https://www.opennet.dev/openforum/vsluhforumID6/852.html Странная ситуация с настройкой gre over ipsec. Пробовал настраивать между различными роутерами(7206 и 2821 со стороны ЦО - 1841,871(Router) с УО)- проблема явно не в IOS и не в настройках какого то конкретного. Настройки вроде стандартные, в GNS работает все. В логах роутера УО сыпятся сообщения при попытки пинга с ЦО<br><br>%CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.<br> (ip) vrf/dest_addr= /y.y.y.y, src_addr= x.x.x.x, prot= 47<br><br><br><br>Router#sh crypto isakmp sa<br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id slot status<br>y.y.y.y x.x.x.x QM_IDLE 2005 0 ACTIVE<br><br><br>Router#sh crypto ipsec sa<br><br>interface: FastEthernet4<br> Crypto map tag: static-map, local addr x.x.x.x<br><br> protected vrf: (none)<br> local ident (addr/mask/prot/port): (x.x.x.x/255.255.255.255/47/0)<br> remote ident (addr/mask/prot/port): (y.y.y.y/255.255.255.255/47/0)<br> current_peer y.y.y.y port 500<br> PERMIT, flags={origin_is_acl,}<br> #pkts encaps: 4, #pkts encrypt: https://www.opennet.dev/openforum/vsluhforumID6/852.html#28 Sun, 14 Jul 2013 13:02:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; sa timing: remaining key <br>&gt;&gt;&gt; lifetime (k/sec): (4515455/2395) <br>&gt;&gt;&gt; IV size: 8 bytes <br>&gt;&gt;&gt; replay detection support: Y <br>&gt;&gt;&gt; Status: ACTIVE <br>&gt;&gt;&gt; outbound ah sas: <br>&gt;&gt;&gt; outbound pcp sas: <br>&gt;&gt; Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то <br>&gt;&gt; у вас только ГРЕ ) <br>&gt; см мой пост выше.<br><br>Ну это понятно, просто если пинговать внешние адреса туннеля, то он в ацл тот уже не попадает... Я поэтому и спросил.<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#27 Sun, 14 Jul 2013 07:15:25 GMT &gt;&gt; в конфиге не видно, где вы вешаете ipsec, но считаем что на <br>&gt;&gt; интерфейсе. Может вам стоит с acl листом поиграть и добавить туда <br>&gt;&gt; например icmp?<br>&gt; да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже <br>&gt; висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). <br>&gt; На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий <br>&gt; перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. <br>&gt; Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда <br>&gt; вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают <br>&gt; бегать, то есть фактически он не применяется.<br><br>Да впринципе оно так и есть <br>[img]http://sexi.maksnik.com/uploads/posts/2013-07/1373125717_tricks-and-treats-pic.jpg[/img]<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#26 Fri, 12 Jul 2013 12:21:18 GMT &gt; помнится-не помогло <br><br>Ну да, это не должно было бы в данном случае на работоспособность повлиять. Просто заодно к слову пришлось.<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#25 Thu, 11 Jul 2013 05:39:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий <br>&gt;&gt;&gt; перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.<br>&gt;&gt;&gt; Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда <br>&gt;&gt;&gt; вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают <br>&gt;&gt;&gt; бегать, то есть фактически он не применяется.<br>&gt;&gt; вы не пускаете в туннель ничего кроме gre. То есть у вас <br>&gt;&gt; ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.<br>&gt; Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он <br>&gt; инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично, <br>&gt; правда лучше таки использовать профили.<br><br>да как раз с профилями все работает) просто интересно стало что за проблема такая, думал мож кто сталкивался. А тут АЦЛ оказывается стал неправильным)<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#24 Thu, 11 Jul 2013 05:02:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Motorola SEC 1.0:8, crypto map: static-map <br>&gt;&gt; sa timing: remaining key <br>&gt;&gt; lifetime (k/sec): (4515455/2395) <br>&gt;&gt; IV size: 8 bytes <br>&gt;&gt; replay detection support: Y <br>&gt;&gt; Status: ACTIVE <br>&gt;&gt; outbound ah sas: <br>&gt;&gt; outbound pcp sas: <br>&gt; Глупый вопрос, а пингуетесь в 192.168.45.0 подсети? ПОтому как в туннеле то <br>&gt; у вас только ГРЕ ) <br><br>см мой пост выше.<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#23 Thu, 11 Jul 2013 05:01:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; например icmp?<br>&gt;&gt; да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже <br>&gt;&gt; висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ).<br>&gt;&gt; На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий <br>&gt;&gt; перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально.<br>&gt;&gt; Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда <br>&gt;&gt; вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают <br>&gt;&gt; бегать, то есть фактически он не применяется.<br>&gt; вы не пускаете в туннель ничего кроме gre. То есть у вас <br>&gt; ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ. <br><br>Не надо путать теплое с мягким. _В_ туннель пускается IP траффик. Он инкапсулируется в GRE и затем полисимапом GRE криптуется. Все вполне логично, правда лучше таки использовать профили.<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#22 Thu, 11 Jul 2013 03:16:44 GMT &gt;&gt; в конфиге не видно, где вы вешаете ipsec, но считаем что на <br>&gt;&gt; интерфейсе. Может вам стоит с acl листом поиграть и добавить туда <br>&gt;&gt; например icmp?<br>&gt; да, конечно, на интерфейсы. Причем, на этом же сабинтерфейсе роутера ЦО уже <br>&gt; висят 4 тоннеля и прекрасно работают с такими же "классическими" АЦЛ). <br>&gt; На другие сабинтерфейсы пробовал вешать-та же фигня. Даже пробовал существующий <br>&gt; перевести на другой сабинтерфейс и все равно не работает, вернул-все нормально. <br>&gt; Проблема видимо со стороны ЦО, оттуда приходят нешифрованные пакеты. Причем, когда <br>&gt; вешаю на интерфейс криптомэп только на ЦО, пакеты по тоннелю продолжают <br>&gt; бегать, то есть фактически он не применяется.<br><br>вы не пускаете в туннель ничего кроме gre. То есть у вас ничего не должно пинговаться. Поэтому я не понимаю вашего классического АЦЛ.<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#21 Wed, 10 Jul 2013 10:01:41 GMT &gt; со стороны ЦО: <br>&gt; #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 <br><br>Со стороны CO пакеты обратно в туннель не засовываются. Значит они уходят альтернативным путем. Воможно есть еще туннели?<br> https://www.opennet.dev/openforum/vsluhforumID6/852.html#20 Wed, 10 Jul 2013 06:19:39 GMT &gt;&gt; crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac <br>&gt; Вообще, должно и так работать, но раз уж у вас GRE, то <br>&gt; IPSec можно перевести в транспортный режим: <br>&gt; crypto ipsec transform-set vpn-test esp-3des esp-sha-hmac <br>&gt; mode transport <br>&gt; Тогда можно будет лишний заголовок из пакета убрать.<br><br>помнится-не помогло<br>