URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22882
[ Назад ]

Исходное сообщение
"Грабли с IPSEC"

Отправлено Babaich , 15-Июл-11 11:37 
Добрый день,

Есть GRE-туннель. Хочу шифровать в нем часть траффика. Привязал к туннелю криптомапу с access-list. Все хорошо, но почему то в статистике вижу, траффик от хоста 192,168,253,14 шифруется только в одну сторону. По другим хостам все нормально. Вот конфиг:


(C2811) IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 15.1(3)T
R_2811:

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key *** address 192.168.14.1

crypto ipsec transform-set 2CA esp-3des esp-sha-hmac

crypto map CA local-address Serial0/0/0.1
crypto map CA 10 ipsec-isakmp
set peer 192.168.14.1
set transform-set 2CA
match address 123

interface Tunnel123
description VPN_FR_2MINSK
bandwidth 2000
ip address 192.168.252.26 255.255.255.252
ip flow ingress
ip tcp adjust-mss 1400
load-interval 30
keepalive 10 3
tunnel source 192.168.14.9
tunnel destination 192.168.14.1
tunnel path-mtu-discovery
crypto map CA

interface FastEthernet0/0
description -- Internal Link --
ip address 192.168.23.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip flow ingress
ip policy route-map clear-df
load-interval 30
duplex auto
speed auto
no cdp enable
bridge-group 1
!
interface FastEthernet0/1
ip address 192.168.121.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
no ip redirects
no ip proxy-arp
ip mtu 1400
ip flow ingress
encapsulation frame-relay
load-interval 30
no fair-queue
frame-relay traffic-shaping
no frame-relay inverse-arp
frame-relay lmi-type cisco
!
interface Serial0/0/0.1 multipoint
ip address 192.168.14.9 255.255.255.0
ip flow ingress
no ip route-cache same-interface
frame-relay map ip 192.168.14.1 706 IETF
frame-relay interface-dlci 706
  class pvc1024k

ip route 192.168.253.12 255.255.255.252 192.168.121.2 tag 151

access-list 123 permit tcp 192.168.23.0 0.0.0.255 host 192.168.1.121 eq 1521
access-list 123 permit tcp host 192.168.23.220 host 10.1.6.164
access-list 123 permit tcp host 192.168.23.220 10.4.226.0 0.0.0.255
access-list 123 permit tcp host 192.168.253.14 host 10.1.6.164
access-list 123 permit tcp host 192.168.253.14 10.4.226.0 0.0.0.255

Хосты за Fa0/0 нормально, а за Fa0/1 - проблема

R_2811#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
192.168.14.9    192.168.14.1    QM_IDLE           1036 ACTIVE

R_2811#sh access-lists 123
Extended IP access list 123
    10 permit tcp 192.168.23.0 0.0.0.255 host 192.168.1.121 eq 1521 (4279 matches)
    20 permit tcp host 192.168.23.220 host 10.1.6.164 (549 matches)
    30 permit tcp host 192.168.23.220 10.4.226.0 0.0.0.255 (659 matches)
    40 permit tcp host 192.168.253.14 host 10.1.6.164 (126 matches)
    50 permit tcp host 192.168.253.14 10.4.226.0 0.0.0.255 (321 matches)

R_2811#sh cry ips sa

interface: Tunnel123
    Crypto map tag: CA, local addr 192.168.14.9

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.23.220/255.255.255.255/6/0)
   remote ident (addr/mask/prot/port): (10.1.6.164/255.255.255.255/6/0)
   current_peer 192.168.14.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 315, #pkts encrypt: 315, #pkts digest: 315
    #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123
     current outbound spi: 0x1EDFB20A(517976586)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xA482B239(2760028729)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2497, flow_id: NETGX:497, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4544086/480)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x1EDFB20A(517976586)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2498, flow_id: NETGX:498, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4544036/480)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.253.14/255.255.255.255/6/0)
   remote ident (addr/mask/prot/port): (10.1.6.164/255.255.255.255/6/0)
   current_peer 192.168.14.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 127, #pkts decrypt: 127, #pkts verify: 127
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123
     current outbound spi: 0x3DEFD32B(1039127339)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x2D5AE2A1(760930977)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2491, flow_id: NETGX:491, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4411497/477)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:
          
