IPsec, то весь интересный трафик прописывается в ACL, например для цетрального офиса:

crypto map MAP 1 ipsec-isakmp
set peer 1.0.0.1
set transform-set VPN_SET
match address 101
!
access-list 101 remark Crypto map
access-list 101 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
ну и для филиала список доступа должен быть настроен зеркально. при этом если используется NAT то надо этот трафик исключить из трансляции.


"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 15:12 
>[оверквотинг удален]
>  set transform-set VPN_SET
>  match address 101
> !
> access-list 101 remark Crypto map
> access-list 101 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255
> access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255
> access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255
> !
> ну и для филиала список доступа должен быть настроен зеркально. при этом
> если используется NAT то надо этот трафик исключить из трансляции.

СПАСИБО! Сейчас попробую.
правда у меня вот что:
Филиальная cisco show crypto map
Crypto Map "NAME" 10 ipsec-isakmp
        Description: VPN-Moscow
        Peer = XXXX
        Peer = YYYY
        Extended IP access list 150
            access-list 150 permit ip 192.168.2.0 0.0.0.255 192.168.15.0 0.0.0.255
            access-list 150 permit ip 192.168.2.0 0.0.0.255 192.168.100.0 0.0.0.255
            access-list 150 permit ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15
        Current peer: YYYY
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets...
        Interfaces using crypto map NAME:
                FastEthernet4

NAT
ip nat inside source list 105 interface FastEthernet4 overload
access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 105 deny   tcp host 192.168.2.100 eq 3389 any
access-list 105 permit ip 192.168.2.0 0.0.0.255 any

Что такое: access-list 101 """REMARK""" Crypto map

На центральной сиске есть аксессы наоборот.
правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто политически).
Перегружать наверно не надо же?


"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 15:29 
>>[оверквотинг удален]
>>  И кстати пришла в голову неприятная мысль -

из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28

В то же время этот хост натится центральной сиской и снимать нат с него думаю, критично.
это "агат" - VOIP шлюз.


"Маршрутизация при поднятом IPSEC "
Отправлено Rez , 21-Июн-11 15:36 
>>>[оверквотинг удален]
>>>  И кстати пришла в голову неприятная мысль -
> из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28
> В то же время этот хост натится центральной сиской и снимать нат
> с него думаю, критично.
> это "агат" - VOIP шлюз.

хост должен быть доступен через туннель или через интернет?
если через тунель, то поправьте ACL для IPsec, что бы была доступна сеть 10.1.1.0\28
если через инет, то можно воспользоваться портмапингом.


"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 15:46 
>>>>[оверквотинг удален]
>>>>  И кстати пришла в голову неприятная мысль -
>> из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28
>> В то же время этот хост натится центральной сиской и снимать нат
>> с него думаю, критично.
>> это "агат" - VOIP шлюз.
> хост должен быть доступен через туннель или через интернет?
> если через тунель, то поправьте ACL для IPsec, что бы была доступна
> сеть 10.1.1.0\28
> если через инет, то можно воспользоваться портмапингом.

Хост должен бть доступен и через интернет (нат на public ip) и через ipsec.



"Маршрутизация при поднятом IPSEC "
Отправлено Rez , 21-Июн-11 15:52 
>[оверквотинг удален]
>>> из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28
>>> В то же время этот хост натится центральной сиской и снимать нат
>>> с него думаю, критично.
>>> это "агат" - VOIP шлюз.
>> хост должен быть доступен через туннель или через интернет?
>> если через тунель, то поправьте ACL для IPsec, что бы была доступна
>> сеть 10.1.1.0\28
>> если через инет, то можно воспользоваться портмапингом.
> Хост должен бть доступен и через интернет (нат на public ip) и
> через ipsec.

что бы был доступен из инета. можно сделать портмапинг
ip nat inside source static tcp 10.1.1.6 номер_порта внешний_ip номер_порта extendable
тогда при обращении к внешний_ip номер_порта запрос будет пересылаться на 10.1.1.6 номер_порта.


"Маршрутизация при поднятом IPSEC "
Отправлено Rez , 21-Июн-11 15:33 
>[оверквотинг удален]
> NAT
> ip nat inside source list 105 interface FastEthernet4 overload
> access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255
> access-list 105 deny   tcp host 192.168.2.100 eq 3389 any
> access-list 105 permit ip 192.168.2.0 0.0.0.255 any
> Что такое: access-list 101 """REMARK""" Crypto map
> На центральной сиске есть аксессы наоборот.
> правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто
> политически).
> Перегружать наверно не надо же?

remark Crypto map - это просто пометка.
в список доступа 105 надо добавить строку
access-list 105 deny   ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15
чтобы исключить шифрованый трафик в подсеть 10.1.1.0
эту строку надо добавить перед access-list 105 permit ip 192.168.2.0 0.0.0.255 any

раутер перегружать не надо.


