Доброго времени суток!Есть 3 площадки: цод dc (cisco3945), удаленные офисы loc1 (cisco3945) и loc2 (cisco1841). В цод один isp, в офисах - по два, причем из loc1 в dc через одного из провайдеров проброшен прямой vlan (l2-vpn, если не ошибаюсь). На всех площадках после цисок в дмз стоит шлюз/фаерволл, за которым уже своя локалка. Мне нужно соединить эти площадки - офисы должны подключатся к цоду gre+ipsec туннелями, между всеми площадками должен ходить траффик.
Идея понятная - в цоде dm-vpn hub, loc2 - dm-vpn spoke + even-manager для переключения на другой isp в случае падения, loc1 - dm-vpn spoke + обычный gre+ipsec туннель через прямой vlan; по всем туннелям - eigrp для маршрутизации, сети за гейтами - через redistribute route. Конфиги я написал, собрал 1-в-1 стенд в gns3 и проверил все мельчайшие детали - в gns3 все работало замечательно.
В реальности, как несложно догадаться, возникла непонятная мне проблема:
Все туннели успешно поднялись, eigrp получил все маршруты - до сетей dc, до сетей loc1, до сетей loc2, но между собой пингуется все, но только вплоть до дмз интерфейса (192.168.5.1) циски loc2, т.е. внутренняя сеть loc2 или дмз интерфейс шлюза (192.168.5.2) недоступны ни из dc, ни из loc1. При этом с самой циски loc2 - все пингуется: и дмз, и локалка, и остальные площадки. Более того - tcpdump-ом на шлюзе я вижу входящие пинги и даже исходящие ответы, но debug ip icmp на циске этих ответов не показывает.
Что самое странное - если с loc2 поднять туннель не до dc, а до loc1 (не важно, dm-vpn или обычный туннель) - то все работает, все площаки пингуют друг друга, траффик ходит. Но это плохой вариант, т.к. loc2 зависит от интернета в loc1.
Прошу помощи разобраться в этих чудесах!конфиги цисок:
dc:
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname dc
!
boot-start-marker
boot-end-marker
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
redundancy
!
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
set pfs group1
!
bridge irb
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.0
no ip redirects
no ip next-hop-self eigrp 1020
ip nhrp map multicast dynamic
ip nhrp network-id 111
no ip split-horizon eigrp 1020
tunnel source GigabitEthernet0/2.735
tunnel mode gre multipoint
tunnel key 111
tunnel protection ipsec profile myprofile
!
interface Tunnel2
ip address 192.168.4.1 255.255.255.252
no ip split-horizon eigrp 1020
tunnel source 192.168.1.1
tunnel destination 192.168.1.2
tunnel key 222
tunnel protection ipsec profile myprofile
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.11
encapsulation dot1Q 11
bridge-group 1
!
interface GigabitEthernet0/0.12
encapsulation dot1Q 12
bridge-group 2
!
interface GigabitEthernet0/0.13
encapsulation dot1Q 13
bridge-group 3
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.11
encapsulation dot1Q 11
bridge-group 1
!
interface GigabitEthernet0/1.12
encapsulation dot1Q 12
bridge-group 2
!
interface GigabitEthernet0/1.13
encapsulation dot1Q 13
bridge-group 3
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2.735
description <<<inet>>>
encapsulation dot1Q 735
ip address xxx.xxx.xxx.xx2 255.255.255.224 secondary
ip address xxx.xxx.xxx.xxx 255.255.255.224
ip nat outside
!
interface GigabitEthernet0/2.970
description <<<dc-loc1-vlan>>>
encapsulation dot1Q 970
ip address 192.168.1.1 255.255.255.252
!
interface BVI1
ip address 192.168.11.1 255.255.255.0
!
interface BVI2
ip address 192.168.7.1 255.255.255.0
ip nat inside
!
interface BVI3
ip address 192.168.8.1 255.255.255.0
ip nat inside
!
router eigrp 1020
variance 2
redistribute static route-map reigrp
network 192.168.3.0
network 192.168.4.0 0.0.0.3
network 192.168.7.0
network 192.168.8.0
network 192.168.11.0
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xgw
ip route 192.168.10.0 255.255.255.0 192.168.7.2
ip route 192.168.160.0 255.255.224.0 192.168.8.2
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat inside source static 192.168.7.2 xxx.xxx.xxx.xx2
!
no ip http server
no ip http secure-server
!
ip sla responder
access-list 10 remark <<<allowed to configure>>>
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 remark <<<redistribute routes>>>
access-list 20 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.160.0 0.0.31.255
!
