https://mobile.opennet.me/openforum/vsluhforumID6/21967.html Добрый день, многоуважаемый All.<br><br>У меня собрана следующая схема: 2 хаба (большие циски), пачка споуков (871 циски); поверх сети клиента строятся простые gre-туннели. Никакого шифрования, конфигурация элементарна и идентична (и на хабах, и на споуках):<br><br>interface Tunnel0<br> description TO_HUB1<br> ip address 10.1.1.2 255.255.255.252<br> tunnel source 192.168.0.70<br> tunnel destination 10.16.1.30<br>!<br>interface Tunnel1<br> description TO_HUB2<br> ip address 10.1.2.2 255.255.255.252<br> tunnel source 192.168.0.70<br> tunnel destination 10.16.1.26<br><br>Поверх gre - ospf. Долгое время все работало, до тех пор, пока клиент не сменил оборудование на своей сети. <br>На данный момент туннели TO_HUB2 работают без нареканий и вопросов. А с туннелями TO_HUB1 - странности. <br>Я не пингую соседа по туннелю. Но по нему ходят оспф хелло. (и так на всех споках, а не на каком-то одном конкретном ))<br><br>Router#sh ip ospf neighbor <br><br>Neighbor ID Pri State Dead Time Address Interface<br>10.1.2.2 0 FULL/ - https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#15 Tue, 10 Jan 2012 05:35:36 GMT &gt; 1. по поводу работы GRE без OSPF - я не пингую туннельного <br>&gt; соседа (как с хаба, так и со споука). Т.е. с моей <br>&gt; точки зрения - оспф тут не при чем.<br>&gt; 2. с рутингом все неплохо - я пингую tunnel dest (как с <br>&gt; хаба, так и со споука). причем пингую именно по нужному стыку. <br>&gt; 3. клиент переходил на циски, предположительно есть аса - но для нас <br>&gt; это черный ящик.<br>&gt; (Чисто теоретически - что можно закрыть на асе, что бы был такой <br>&gt; эффект? Там все чисто-чисто конкретно-конкретно: permit/deny gre...) <br><br>проблема решилась? у меня один в один такая же фигня, интересует, это все таки косяк провайдера или мне в конфигах копать?<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#14 Fri, 03 Dec 2010 06:57:24 GMT Если стоит АСА, будет полезно запросить у клиента результат packet-tracer выполненный в обе стороны прохождения туннеля. <br><br>Примерно так:<br>packet-tracer input outside rawip 192.168.1.2 47 172.168.5.5 detailed<br><br>&gt; 2. с рутингом все неплохо - я пингую tunnel dest (как с<br>&gt; хаба, так и со споука). причем пингую именно по нужному стыку.<br><br>Если пинги проходят, а gre нет: включите netflow на интерфейсах куда должен приходить GRE и отследите что реально приходит от спока на хаб. Мне так удавалось выявить ненужный nat на асах.<br><br>&gt; 3. клиент переходил на циски, предположительно есть аса - но для нас<br>&gt; это черный ящик.<br>&gt; (Чисто теоретически - что можно закрыть на асе, что бы был такой<br>&gt; эффект? Там все чисто-чисто конкретно-конкретно: permit/deny gre...) https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#13 Fri, 03 Dec 2010 03:15:45 GMT &gt; 3. клиент переходил на циски, предположительно есть аса - но для нас<br>&gt; это черный ящик.<br>&gt; (Чисто теоретически - что можно закрыть на асе, что бы был такой<br>&gt; эффект? Там все чисто-чисто конкретно-конкретно: permit/deny gre...)<br><br>если на интерфейса asa разный секьюрите левел, то весь трафик с меньшего секьюрити левела в больший не будет ходить, если не разрешить с помощью access-listа например.<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#12 Thu, 02 Dec 2010 15:09:47 GMT 1. по поводу работы GRE без OSPF - я не пингую туннельного соседа (как с хаба, так и со споука). Т.е. с моей точки зрения - оспф тут не при чем. <br><br>2. с рутингом все неплохо - я пингую tunnel dest (как с хаба, так и со споука). причем пингую именно по нужному стыку. <br><br>3. клиент переходил на циски, предположительно есть аса - но для нас это черный ящик. <br>(Чисто теоретически - что можно закрыть на асе, что бы был такой эффект? Там все чисто-чисто конкретно-конкретно: permit/deny gre...)<br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#11 Thu, 02 Dec 2010 13:26:03 GMT &gt; А Вы не пробовали проверить работу GRE без OSPF ?<br><br>Поддержу, может просто туннели недоконфигурированны? Насколько помню, для правильной настройки туннелей обязательно должны присутствовать статик роуты, поправьте если ошибаю.<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#10 Wed, 01 Dec 2010 12:07:29 GMT &gt;&gt; Router-ID (1-й столбец) вашего нейбора-Хаба 10.1.2.2, и адрес на туннельном интерфейсе<br>&gt;&gt; Хаба (5-й столбец) также 10.1.2.2?<br>&gt; Да, ошиблась при замене адресов - считаю неправильным выкладывать куски конфига с<br>&gt; "оригинальной" адресацией.<br><br>А Вы не пробовали проверить работу GRE без OSPF ?<br>Буквально вчера борол похожее. Тунель постоянно падал, поднимался, грешил на разные MTU, но проблема оказалась таки в OSPF. Да, и если в Вашем случае MTU все же разные, без ip ospf mtu-ignore все же не обойтись.<br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#9 Tue, 30 Nov 2010 16:39:53 GMT &gt; Да, ошиблась при замене адресов - считаю неправильным выкладывать куски конфига с<br>&gt; "оригинальной" адресацией.<br><br>Ок, проехали. Судя по иниту на споуке, пакеты от хаба к нему долетают. Значит проблема с пакетами от споука до хаба.<br>Вы упамянули замену оборудования у клиента, какой класс устройств был заменен? Это сузит область поиска проблем: нет маршрута , правила на фаерволе, нат влючен\выключен где не надо и тд.<br> <br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#8 Tue, 30 Nov 2010 08:47:31 GMT &gt; Router-ID (1-й столбец) вашего нейбора-Хаба 10.1.2.2, и адрес на туннельном интерфейсе<br>&gt; Хаба (5-й столбец) также 10.1.2.2?<br><br>Да, ошиблась при замене адресов - считаю неправильным выкладывать куски конфига с "оригинальной" адресацией.<br> https://mobile.opennet.me/openforum/vsluhforumID6/21967.html#7 Fri, 26 Nov 2010 17:45:16 GMT &gt; Он не с другой стороны. Спрашивая sh ip ospf neighbor - вы<br>&gt; получаете список нейборов, там нет локальных адресов устройства, которому вы собственно<br>&gt; задаете такие вопросы. только интерфейс, по которому установилось соседство...<br><br>Цитируя Ваше основное сообщение:<br><br>interface Tunnel1<br>description TO_HUB2<br>ip address 10.1.2.2 255.255.255.252<br>tunnel source 192.168.0.70<br>tunnel destination 10.16.1.26<br><br>Споук (871) имеет адрес на туннеле 10.1.2.2, правильно?<br><br>Выполнив на ней же команду sh ip ospf neighbor, видим<br>Neighbor ID Pri State Dead Time Address Interface<br>10.1.2.2 0 FULL/ - 00:00:30 10.1.2.2 Tunnel1<br><br>Router-ID (1-й столбец) вашего нейбора-Хаба 10.1.2.2, и адрес на туннельном интерфейсе Хаба (5-й столбец) также 10.1.2.2?<br><br>