     inbound pcp sas:

     outbound esp sas:
      spi: 0x3DEFD32B(1039127339)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2492, flow_id: NETGX:492, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4411512/477)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.23.220/255.255.255.255/6/0)
   remote ident (addr/mask/prot/port): (10.4.226.0/255.255.255.0/6/0)
   current_peer 192.168.14.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 336, #pkts encrypt: 336, #pkts digest: 336
    #pkts decaps: 337, #pkts decrypt: 337, #pkts verify: 337
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123
     current outbound spi: 0xB8882467(3095929959)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB2A5C1E6(2997207526)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2495, flow_id: NETGX:495, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4501612/479)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8882467(3095929959)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2496, flow_id: NETGX:496, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4501620/479)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
          
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.23.0/255.255.255.0/6/0)
   remote ident (addr/mask/prot/port): (192.168.1.121/255.255.255.255/6/1521)
   current_peer 192.168.14.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 2044, #pkts encrypt: 2044, #pkts digest: 2044
    #pkts decaps: 2268, #pkts decrypt: 2268, #pkts verify: 2268
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123
     current outbound spi: 0xA0A9E442(2695488578)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x33D287ED(869435373)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2499, flow_id: NETGX:499, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4548605/481)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xA0A9E442(2695488578)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2500, flow_id: NETGX:500, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4549167/481)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.253.14/255.255.255.255/6/0)
   remote ident (addr/mask/prot/port): (10.4.226.0/255.255.255.0/6/0)
   current_peer 192.168.14.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: 326
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1
     path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123
     current outbound spi: 0x554B18F5(1430984949)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xAFB14634(2947630644)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2493, flow_id: NETGX:493, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4505177/477)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x554B18F5(1430984949)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2494, flow_id: NETGX:494, sibling_flags 80000046, crypto map: CA
        sa timing: remaining key lifetime (k/sec): (4505216/477)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:


Содержание

Сообщения в этом обсуждении
"Грабли с IPSEC"
Отправлено Babaich , 20-Июл-11 10:03 
>[оверквотинг удален]
>    current_peer 192.168.14.1 port 500
>      PERMIT, flags={origin_is_acl,}
>     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest:
> 0
>     #pkts decaps: 326, #pkts decrypt: 326, #pkts verify:
> 326
>     #pkts compressed: 0, #pkts decompressed: 0
>     #pkts not compressed: 0, #pkts compr. failed: 0
>     #pkts not decompressed: 0, #pkts decompress failed: 0
>     #send errors 0, #recv errors 0

Неужели никаких мыслей?


"Грабли с IPSEC"
Отправлено Николай_kv , 20-Июл-11 10:41 
>[оверквотинг удален]
>>      PERMIT, flags={origin_is_acl,}
>>     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest:
>> 0
>>     #pkts decaps: 326, #pkts decrypt: 326, #pkts verify:
>> 326
>>     #pkts compressed: 0, #pkts decompressed: 0
>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>     #send errors 0, #recv errors 0
> Неужели никаких мыслей?

Я из всего этого мусора увидел только один из пиров образующих критпотунель.
Откуда мысли что криптуеться только в одну сторону?

Есть замечательная команда sh crypto session detail запустите на обоих сторонах и все наглядно удидите.


"Грабли с IPSEC"
Отправлено Babaich , 20-Июл-11 11:19 
>[оверквотинг удален]
>>> 326
>>>     #pkts compressed: 0, #pkts decompressed: 0
>>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>>     #send errors 0, #recv errors 0
>> Неужели никаких мыслей?
> Я из всего этого мусора увидел только один из пиров образующих критпотунель.
> Откуда мысли что криптуеться только в одну сторону?
> Есть замечательная команда sh crypto session detail запустите на обоих сторонах и
> все наглядно удидите.