route-map reigrp permit 10
match ip address 20
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 protocol ieee
bridge 2 route ip
bridge 3 protocol ieee
bridge 3 route ip
!
scheduler allocate 20000 1000
!
end
loc1:
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname loc1
!
boot-start-marker
boot-end-marker
!
crypto pki token default removal timeout 0
!
no ipv6 cef
ip cef
!
multilink bundle-name authenticated
!
redundancy
!
track 30 ip sla 3 reachability
!
track 40 ip sla 4 reachability
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
set pfs group1
!
interface Tunnel1
ip address 192.168.4.2 255.255.255.252
tunnel source 192.168.1.2
tunnel destination 192.168.1.1
tunnel key 222
tunnel protection ipsec profile myprofile
!
interface Tunnel2
ip address 192.168.3.4 255.255.255.0
ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx
ip nhrp map multicast xxx.xxx.xxx.xxx
ip nhrp network-id 111
ip nhrp nhs 192.168.3.1
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 111
tunnel protection ipsec profile myprofile
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.100
description <<< Lan-DMZ >>>
encapsulation dot1Q 100
ip address 172.16.250.1 255.255.255.248
ip directed-broadcast
ip nat inside
ip virtual-reassembly in
ip policy route-map inet
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.100
description <<< isp1 >>>
encapsulation dot1Q 2312
ip address yyy.yyy.aaa.aaa 255.255.255.248
ip nat outside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.101
description <<< loc1-dc-vlan >>>
encapsulation dot1Q 970
ip address 192.168.1.2 255.255.255.252
!
interface GigabitEthernet0/2
description <<< isp2 >>>
ip address yyy.yyy.bbb.bbb 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
router eigrp 1020
variance 2
network 172.16.250.0 255.255.255.248
network 192.168.4.0 255.255.255.252
network 192.168.3.0 255.255.255.0
redistribute static route-map reigrp
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat translation timeout 300
ip nat translation tcp-timeout 300
ip nat inside source route-map nat-eltel interface GigabitEthernet0/1.100 overload
ip nat inside source route-map nat-mcom interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 yyy.yyy.bbb.bgw 20 track 30
ip route 0.0.0.0 0.0.0.0 yyy.yyy.aaa.agw 10 track 40
ip route 10.0.0.0 255.0.0.0 172.16.250.2
!
ip sla responder
ip sla 3
icmp-echo yyy.yyy.bbb.bgw source-interface GigabitEthernet0/2
threshold 100
frequency 5
ip sla schedule 3 life forever start-time now
ip sla 4
icmp-echo yyy.yyy.aaa.agw source-interface GigabitEthernet0/1.100
threshold 100
frequency 5
ip sla schedule 4 life forever start-time now
access-list 10 remark <<<full lan&dmz>>>
access-list 10 permit 10.0.0.0 0.255.255.255
access-list 10 permit 172.16.250.0 0.0.0.7
access-list 20 remark <<<redistribute routes>>>
access-list 20 permit 10.0.0.0 0.255.255.255
access-list 30 remark <<<route through isp2>>>
access-list 30 permit 172.16.250.2
access-list 30 permit 10.0.13.0 0.0.0.255
access-list 30 permit 10.0.10.0 0.0.0.255
access-list 30 permit 10.0.7.0 0.0.0.255
access-list 30 permit 10.0.14.0 0.0.0.255
access-list 80 remark <<< exclude from isp2 list >>>
access-list 80 permit 10.0.10.2
access-list 80 permit 10.0.10.19
access-list 80 permit 10.0.10.21
access-list 80 permit 10.0.7.59
access-list 150 remark <<<route through vpn>>>
access-list 150 permit ip any 192.168.0.0 0.0.255.255
access-list 150 permit ip any 172.16.0.0 0.0.255.255
!
route-map inet deny 10
match ip address 150
!
route-map inet permit 20
match ip address 80
set ip next-hop yyy.yyy.aaa.agw
!
route-map inet permit 30
match ip address 30
set ip next-hop verify-availability yyy.yyy.bbb.bgw 10 track 30
set ip next-hop verify-availability yyy.yyy.aaa.agw 20 track 40
!
route-map reigrp permit 10
match ip address 20
!
route-map nat-isp1 permit 10
match ip address 10
match interface GigabitEthernet0/1.100
!
route-map nat-isp2 permit 10
match ip address 10
match interface GigabitEthernet0/2
!
control-plane
!
scheduler allocate 20000 1000
end
loc2:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname loc2
!
boot-start-marker
boot-end-marker
!
ip cef
!
multilink bundle-name authenticated
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile myprofile
set transform-set vpn1
set pfs group1
!
