URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 852
[ Назад ]

Исходное сообщение
"не работает gre over ipsec"
Отправлено don_kuklachev , 08-Июл-13 13:52

Странная ситуация с настройкой gre over ipsec. Пробовал настраивать между различными роутерами(7206 и 2821 со стороны ЦО - 1841,871(Router) с УО)- проблема явно не в IOS и не в настройках какого то конкретного. Настройки вроде стандартные, в GNS работает все. В логах роутера УО сыпятся сообщения при попытки пинга с ЦО
%CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.
        (ip) vrf/dest_addr= /y.y.y.y, src_addr= x.x.x.x, prot= 47
Router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
y.y.y.y  x.x.x.x   QM_IDLE           2005    0 ACTIVE

Router#sh crypto ipsec sa
interface: FastEthernet4
    Crypto map tag: static-map, local addr x.x.x.x
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (x.x.x.x/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (y.y.y.y/255.255.255.255/47/0)
   current_peer y.y.y.y port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0
     local crypto endpt.: x.x.x.x, remote crypto endpt.: y.y.y.y
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0xF65DF2A4(4133352100)
     inbound esp sas:
      spi: 0x9AF88F27(2599980839)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 7, flow_id: Motorola SEC 1.0:7, crypto map: static-map
        sa timing: remaining key lifetime (k/sec): (4515456/2396)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xF65DF2A4(4133352100)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 8, flow_id: Motorola SEC 1.0:8, crypto map: static-map
        sa timing: remaining key lifetime (k/sec): (4515455/2395)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

Содержание

не работает gre over ipsec,VolanD, 14:06 , 08-Июл-13
не работает gre over ipsec,Николай, 14:37 , 08-Июл-13
- не работает gre over ipsec,don_kuklachev, 15:20 , 08-Июл-13
  - не работает gre over ipsec,Ash, 15:25 , 08-Июл-13
    - не работает gre over ipsec,don_kuklachev, 15:32 , 08-Июл-13
      - не работает gre over ipsec,don_kuklachev, 17:57 , 08-Июл-13
  - не работает gre over ipsec,ShyLion, 14:01 , 10-Июл-13
не работает gre over ipsec,crash, 11:15 , 09-Июл-13
- не работает gre over ipsec,don_kuklachev, 14:10 , 09-Июл-13
  - не работает gre over ipsec,Николай, 15:00 , 09-Июл-13
    - не работает gre over ipsec,don_kuklachev, 16:06 , 09-Июл-13
      - не работает gre over ipsec,VolanD, 20:19 , 09-Июл-13
        
        не работает gre over ipsec,mr_noname, 07:26 , 10-Июл-13
        
        не работает gre over ipsec,VolanD, 09:42 , 10-Июл-13
    - не работает gre over ipsec,mr_noname, 07:24 , 10-Июл-13
  - не работает gre over ipsec,crash, 06:34 , 10-Июл-13
    - не работает gre over ipsec,don_kuklachev, 10:16 , 10-Июл-13
      - не работает gre over ipsec,crash, 07:16 , 11-Июл-13
        
        не работает gre over ipsec,ShyLion, 09:01 , 11-Июл-13
        
        не работает gre over ipsec,don_kuklachev, 09:39 , 11-Июл-13
      - не работает gre over ipsec,makis58, 11:15 , 14-Июл-13
  - не работает gre over ipsec,mr_noname, 07:30 , 10-Июл-13
    - не работает gre over ipsec,don_kuklachev, 10:19 , 10-Июл-13
      - не работает gre over ipsec,mr_noname, 16:21 , 12-Июл-13
не работает gre over ipsec,VolanD, 10:05 , 10-Июл-13
- не работает gre over ipsec,don_kuklachev, 10:19 , 10-Июл-13
- не работает gre over ipsec,ShyLion, 09:02 , 11-Июл-13
  - не работает gre over ipsec,VolanD, 17:02 , 14-Июл-13

Сообщения в этом обсуждении

"не работает gre over ipsec"
Отправлено VolanD , 08-Июл-13 14:06

> Странная ситуация с настройкой gre over ipsec. Пробовал настраивать между различными роутерами(7206
> и 2821 со стороны ЦО - 1841,871(Router) с УО)- проблема явно
> не в IOS и не в настройках какого то конкретного. Настройки
> вроде стандартные, в GNS работает все. В логах роутера УО сыпятся
> сообщения при попытки пинга с ЦО
> %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.
> (ip) vrf/dest_addr= /y.y.y.y, src_addr=
> x.x.x.x, prot= 47
Там вроде какой-то ацл вешается, который говорит какой трафик шифровать. В него этот трафик попадает?