"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 16:07 
>[оверквотинг удален]
>> На центральной сиске есть аксессы наоборот.
>> правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто
>> политически).
>> Перегружать наверно не надо же?
> remark Crypto map - это просто пометка.
> в список доступа 105 надо добавить строку
> access-list 105 deny   ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15
> чтобы исключить шифрованый трафик в подсеть 10.1.1.0
> эту строку надо добавить перед access-list 105 permit ip 192.168.2.0 0.0.0.255 any
> раутер перегружать не надо.

Добавил -не помогает (. Локальный интерфейс уентральной циски к примеру 10.1.1.1- не пингую. 10.1.1.6 тоже

вот crypto map центральной циски

Crypto Map "NAME" 80 ipsec-isakmp
        Description: KL...
        Peer = XXXX
        Extended IP access list 117
            access-list 117 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255
            access-list 117 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255
            access-list 117 permit ip 10.1.1.0 0.0.0.15 192.168.2.0 0.0.0.255
        Current peer: XXXX
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                name,
        }


"Маршрутизация при поднятом IPSEC "
Отправлено Николай_kv , 21-Июн-11 16:41 
приведите полный конфиг на стороне ГО и отделения
что показывает sh cryp sess det

"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 17:41 
> приведите полный конфиг на стороне ГО и отделения
> что показывает sh cryp sess det

Филиал sh cryp sess det
Interface: FastEthernet4
Uptime: 05:02:11
Session status: UP-ACTIVE    
Peer: ..187.82 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: ...187.82
      Desc: (none)
  IKE SA: local ...62.3/500 remote ...187.82/500 Active
          Capabilities:(none) connid:2035 lifetime:23:25:23
  IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 192.168.100.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 1423077 drop 0 life (KB/Sec) 4525038/3027
        Outbound: #pkts enc'ed 1632244 drop 7 life (KB/Sec) 4525021/3027
  IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 10.1.1.0/255.255.255.240
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 35 drop 0 life (KB/Sec) 4492831/1523
        Outbound: #pkts enc'ed 65 drop 1 life (KB/Sec) 4492831/1523
  IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 192.168.15.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 486873 drop 0 life (KB/Sec) 4588794/3114
        Outbound: #pkts enc'ed 900447 drop 24 life (KB/Sec) 4588790/3114
Г О:
Interface: FastEthernet0/0.2
Session status: UP-ACTIVE    
Peer: ...62.3 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: ...62.3
      Desc: (none)
  IKE SA: local ..187.82/500 remote ..62.3/500 Active
          Capabilities:(none) connid:1509 lifetime:23:12:35
  IPSEC FLOW: permit ip 192.168.100.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 388058 drop 2 life (KB/Sec) 4384501/2259
        Outbound: #pkts enc'ed 344437 drop 2 life (KB/Sec) 4384557/2259
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.240 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 84 drop 0 life (KB/Sec) 4586629/755
        Outbound: #pkts enc'ed 53 drop 1 life (KB/Sec) 4586630/755
  IPSEC FLOW: permit ip 192.168.15.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 631818 drop 0 life (KB/Sec) 4530096/2346
        Outbound: #pkts enc'ed 327297 drop 4 life (KB/Sec) 4530372/2346

Огромное спасибо за ценные советы.
подключил в ГО ноутбук, дал ему 10.1.1.9 -с хоста из филиала из сетки 192.168.2.0 пингуется, пингуется и локальный интерфейс головной циски 10.1.1.1
Однако не пингуется этот VOIP шлюз - 10.1.1.6 Сейчас конфиг ГО выложу



"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 18:15 
>> приведите полный конфиг на стороне ГО и отделения
>> что показывает sh cryp sess det
>

Искренне Благодарю Вас, товарищи за ценные советы.

Я человек новый в компании - говорят разбирайся, при этом спросить не у кого. Тот кто делал все эти конфигурации... из хистори.