!
track 30 ip sla 3 reachability
delay down 15 up 15
!
track 40 ip sla 4 reachability
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.0
ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx
ip nhrp map multicast xxx.xxx.xxx.xxx
ip nhrp network-id 111
ip nhrp nhs 192.168.3.1
tunnel source vlan2
tunnel mode gre multipoint
tunnel key 111
tunnel protection ipsec profile myprofile
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 3
no cdp enable
!
interface FastEthernet0/0/2
switchport access vlan 4
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
ip address zzz.zzz.aaa.aaa 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Vlan3
ip address zzz.zzz.bbb.bbb 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Vlan4
ip address 192.168.5.1 255.255.255.252
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1380
ip policy route-map out
!
router eigrp 1020
no auto-summary
network 192.168.3.0 255.255.255.0
network 192.168.5.0 255.255.255.252
redistribute static route-map reigrp
variance 2
traffic-share balanced
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 zzz.zzz.aaa.agw
ip route 0.0.0.0 0.0.0.0 zzz.zzz.bbb.bgw
ip route 192.168.2.0 255.255.255.0 192.168.5.2
no ip http server
no ip http secure-server
!
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat inside source route-map nat-isp1 interface Vlan2 overload
ip nat inside source route-map nat-isp2 interface Vlan3 overload
!
ip sla 3
icmp-echo zzz.zzz.aaa.agw source-interface Vlan2
threshold 100
frequency 5
ip sla schedule 3 life forever start-time now
ip sla 4
icmp-echo zzz.zzz.bbb.bgw source-interface Vlan3
threshold 100
frequency 5
ip sla schedule 4 life forever start-time now
access-list 10 remark <<<redistribute through eigrp>>>
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 23 remark <<<full lan&dmz>>>
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.5.0 0.0.0.3
access-list 150 remark <<<route through vpn>>>
access-list 150 permit ip any 192.168.0.0 0.0.255.255
access-list 150 permit ip any 172.16.0.0 0.0.255.255
access-list 150 permit ip any 10.0.0.0 0.255.255.255
!
route-map mout deny 10
match ip address 150
!
route-map mout permit 20
set ip next-hop verify-availability zzz.zzz.aaa.agw 10 track 30
set ip next-hop verify-availability zzz.zzz.bbb.bgw 20 track 40
!
route-map nat-isp1 permit 10
match ip address 23
match interface Vlan2
!
route-map nat-isp2 permit 10
match ip address 23
match interface Vlan3
!
route-map reigrp permit 10
match ip address 10
!
control-plane
!
event manager applet TUNNEL-ISP1
event track 30 state up
action 1.0 cli command "enable"
action 1.1 cli command "config t"
action 1.2 cli command "interface Tunnel1"
action 1.3 cli command "shutdown"
action 1.4 cli command "tunnel source vlan2"
action 1.5 cli command "ip address 192.168.3.2 255.255.255.0"
action 1.6 cli command "no shutdown"
action 1.7 cli command "do clear crypto isakmp"
event manager applet TUNNEL-ISP2
event track 30 state down
action 1.0 cli command "enable"
action 1.1 cli command "config t"
action 1.2 cli command "interface Tunnel1"
action 1.3 cli command "shutdown"
action 1.4 cli command "tunnel source vlan3"
action 1.5 cli command "ip address 192.168.3.3 255.255.255.0"
action 1.6 cli command "no shutdown"
action 1.7 cli command "do clear crypto isakmp"
!
scheduler allocate 20000 1000
end
извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан?
на loc2:
interface Vlan4
ip policy route-map out - где он?
на туннелях я бы добавил ip mtu 1416
> извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан?да, из dc, loc1 - 192.168.5.1 пингуется, а 5.2 уже нет. шлюз у 5.2 правильный - 5.1, тспдамп на 5.2 видит пинги и даже реплаи.
между собой 192.168.5.1 и 192.168.5.2 пингуются; в интернет 192.168.5.2 и локалка за ним - нормально выходят через 192.168.5.1
если туннель делать до loc1, а не до dc, не меняя ничего кроме этого - все работает, все пингуется отовсюду.
> на loc2:
> interface Vlan4
> ip policy route-map out - где он?эт я опечатался при "обсфукации", в реальности ip policy route map mout, роут мап mout там описан.
> на туннелях я бы добавил ip mtu 1416
но банальные пинги 64-80 байт-то в любом случае должны проходить
>[оверквотинг удален]
> ним - нормально выходят через 192.168.5.1
> если туннель делать до loc1, а не до dc, не меняя ничего
> кроме этого - все работает, все пингуется отовсюду.