"не работает gre over ipsec"
Отправлено Николай , 08-Июл-13 14:37

ну так трафик в туннель попадает, а вот обратки нет. С туннелем вроде все ок, выстроился.
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

"не работает gre over ipsec"
Отправлено don_kuklachev , 08-Июл-13 15:20

> ну так трафик в туннель попадает, а вот обратки нет. С туннелем
> вроде все ок, выстроился.
>  #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
>  #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
да - но пинга нет
C УО:
10 permit gre host x.x.x.x host y.y.y.y (114 matches)

со стороны ЦО:
Extended IP access list vpn-static1
    10 permit gre host y.y.y.y host x.x.x.x (38 matches)

router_CO#sh crypto ipsec sa
interface: GigabitEthernet0/0.16
    Crypto map tag: static-map, local addr y.y.y.y
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (y.y.y.y/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (x.x.x.x/255.255.255.255/47/0)
   current_peer x.x.x.x port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: y.y.y.y, remote crypto endpt.: x.x.x.x
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0.16
     current outbound spi: 0x82EA14D5(2196378837)
     inbound esp sas:
      spi: 0x92511862(2454788194)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3001, flow_id: NETGX:1, crypto map: static-map
        sa timing: remaining key lifetime (k/sec): (4553399/680)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x82EA14D5(2196378837)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3002, flow_id: NETGX:2, crypto map: static-map
        sa timing: remaining key lifetime (k/sec): (4553399/679)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

"не работает gre over ipsec"
Отправлено Ash , 08-Июл-13 15:25

У тебя крипто АСЛ
10 permit gre host x.x.x.x host y.y.y.y (114 matches)
а ты пускаешь пинг и куда он должен пойти - вот и дебаг тебе прямо об этом говорит

"не работает gre over ipsec"
Отправлено don_kuklachev , 08-Июл-13 15:32

> У тебя крипто АСЛ
> 10 permit gre host x.x.x.x host y.y.y.y (114 matches)
> а ты пускаешь пинг и куда он должен пойти - вот и
> дебаг тебе прямо об этом говорит
ну как бы я пингую ip тоннеля . без крипто мэпа он пингуется. подскажи тогда какой должен быть ацл.

"не работает gre over ipsec"
Отправлено don_kuklachev , 08-Июл-13 17:57

>> У тебя крипто АСЛ
>> 10 permit gre host x.x.x.x host y.y.y.y (114 matches)
>> а ты пускаешь пинг и куда он должен пойти - вот и
>> дебаг тебе прямо об этом говорит
> ну как бы я пингую ip тоннеля . без крипто мэпа он
> пингуется. подскажи тогда какой должен быть ацл.
ладно по фигу, через ipsec profile все работает. Хотя очень странная ситуация. Ведь на одном из маршрутизаторов уже работают несколько тоннелей через крипто мэпы. Да и раньше я помню в тестовых целях поднимал нормально. Что может влиять не понятно.

"не работает gre over ipsec"
Отправлено ShyLion , 10-Июл-13 14:01

> со стороны ЦО:
> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
Со стороны CO пакеты обратно в туннель не засовываются. Значит они уходят альтернативным путем. Воможно есть еще туннели?

"не работает gre over ipsec"
Отправлено crash , 09-Июл-13 11:15

вы бы конфиг показали, ради приличия. Ну и если верить вашему acl, то вы разрешаете в него gre, а с чего вы решили тогда что icmp должен попасть в туннель?

"не работает gre over ipsec"
Отправлено don_kuklachev , 09-Июл-13 14:10

> вы бы конфиг показали, ради приличия. Ну и если верить вашему acl,
> то вы разрешаете в него gre, а с чего вы решили
> тогда что icmp должен попасть в туннель?
мне казалось что ip тоннеля УО(192.168.45.2) должен быть доступен.