копаю дальше и вот что обнаружил:
gw#show ip nat translations | include 10.1.1.6
udp  1.1.187.85:1025    10.1.1.6:5060         2.2.224.32:5060    2.2.128.224.32:5060
udp  1.1.187.85:1025    10.1.1.6:5060         2.2.176.20:5060    2.2.176.20:5060
udp ...187.85:9000    10.1.1.6:9000         ...224.32:7024    ...224.32:7024
udp ...187.85:9001    10.1.1.6:9001         ...224.32:7025    ...224.32:7025
и т д.
далее conf:
...
ip nat pool voip2 1.1.187.85 1.1.187.85 netmask 255.255.255.248
далее
...
ip nat inside source route-map WC_VoipServiceT_NAT pool voip2 overload
и далее
route-map WC_VoipServiceT_NAT permit 10
match ip address 195
match interface FastEthernet0/0.2

...
Standard IP access list 10
    10 permit 10.1.1.3
Extended IP access list 195
    10 permit ip host 10.1.1.6 any (58 matches)

interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 1.1.187.82 255.255.255.248
ip access-group 103 in
ip access-group 104 out
ip flow ingress
ip nat outside
ip virtual-reassembly drop-fragments
no snmp trap link-status
crypto map c-capital

Ну вот не знаю нужно ли еще приводить аксессы 103 и 104.
в них есть
access-list 103 permit icmp any any
access-list 104 permit icmp any any

Вот не совсем понял про route map. Поделитесь плиз опытом куда копать дальше?



"Маршрутизация при поднятом IPSEC "
Отправлено varlis , 21-Июн-11 18:14 
что-то заглючило

"Маршрутизация при поднятом IPSEC  Новые факторы"
Отправлено varlis , 21-Июн-11 18:11 
Благодарю Вас, товарищи за ценные советы.
Я человек новый в компании - говорят разбирайся, при этом спросить не у кого. Тот кто делал все эти конфигурации... из хистори.

копаю дальше и вот что обнаружил:
gw#show ip nat translations | include 10.1.1.6
udp  1.1.187.85:1025    10.1.1.6:5060         2.2.224.32:5060    2.2.128.224.32:5060
udp  1.1.187.85:1025    10.1.1.6:5060         2.2.176.20:5060    2.2.176.20:5060
udp ...187.85:9000    10.1.1.6:9000         ...224.32:7024    ...224.32:7024
udp ...187.85:9001    10.1.1.6:9001         ...224.32:7025    ...224.32:7025
и т д.
далее conf:
...
ip nat pool voip2 1.1.187.85 1.1.187.85 netmask 255.255.255.248
далее
...
ip nat inside source route-map WC_VoipServiceT_NAT pool voip2 overload
и далее
route-map WC_VoipServiceT_NAT permit 10
match ip address 195
match interface FastEthernet0/0.2

...
Standard IP access list 10
    10 permit 10.1.1.3
Extended IP access list 195
    10 permit ip host 10.1.1.6 any (58 matches)

interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 1.1.187.82 255.255.255.248
ip access-group 103 in
ip access-group 104 out
ip flow ingress
ip nat outside
ip virtual-reassembly drop-fragments
no snmp trap link-status
crypto map c-capital

Ну вот не знаю нужно ли еще приводить аксессы 103 и 104.
в них есть
access-list 103 permit icmp any any
access-list 104 permit icmp any any

Вот не совсем понял про route map. Поделитесь плиз опытом куда копать дальше?


"Маршрутизация при поднятом IPSEC  Новые факторы"
Отправлено Rez , 22-Июн-11 07:14 
>[оверквотинг удален]
>  ip nat outside
>  ip virtual-reassembly drop-fragments
>  no snmp trap link-status
>  crypto map c-capital
> Ну вот не знаю нужно ли еще приводить аксессы 103 и 104.
> в них есть
> access-list 103 permit icmp any any
> access-list 104 permit icmp any any
> Вот не совсем понял про route map. Поделитесь плиз опытом куда копать
> дальше?

Выкладывайте конфиги раутеров. по разнообразным кусам очень тяжело помогать.


"Маршрутизация при поднятом IPSEC  Новые факторы"
Отправлено varlis , 22-Июн-11 10:27 
>[оверквотинг удален]
>>  ip virtual-reassembly drop-fragments
>>  no snmp trap link-status
>>  crypto map c-capital
>> Ну вот не знаю нужно ли еще приводить аксессы 103 и 104.
>> в них есть
>> access-list 103 permit icmp any any
>> access-list 104 permit icmp any any
>> Вот не совсем понял про route map. Поделитесь плиз опытом куда копать
>> дальше?
> Выкладывайте конфиги раутеров. по разнообразным кусам очень тяжело помогать.

Огромное спасибо за помощь.
привел access-list 195 в формат:
9 deny ip host 10.1.1.6 192.168.2.0 0.0.0.255
10 permit ip host 10.1.1.6 any
Заработало.
Вот еще исчерпывающая статья может кому поможет :
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...