>> на loc2:
>> interface Vlan4
>> ip policy route-map out - где он?
> эт я опечатался при "обсфукации", в реальности ip policy route map mout,
> роут мап mout там описан.
>> на туннелях я бы добавил ip mtu 1416
> но банальные пинги 64-80 байт-то в любом случае должны проходитьнасчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и trace с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он не всегда все пакеты показывает. Есть возможность подключить на loc2 к f0/0/0 комп с программой типа Wireshark ? Что показывает sh ip rout в loc2?
>>[оверквотинг удален]
> насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с
> обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и traceпинг проходит
> с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но онзатыкается после 192.168.5.1
> не всегда все пакеты показывает. Есть возможность подключить на loc2 кdebug ip icmp пробовал включать - пинги до 5.1 он показывал, до 5.2 - уже нет, ни пинги, ни реплаи.
> f0/0/0 комп с программой типа Wireshark ? Что показывает shподключить комп возможности нет, площадка в другом городе, админов или хотя бы грамотных людей там нет.
> ip rout в loc2?по памяти - 192.168.3.1 был directly connected, tunnel1, 10.0.0.0/8 и остальные сети - D EX via 192.168.3.1, tunnel1, 192.168.5.0/30 - directly connected, vlan4
сейчас чтобы хоть как-то работало у меня подняты туннели до loc1, поэтому точно не скажу, но когда изначально проблема была - я эти моменты смотрел.
этой или следующей ночью снова попробую конфигурацию с туннелями до dc и отпишусь по точным результатам.
>>[оверквотинг удален]сделал ночные тесты, результаты ниже
> насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с
> обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и trace
> с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но онпинг с loc2:
loc2#ping 192.168.8.1 so 192.168.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.8.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.5.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/33/36 ms
пинг с dc:
dc#ping 192.168.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms
dc#ping 192.168.5.2 so 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
.....
Success rate is 0 percent (0/5)
трейс и таблица маршрутизции с 5.2 (loc2-gw):
loc2-gw# traceroute -n 192.168.3.1
traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets
1 192.168.5.1 (192.168.5.1) 1.691 ms 1.623 ms 1.868 ms
2 * * *
3 * * *
4 *^CDestination Gateway Flags Refs Use Netif Expire
default 192.168.5.1 UGS 16846 230707321 xl0
127.0.0.1 link#4 UH 0 3616796 lo0
192.168.2.0/24 link#2 U 3036 568740143 sk0
192.168.2.237 link#2 UHS 0 312317212 lo0
192.168.5.0/30 link#1 U 586 16392446 xl0
192.168.5.2 link#1 UHS 0 2720661 lo0> не всегда все пакеты показывает. Есть возможность подключить на loc2 к
> f0/0/0 комп с программой типа Wireshark ? Что показывает sh
> ip rout в loc2?вполне правильную картину, на мой взгляд (tunnel3 - это tunnel1 из моего изначального конфига, просто сейчас там еще 2 туннеля tun1,tun2 до loc1 в shutdown-е):
Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0D EX 192.168.122.0/24 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3
D 192.168.8.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
D EX 192.168.10.0/24 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3
172.16.0.0/29 is subnetted, 1 subnets
D 172.16.250.0 [90/28160256] via 192.168.3.1, 00:00:50, Tunnel3
D 192.168.11.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
192.168.4.0/30 is subnetted, 3 subnets
D 192.168.4.8 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3
D 192.168.4.4 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3
D 192.168.4.0 [90/28160000] via 192.168.3.1, 00:00:50, Tunnel3
yyy.yyy.aaa.0/32 is subnetted, 1 subnets
S yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw
192.168.5.0/30 is subnetted, 1 subnets
C 192.168.5.0 is directly connected, Vlan4
D EX 10.0.0.0/8 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3
zzz.zzz.aaa.0/29 is subnetted, 1 subnets
C zzz.zzz.aaa.aaa is directly connected, Vlan2
D 192.168.7.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
zzz.zzz.bbb.0/29 is subnetted, 1 subnets
C zzz.zzz.bbb.bbb is directly connected, Vlan3
yyy.yyy.bbb.0/32 is subnetted, 1 subnets
S yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw
S 192.168.2.0/24 [1/0] via 192.168.5.2
C 192.168.3.0/24 is directly connected, Tunnel3
S* 0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw
[1/0] via zzz.zzz.bbb.bgw
D EX 192.168.160.0/19 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3
для сравнения картина когда туннели подняты 2 туннеля до loc1 (каждый через своего провайдера):
Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0D EX 192.168.122.0/24 [170/26880256] via 192.168.4.9, 11:51:31, Tunnel1
[170/26880256] via 192.168.4.5, 11:51:31, Tunnel2
D 192.168.8.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1