ЦО:
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key bigsecret address x.x.x.x
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
!
!
!
crypto map static-map 10 ipsec-isakmp
set peer x.x.x.x
set transform-set vpn-test
match address vpn-static1
interface Tunnel1
ip address 192.168.45.1 255.255.255.252
tunnel source y.y.y.y
tunnel destination x.x.x.x
ip access-list extended vpn-static1
permit gre host y.y.y.y host x.x.x.x
На роутере УО конфиг симментричный.
crypto isakmp policy 10
encr 3des
authentication pre-share
crypto isakmp key bigsecret address y.y.y.y
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
!
!
!
crypto map static-map 10 ipsec-isakmp
set peer y.y.y.y
set transform-set vpn-test
match address vpn-static2
interface Tunnel1
ip address 192.168.45.2 255.255.255.252
tunnel source x.x.x.x
tunnel destination y.y.y.y
ip access-list extended vpn-static2
permit gre host x.x.x.x host y.y.y.y

"не работает gre over ipsec"
Отправлено Николай , 09-Июл-13 15:00

ну что и требовалось доказать классика
ip access-list extended vpn-static1
permit gre host y.y.y.y host x.x.x.x

"не работает gre over ipsec"
Отправлено don_kuklachev , 09-Июл-13 16:06

> ну что и требовалось доказать классика
> ip access-list extended vpn-static1
> permit gre host y.y.y.y host x.x.x.x
и в чем же ошибка? вроде пример из циско гайда)

"не работает gre over ipsec"
Отправлено VolanD , 09-Июл-13 20:19

>> ну что и требовалось доказать классика
>> ip access-list extended vpn-static1
>> permit gre host y.y.y.y host x.x.x.x
> и в чем же ошибка? вроде пример из циско гайда)
Если меня не обманывает чутье, то исходящий траффик то у вас шифруется, а вот входящий то?

"не работает gre over ipsec"
Отправлено mr_noname , 10-Июл-13 07:26

> Если меня не обманывает чутье, то исходящий траффик то у вас шифруется,
> а вот входящий то?
Входящий расшифровывается на основании того же правила в ACL. В одну сторону - шифрование, в другую - расшифровка.

"не работает gre over ipsec"
Отправлено VolanD , 10-Июл-13 09:42

>> Если меня не обманывает чутье, то исходящий траффик то у вас шифруется,
>> а вот входящий то?
> Входящий расшифровывается на основании того же правила в ACL. В одну сторону
> - шифрование, в другую - расшифровка.
Вы правы, загуглил, действительно нужно только для исходящего трафика.

"не работает gre over ipsec"
Отправлено mr_noname , 10-Июл-13 07:24

> ну что и требовалось доказать классика
> ip access-list extended vpn-static1
> permit gre host y.y.y.y host x.x.x.x
Что-то я тоже не понял, где тут классика. С ACL всё в порядке: адреса источника и назначения не перепутаны, если конфигу верить. Можете пояснить? По-моему, ошибка не тут.

"не работает gre over ipsec"
Отправлено crash , 10-Июл-13 06:34

в конфиге не видно, где вы вешаете ipsec, но считаем что на интерфейсе. Может вам стоит с acl листом поиграть и добавить туда например icmp?

"не работает gre over ipsec"
Отправлено don_kuklachev , 10-Июл-13 10:16

> в конфиге не видно, где вы вешаете ipsec, но считаем что на
> интерфейсе. Может вам стоит с acl листом поиграть и добавить туда
> например icmp?
да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают бегать, то есть фактически он не применяется.

"не работает gre over ipsec"
Отправлено crash , 11-Июл-13 07:16

>> в конфиге не видно, где вы вешаете ipsec, но считаем что на
>> интерфейсе. Может вам стоит с acl листом поиграть и добавить туда
>> например icmp?
> да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже
> висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ).
> На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий
> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.
> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда
> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают
> бегать, то есть фактически он не применяется.
вы не пускаете в туннель ничего кроме gre. То есть у вас ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.

"не работает gre over ipsec"
Отправлено ShyLion , 11-Июл-13 09:01

>[оверквотинг удален]
>>> например icmp?
>> да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже
>> висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ).
>> На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий
>> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.
>> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда
>> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают
>> бегать, то есть фактически он не применяется.
> вы не пускаете в туннель ничего кроме gre. То есть у вас
> ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.
Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично, правда лучше таки использовать профили.

