https://www.opennet.ru/openforum/vsluhforumID6/22882.html Добрый день,<br><br>Есть GRE-туннель. Хочу шифровать в нем часть траффика. Привязал к туннелю криптомапу с access-list. Все хорошо, но почему то в статистике вижу, траффик от хоста 192,168,253,14 шифруется только в одну сторону. По другим хостам все нормально. Вот конфиг:<br><br><br>(C2811) IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 15.1(3)T<br>R_2811:<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 3600<br>crypto isakmp key *** address 192.168.14.1<br><br>crypto ipsec transform-set 2CA esp-3des esp-sha-hmac<br><br>crypto map CA local-address Serial0/0/0.1<br>crypto map CA 10 ipsec-isakmp <br> set peer 192.168.14.1<br> set transform-set 2CA<br> match address 123<br><br>interface Tunnel123<br> description VPN_FR_2MINSK<br> bandwidth 2000<br> ip address 192.168.252.26 255.255.255.252<br> ip flow ingress<br> ip tcp adjust-mss 1400<br> load-interval 30<br> keepalive 10 3<br> tunnel source 192.168.14.9<br> tunnel destination 192.168.14.1<br> tunnel path-mtu-discovery<br> crypto map CA<br><br>interface FastEtherne https://www.opennet.ru/openforum/vsluhforumID6/22882.html#9 Wed, 20 Jul 2011 13:24:51 GMT &gt;&gt; А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке <br>&gt;&gt; гораздо удобнее же.<br>&gt; Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать <br>&gt; траффик выборочно? Если можно, то хотелось бы увидеть пример.<br><br>сам не пробовал, но может split tunnel поможет<br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#8 Wed, 20 Jul 2011 09:14:58 GMT &gt; А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке <br>&gt; гораздо удобнее же.<br><br>Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать траффик выборочно? Если можно, то хотелось бы увидеть пример.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#7 Wed, 20 Jul 2011 07:52:04 GMT <br>А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке гораздо удобнее же.<br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#6 Wed, 20 Jul 2011 07:47:20 GMT &gt; а как дела обстоят с маршрутизацией? Судя по всему не доходит с <br>&gt; одной стороны трафик до тунеля <br><br>Маршрут правильный.<br><br>R_2811# sh ip route 10.1.6.164<br>Routing entry for 10.0.0.0/8<br> Known via "eigrp 110", distance 170, metric 2562816<br> Tag 65001, type external<br> Redistributing via eigrp 110<br> Last update from 192.168.252.25 on Tunnel123, 1d17h ago<br> Routing Descriptor Blocks:<br> * 192.168.252.25, from 192.168.252.25, 1d17h ago, via Tunnel123<br> Route metric is 2562816, traffic share count is 1<br> Total delay is 50110 microseconds, minimum bandwidth is 2000 Kbit<br> Reliability 255/255, minimum MTU 1476 bytes<br> Loading 1/255, Hops 3<br> Route tag 65001<br><br>Траффик между хостами ходит нормально, просто судя по счетчикам не шифруется. Все отличие от правильно работающих хостов это то, что хост 192,168,253,14 находится за интерфейсом Fa0/1(за ADSL-модемом), а все остальные хосты 192,168,23,0/24 за Fa0/0(внутренняя сеть). Туннель прикручен к Serial0/0/0<br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#5 Wed, 20 Jul 2011 07:33:57 GMT а как дела обстоят с маршрутизацией? Судя по всему не доходит с одной стороны трафик до тунеля<br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#4 Wed, 20 Jul 2011 07:23:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 326 <br>&gt;&gt;&gt; #pkts compressed: 0, #pkts decompressed: 0 <br>&gt;&gt;&gt; #pkts not compressed: 0, #pkts compr. failed: 0 <br>&gt;&gt;&gt; #pkts not decompressed: 0, #pkts decompress failed: 0 <br>&gt;&gt;&gt; #send errors 0, #recv errors 0 <br>&gt;&gt; Неужели никаких мыслей?