https://slinkov.ru/openforum/vsluhforumID6/384.html Всем Привет <br>Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei))<br><br>cisco2811-------&gt;Internet------&gt;Huawei Eudemon100<br><br>конфиг 2811<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp key abcde address 10.155.11.88<br>crypto isakmp aggressive-mode disable<br>!<br>!<br>crypto ipsec transform-set eudemon esp-3des esp-sha-hmac <br>!<br>crypto map eudemon 1 ipsec-isakmp <br> description to_Eudemon<br> set peer 10.155.11.88<br> set security-association lifetime kilobytes 28800<br> set transform-set eudemon <br> match address 123<br><br>interface FastEthernet0/0<br> description WAN<br> ip address 10.10.10.10 255.255.255.224<br> load-interval 30<br> duplex auto<br> speed auto<br> crypto map eudemon<br><br>interface Loopback1<br>desc LAN<br> ip address 192.168.2.10 255.255.255.255<br><br>ip route 0.0.0.0 0.0.0.0 10.10.10.1<br><br>ip route 192.168.1.0 255.255.255.0 10.155.11.88<br><br>access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255<br>access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0 https://slinkov.ru/openforum/vsluhforumID6/384.html#7 Tue, 03 Jun 2014 09:26:54 GMT &gt;[оверквотинг удален]<br>&gt; packet-filter 3005 inbound <br>&gt; packet-filter 3005 outbound <br>&gt; ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 <br>&gt; ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 <br>&gt; туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 <br>&gt; пакеты не проходят через туннель, хотя acl 3001 специально служит для того <br>&gt; чтобы какой трафик направлять через туннель <br>&gt; ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования <br>&gt; т.е. простая маршрутизация.<br>&gt; Где что не так есть ли тут кто знаком с Huawei-ом ???? <br><br>Реальное оборудование или эмуляторы?<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/384.html#6 Tue, 18 Dec 2012 04:30:59 GMT &gt; Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и <br>&gt; outgoing interface <br><br>На Huawei AR2220:<br>ip route-static 1.1.1.1 255.255.255.255 gi0/0/0 ?<br> IP_ADDR&lt;X.X.X.X&gt; Gateway address<br> description Add or delete description of unicast static route<br> ldp-sync LDP-Static route synchronization<br> permanent Specifies route permanent<br> preference Specifies route preference<br> tag Specifies route tag<br> track Specify track object<br> &lt;cr&gt; Please press ENTER to execute command <br> https://slinkov.ru/openforum/vsluhforumID6/384.html#5 Tue, 18 Dec 2012 04:27:12 GMT &gt; Поднял GRE over Ipsec заработало <br>&gt; при GRE заработало я думаю потомучто есть статический роут в сторону туннеля <br>&gt; ip route-static 192.168.2.0 255.255.255.0 tunnel 0 <br>&gt; так как сам интерфейс означает point-to-point можно так писать роут без next-hopa <br>&gt; и так в случае без gre я пишу роут на next-hop то <br>&gt; не работает пакеты идут не через туннель <br>&gt; пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0 <br>&gt; то не работает, я думаю так как интерфейс не point-to-point <br>&gt; как в cisco не получается ввести и next-hop и интерфейс )) <br>&gt; Кто что думает ?<br><br>Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и outgoing interface<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/384.html#4 Mon, 17 Dec 2012 09:26:21 GMT &gt; пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0<br>&gt; то не работает, я думаю так как интерфейс не point-to-point<br>&gt; как в cisco не получается ввести и next-hop и интерфейс )) <br><br>Как это? У меня даже на древней 2651MX вводится и интерфейс и next-hop:<br>(config)#ip route 1.1.1.1 255.255.255.255 fa0/0 ?<br> &lt;1-255&gt; Distance metric for this route<br> A.B.C.D Forwarding router's address<br> DHCP Default Gateway obtained from DHCP<br> name Specify name of the next hop<br> permanent permanent route<br> tag Set tag for this route<br> track Install route depending on tracked item<br> &lt;cr&gt;<br><br> https://slinkov.ru/openforum/vsluhforumID6/384.html#3 Mon, 17 Dec 2012 08:10:55 GMT Поднял GRE over Ipsec заработало<br>при GRE заработало я думаю потомучто есть статический роут в сторону туннеля <br>ip route-static 192.168.2.0 255.255.255.0 tunnel 0 <br>так как сам интерфейс означает point-to-point можно так писать роут без next-hopa <br>и так в случае без gre я пишу роут на next-hop то не работает пакеты идут не через туннель<br>пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0<br>то не работает, я думаю так как интерфейс не point-to-point<br>как в cisco не получается ввести и next-hop и интерфейс )) <br>Кто что думает ? <br> https://slinkov.ru/openforum/vsluhforumID6/384.html#2 Sun, 16 Dec 2012 16:45:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt; пакеты не проходят через туннель, хотя acl 3001 специально служит для того <br>&gt;&gt; чтобы какой трафик направлять через туннель <br>&gt;&gt; ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования <br>&gt;&gt; т.е. простая маршрутизация.<br>&gt;&gt; Где что не так есть ли тут кто знаком с Huawei-ом ????<br>&gt; Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. <br>&gt; Сделайте trace на обоих машинах. На циске не понятен маршрут: <br>&gt;&gt; ip route 192.168.1.0 255.255.255.0 10.155.11.88 <br>&gt; если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет <br>&gt; пойдет через 10.10.10.1 <br><br>Со стороны cisco проблем нет. Да Вы правы хопа 10.155.11.88 нет и он пойдет по дефоулту просто двойная маршрутизация получается. Еще раз повторю cisco посылает пакеты через туннель перед входом на юдемон стоит снифер. Пакеты идут ESP. Проблема в том что Eudemon не отправляет пакеты через туннель. Это видно и на снифире. <br>Но в чем проблема когда пингую с юдемо https://slinkov.ru/openforum/vsluhforumID6/384.html#1 Sat, 15 Dec 2012 19:19:31 GMT &gt;[оверквотинг удален]<br>&gt; packet-filter 3005 inbound <br>&gt; packet-filter 3005 outbound <br>&gt; ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 <br>&gt; ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 <br>&gt; туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 <br>&gt; пакеты не проходят через туннель, хотя acl 3001 специально служит для того <br>&gt; чтобы какой трафик направлять через туннель <br>&gt; ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования <br>&gt; т.е. простая маршрутизация.<br>&gt; Где что не так есть ли тут кто знаком с Huawei-ом ???? <br><br>Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. Сделайте trace на обоих машинах. На циске не понятен маршрут:<br><br>&gt; ip route 192.168.1.0 255.255.255.0 10.155.11.88<br><br>если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет пойдет через 10.10.10.1 <br> <br>