"не работает gre over ipsec"
Отправлено don_kuklachev , 11-Июл-13 09:39

>[оверквотинг удален]
>>> На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий
>>> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.
>>> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда
>>> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают
>>> бегать, то есть фактически он не применяется.
>> вы не пускаете в туннель ничего кроме gre. То есть у вас
>> ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.
> Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он
> инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично,
> правда лучше таки использовать профили.
да как раз с профилями все работает) просто интересно стало что за проблема такая, думал мож кто сталкивался. А тут АЦЛ оказывается стал неправильным)

"не работает gre over ipsec"
Отправлено makis58 , 14-Июл-13 11:15

>> в конфиге не видно, где вы вешаете ipsec, но считаем что на
>> интерфейсе. Может вам стоит с acl листом поиграть и добавить туда
>> например icmp?
> да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже
> висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ).
> На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий
> перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.
> Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда
> вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают
> бегать, то есть фактически он не применяется.
Да впринципе оно так и есть
[img]http://sexi.maksnik.com/uploads/posts/2013-07/1373125717_tri...

"не работает gre over ipsec"
Отправлено mr_noname , 10-Июл-13 07:30

> crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
Вообще, должно и так работать, но раз уж у вас GRE, то IPSec можно перевести в транспортный режим:
crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
mode transport
Тогда можно будет лишний заголовок из пакета убрать.

"не работает gre over ipsec"
Отправлено don_kuklachev , 10-Июл-13 10:19

>> crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
> Вообще, должно и так работать, но раз уж у вас GRE, то
> IPSec можно перевести в транспортный режим:
> crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac
> mode transport
> Тогда можно будет лишний заголовок из пакета убрать.
помнится-не помогло

"не работает gre over ipsec"
Отправлено mr_noname , 12-Июл-13 16:21

> помнится-не помогло
Ну да, это не должно было бы в данном случае на работоспособность повлиять. Просто заодно к слову пришлось.

"не работает gre over ipsec"
Отправлено VolanD , 10-Июл-13 10:05

>[оверквотинг удален]
> }
>         conn id: 8, flow_id:
> Motorola SEC 1.0:8, crypto map: static-map
>         sa timing: remaining key
> lifetime (k/sec): (4515455/2395)
>         IV size: 8 bytes
>         replay detection support: Y
>         Status: ACTIVE
>      outbound ah sas:
>      outbound pcp sas:
Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то у вас только ГРЕ )

"не работает gre over ipsec"
Отправлено don_kuklachev , 10-Июл-13 10:19

>[оверквотинг удален]
>> Motorola SEC 1.0:8, crypto map: static-map
>>         sa timing: remaining key
>> lifetime (k/sec): (4515455/2395)
>>         IV size: 8 bytes
>>         replay detection support: Y
>>         Status: ACTIVE
>>      outbound ah sas:
>>      outbound pcp sas:
> Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то
> у вас только ГРЕ )
пингуюсь и в 192.168.45.0 и лупбеки и существующие сети с соответствующими роутами на сети.

"не работает gre over ipsec"
Отправлено ShyLion , 11-Июл-13 09:02

>[оверквотинг удален]
>> Motorola SEC 1.0:8, crypto map: static-map
>>         sa timing: remaining key
>> lifetime (k/sec): (4515455/2395)
>>         IV size: 8 bytes
>>         replay detection support: Y
>>         Status: ACTIVE
>>      outbound ah sas:
>>      outbound pcp sas:
> Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то
> у вас только ГРЕ )
см мой пост выше.

"не работает gre over ipsec"
Отправлено VolanD , 14-Июл-13 17:02

>[оверквотинг удален]
>>>         sa timing: remaining key
>>> lifetime (k/sec): (4515455/2395)
>>>         IV size: 8 bytes
>>>         replay detection support: Y
>>>         Status: ACTIVE
>>>      outbound ah sas:
>>>      outbound pcp sas:
>> Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то
>> у вас только ГРЕ )
> см мой пост выше.
Ну это понятно, просто если пинговать внешние адреса туннеля, то он в ацл тот уже не попадает... Я поэтому и спросил.