[90/28288000] via 192.168.4.5, 11:51:31, Tunnel2
D EX 192.168.10.0/24 [170/28288000] via 192.168.4.9, 11:51:31, Tunnel1
[170/28288000] via 192.168.4.5, 11:51:31, Tunnel2
172.16.0.0/29 is subnetted, 1 subnets
D 172.16.250.0 [90/26880256] via 192.168.4.9, 11:51:31, Tunnel1
[90/26880256] via 192.168.4.5, 11:51:31, Tunnel2
D 192.168.11.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1
[90/28288000] via 192.168.4.5, 11:51:31, Tunnel2
192.168.4.0/30 is subnetted, 3 subnets
C 192.168.4.8 is directly connected, Tunnel1
C 192.168.4.4 is directly connected, Tunnel2
D 192.168.4.0 [90/28160000] via 192.168.4.9, 11:51:32, Tunnel1
[90/28160000] via 192.168.4.5, 11:51:32, Tunnel2
yyy.yyy.aaa.0/32 is subnetted, 1 subnets
S yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw
192.168.5.0/30 is subnetted, 1 subnets
C 192.168.5.0 is directly connected, Vlan4
D EX 10.0.0.0/8 [170/26880256] via 192.168.4.9, 11:51:32, Tunnel1
[170/26880256] via 192.168.4.5, 11:51:32, Tunnel2
zzz.zzz.aaa.0/29 is subnetted, 1 subnets
C zzz.zzz.aaa.64 is directly connected, Vlan2
D 192.168.7.0/24 [90/28288000] via 192.168.4.9, 11:51:32, Tunnel1
[90/28288000] via 192.168.4.5, 11:51:32, Tunnel2
zzz.zzz.bbb.0/29 is subnetted, 1 subnets
C zzz.zzz.bbb.bbb is directly connected, Vlan3
yyy.yyy.bbb.0/32 is subnetted, 1 subnets
S yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw
S 192.168.2.0/24 [1/0] via 192.168.5.2
S* 0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw
[1/0] via zzz.zzz.bbb.bgw
D EX 192.168.160.0/19 [170/28288000] via 192.168.4.9, 11:51:32, Tunnel1
[170/28288000] via 192.168.4.5, 11:51:32, Tunnel2
>
> loc2-gw# traceroute -n 192.168.3.1
> traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets
> 1 192.168.5.1 (192.168.5.1) 1.691 ms 1.623 ms
> 1.868 ms
> 2 * * *
> 3 * * *
> 4 *^CВидно, что пакет нормально доходит до туннеля 3 на loc2. Дальше что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping 192.168.3.1
> Видно, что пакет нормально доходит до туннеля 3 на loc2. Дальше
> что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping
> 192.168.3.1в том-то и дело, что debug ip icmp ничего не показывает про пинг 192.168.5.2<->192.168.3.1, хотя про всякие пинги из инета или с loc1 - пишет
*Dec 28 06:31:09.800: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:09.876: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163
*Dec 28 06:31:10.408: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.154.77.54
*Dec 28 06:31:11.036: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16
*Dec 28 06:31:11.040: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:11.592: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 83.81.66.180
*Dec 28 06:31:11.644: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:12.156: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76
*Dec 28 06:31:12.220: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:12.936: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 176.96.233.109
*Dec 28 06:31:13.076: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:13.608: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 195.82.154.13
*Dec 28 06:31:13.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb
*Dec 28 06:31:13.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1
*Dec 28 06:31:14.360: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:14.520: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.53.24
*Dec 28 06:31:14.988: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:15.024: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:15.112: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.64.35.185
*Dec 28 06:31:15.572: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:15.884: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 77.163.207.16
*Dec 28 06:31:16.240: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:16.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:16.816: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 217.165.120.60
*Dec 28 06:31:17.432: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:17.492: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16
*Dec 28 06:31:18.580: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76
*Dec 28 06:31:18.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb
*Dec 28 06:31:18.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1
*Dec 28 06:31:19.216: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:19.424: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163
*Dec 28 06:31:19.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:20.232: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:20.976: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.15.1
*Dec 28 06:31:21.164: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:21.768: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.106.129.4
более того - когда туннель поднят до loc1 и все пинги проходят - debug ip icmp тоже не отображает пинги от 192.168.5.2
.