<br>&gt; Я из всего этого мусора увидел только один из пиров образующих критпотунель. <br>&gt; Откуда мысли что криптуеться только в одну сторону?<br>&gt; Есть замечательная команда sh crypto session detail запустите на обоих сторонах и <br>&gt; все наглядно удидите.<br><br>Interface: Tunnel123<br>Uptime: 4d18h<br>Session status: UP-ACTIVE <br>Peer: 192.168.14.9 port 500 fvrf: (none) ivrf: (none)<br> Phase1_id: 192.168.14.9<br> Desc: (none)<br> IKE SA: local 192.168.14.1/500 remote 192.168.14.9/500 Active <br> Capabilities:(none) connid:1935 lifetime:00:55:42<br> IPSEC FLOW: permit 6 host 10.1.6.164 host 192.168.253.14 <br> Active SAs: 2, origin: crypto map<br> Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4507835/2641<br> Outbound: #pkts https://www.opennet.ru/openforum/vsluhforumID6/22882.html#3 Wed, 20 Jul 2011 07:19:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 326 <br>&gt;&gt;&gt; #pkts compressed: 0, #pkts decompressed: 0 <br>&gt;&gt;&gt; #pkts not compressed: 0, #pkts compr. failed: 0 <br>&gt;&gt;&gt; #pkts not decompressed: 0, #pkts decompress failed: 0 <br>&gt;&gt;&gt; #send errors 0, #recv errors 0 <br>&gt;&gt; Неужели никаких мыслей?<br>&gt; Я из всего этого мусора увидел только один из пиров образующих критпотунель. <br>&gt; Откуда мысли что криптуеться только в одну сторону?<br>&gt; Есть замечательная команда sh crypto session detail запустите на обоих сторонах и <br>&gt; все наглядно удидите.<br><br>Я делаю такой вывод потому, что в access-list для интересного траффика я вижу, что пакеты для шифрования от хоста 192.168.253.14 идут, а счетчик инкапсулированных пакетов остается равным нулю. Счетчик декапсулированных пакетов растет. Т.е. траффик только расшифровывается(причем только для одной строчки из access-list, для остальных хостов все нормально). На второй стороне зеркальная ситуация. Траффик по этому хосту только шифруется, в обратную сторону идет нешифрованный. <br>sh crypto session d https://www.opennet.ru/openforum/vsluhforumID6/22882.html#2 Wed, 20 Jul 2011 06:41:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt; PERMIT, flags={origin_is_acl,} <br>&gt;&gt; #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: <br>&gt;&gt; 0 <br>&gt;&gt; #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: <br>&gt;&gt; 326 <br>&gt;&gt; #pkts compressed: 0, #pkts decompressed: 0 <br>&gt;&gt; #pkts not compressed: 0, #pkts compr. failed: 0 <br>&gt;&gt; #pkts not decompressed: 0, #pkts decompress failed: 0 <br>&gt;&gt; #send errors 0, #recv errors 0 <br>&gt; Неужели никаких мыслей?<br><br>Я из всего этого мусора увидел только один из пиров образующих критпотунель. <br>Откуда мысли что криптуеться только в одну сторону?<br><br>Есть замечательная команда sh crypto session detail запустите на обоих сторонах и все наглядно удидите.<br> https://www.opennet.ru/openforum/vsluhforumID6/22882.html#1 Wed, 20 Jul 2011 06:03:59 GMT &gt;[оверквотинг удален]<br>&gt; current_peer 192.168.14.1 port 500 <br>&gt; PERMIT, flags={origin_is_acl,} <br>&gt; #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: <br>&gt; 0 <br>&gt; #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: <br>&gt; 326 <br>&gt; #pkts compressed: 0, #pkts decompressed: 0 <br>&gt; #pkts not compressed: 0, #pkts compr. failed: 0 <br>&gt; #pkts not decompressed: 0, #pkts decompress failed: 0 <br>&gt; #send errors 0, #recv errors 0 <br><br>Неужели никаких мыслей?<br>