Я делаю такой вывод потому, что в access-list для интересного траффика я вижу, что пакеты для шифрования от хоста 192.168.253.14 идут, а счетчик инкапсулированных пакетов остается равным нулю. Счетчик декапсулированных пакетов растет. Т.е. траффик только расшифровывается(причем только для одной строчки из access-list, для остальных хостов все нормально). На второй стороне зеркальная ситуация. Траффик по этому хосту только шифруется, в обратную сторону идет нешифрованный.
sh crypto session detail показывает тоже самое, что и sh crypto ipsec sa


"Грабли с IPSEC"
Отправлено Babaich , 20-Июл-11 11:23 
>[оверквотинг удален]
>>> 326
>>>     #pkts compressed: 0, #pkts decompressed: 0
>>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>>     #send errors 0, #recv errors 0
>> Неужели никаких мыслей?
> Я из всего этого мусора увидел только один из пиров образующих критпотунель.
> Откуда мысли что криптуеться только в одну сторону?
> Есть замечательная команда sh crypto session detail запустите на обоих сторонах и
> все наглядно удидите.

Interface: Tunnel123
Uptime: 4d18h
Session status: UP-ACTIVE    
Peer: 192.168.14.9 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.14.9
      Desc: (none)
  IKE SA: local 192.168.14.1/500 remote 192.168.14.9/500 Active
          Capabilities:(none) connid:1935 lifetime:00:55:42
  IPSEC FLOW: permit 6 host 10.1.6.164 host 192.168.253.14
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4507835/2641
        Outbound: #pkts enc'ed 15073 drop 1 life (KB/Sec) 4507831/2641


Interface: Tunnel123
Uptime: 4d18h
Session status: UP-ACTIVE    
Peer: 192.168.14.1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.14.1
      Desc: (none)
  IKEv1 SA: local 192.168.14.9/500 remote 192.168.14.1/500 Active
          Capabilities:(none) connid:1135 lifetime:00:55:51
  IPSEC FLOW: permit 6 host 192.168.253.14 host 10.1.6.164
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 17801 drop 0 life (KB/Sec) 4515337/2650
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4515341/2650


"Грабли с IPSEC"
Отправлено Николай_kv , 20-Июл-11 11:33 
а как дела обстоят с маршрутизацией? Судя по всему не доходит с одной стороны трафик до тунеля

"Грабли с IPSEC"
Отправлено Babaich , 20-Июл-11 11:47 
> а как дела обстоят с маршрутизацией? Судя по всему не доходит с
> одной стороны трафик до тунеля

Маршрут правильный.

R_2811# sh ip route 10.1.6.164
Routing entry for 10.0.0.0/8
  Known via "eigrp 110", distance 170, metric 2562816
  Tag 65001, type external
  Redistributing via eigrp 110
  Last update from 192.168.252.25 on Tunnel123, 1d17h ago
  Routing Descriptor Blocks:
  * 192.168.252.25, from 192.168.252.25, 1d17h ago, via Tunnel123
      Route metric is 2562816, traffic share count is 1
      Total delay is 50110 microseconds, minimum bandwidth is 2000 Kbit
      Reliability 255/255, minimum MTU 1476 bytes
      Loading 1/255, Hops 3
      Route tag 65001

Траффик между хостами ходит нормально, просто судя по счетчикам не шифруется. Все отличие от правильно работающих хостов это то, что хост 192,168,253,14 находится за интерфейсом Fa0/1(за ADSL-модемом), а все остальные хосты 192,168,23,0/24 за Fa0/0(внутренняя сеть). Туннель прикручен к Serial0/0/0


"Грабли с IPSEC"
Отправлено Б , 20-Июл-11 11:52 

А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке гораздо удобнее же.

"Грабли с IPSEC"
Отправлено Babaich , 20-Июл-11 13:14 
> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке
> гораздо удобнее же.

Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать траффик выборочно? Если можно, то хотелось бы увидеть пример.


"Грабли с IPSEC"
Отправлено Aleks305 , 20-Июл-11 17:24 
>> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке
>> гораздо удобнее же.
> Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать
> траффик выборочно? Если можно, то хотелось бы увидеть пример.

сам не пробовал, но может split tunnel поможет