 опять про туннели S2S IPSec,  DKu, 11-Дек-14, 13:55 [смотреть все]Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880
Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих "интересный" траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий.Конфиг ЦО: crypto keyring Br1
pre-shared-key address 1.1.1.1 key Megapass
crypto keyring Br2
pre-shared-key address 2.2.2.2 key Megapass
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address 0.0.0.0 0.0.0.0
crypto isakmp profile Br1
keyring Br1
match identity address 1.1.1.1 255.255.255.255
crypto isakmp profile Br2
keyring Br2
match identity address 2.2.2.2 255.255.255.2555
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile HQ-Br1
set transform-set 3DES-SHA
set isakmp-profile Br1
!
crypto ipsec profile HQ-Br2
set transform-set 3DES-SHA
set isakmp-profile Br2
!
!
crypto map VPNRetail 101 ipsec-isakmp
set peer 3.3.3.3
set transform-set 3DES-MD5
match address Shop1
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile HQ-Br1
!
interface Tunnel1
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 2.2.2.2
tunnel protection ipsec profile HQ-Br2
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
---Сеть провайдера---
ip address y.y.y.2 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
---Внутренняя сеть---
encapsulation dot1Q 10
ip address 10.10.1.1 255.255.255.0
!
interface GigabitEthernet0/1.2
---Белая сеть выданная провайдером---
encapsulation dot1Q 2
ip address x.x.x.1 255.255.255.224
ip access-group Global_External in
crypto map VPNRetail
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
!
router eigrp 1
---Для филиалов---
network 10.10.1.0
network 192.168.100.0
network 192.168.101.0
!
ip forward-protocol nd
!
!
ip route 0.0.0.0 0.0.0.0 y.y.y.1
!
ip access-list extended Global_External
---тут разные правила для хостов сети x.x.x.x 255.255.255.224---
ip access-list extended Shop1
permit ip 10.10.1.0 0.0.0.255 192.168.1.32 0.0.0.31
Конфиг Точки:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address x.x.x.1
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode tunnel
!
!
!
crypto map VPNHQ 10 ipsec-isakmp
set peer x.x.x.1
set transform-set 3DES-MD5
match address VPN-HQ
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
---Внешняя сеть---
ip address z.z.z.5 255.255.255.0
ip access-group Outbound out
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
crypto map VPNHQ
!
!
!
interface Vlan1
---Внутренняя сеть---
ip address 192.168.1.33 255.255.255.224
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
!
!
ip nat inside source list NAT_out interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 z.z.z.1
!
ip access-list extended NAT_out
deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
permit ip 192.168.1.32 0.0.0.31 any
ip access-list extended Outbound
permit ip any any
ip access-list extended VPN-HQ
permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
|
- опять про туннели S2S IPSec, fantom, 15:18 , 11-Дек-14 (1)
>[оверквотинг удален]
> ip nat inside source list NAT_out interface FastEthernet4 overload
> ip route 0.0.0.0 0.0.0.0 z.z.z.1
> !
> ip access-list extended NAT_out
> deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
> permit ip 192.168.1.32 0.0.0.31 any
> ip access-list extended Outbound
> permit ip any any
> ip access-list extended VPN-HQ
> permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 Таблицу маршрутизации смотрели???
- опять про туннели S2S IPSec, DKu, 15:35 , 11-Дек-14 (2)
> Таблицу маршрутизации смотрели???Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.
- опять про туннели S2S IPSec, DKu, 17:05 , 11-Дек-14 (3)
>> Таблицу маршрутизации смотрели???
> Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то
> на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда
> не попадает в соответствие нужных access-list'ов и не поднимает туннель.Добавил RRI, маршруты появились. Траффика по-прежнему нет.
- опять про туннели S2S IPSec, _alecx_, 18:50 , 11-Дек-14 (4)
На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0,
а crypto map висит на GigabitEthernet0/1.2
Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.
- опять про туннели S2S IPSec, ShyLion, 19:39 , 11-Дек-14 (5)
Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.
- опять про туннели S2S IPSec, DKu, 12:32 , 12-Дек-14 (6)
> Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так
> хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И
> вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если
> везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI
> интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась.
crypto map VPNRetail 101 ipsec-isakmp
set peer z.z.z.5 (вот тут адрсе неправильный подставил)
set transform-set 3DES-MD5
match address Shop1 Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация. От рабочего конфига в любом случае не откажусь.
- опять про туннели S2S IPSec, ShyLion, 20:06 , 12-Дек-14 (7)
Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.
- опять про туннели S2S IPSec, ShyLion, 10:07 , 13-Дек-14 (8)
> Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять
> всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет
> разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.Вариант HUB-SPOKE, весь траффик проходит через центр. HUB:
crypto keyring NHRP_HUB
pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf
pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984
...
!
no crypto isakmp default policy
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel56000
description IPSec NHRP HUB
ip address 10.96.255.1 255.255.255.0
no ip redirects
ip mtu 1394
ip flow egress
ip nat inside
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp holdtime 600
ip virtual-reassembly in
no ip split-horizon eigrp 1
ip summary-address eigrp 1 10.0.0.0 255.0.0.0
tunnel source h.h.h.h
tunnel mode gre multipoint
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
network 10.0.0.0
!
Spoke:
no crypto isakmp default policy
!
crypto isakmp key 0 nhrp_0f1_gj5j8948f5u3948utmjf address h.h.h.h
!
crypto isakmp policy 50
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set LIGHT esp-aes
!
crypto ipsec profile LIGHT
set transform-set LIGHT
!
interface Tunnel5600X
description NHRP Spoke to HQ, ISP Roga i Copita
ip address 10.96.255.X 255.255.255.0
ip mtu 1394
ip flow ingress
ip nhrp map multicast dynamic
ip nhrp map multicast h.h.h.h
ip nhrp map 10.96.255.1 h.h.h.h
ip nhrp network-id 1
ip nhrp holdtime 600
ip nhrp nhs 10.96.255.1
qos pre-classify
tunnel source f1.f1.f1.f1
tunnel destination h.h.h.h
tunnel key 56
tunnel protection ipsec profile LIGHT
!
router eigrp 1
passive-interface default
no passive-interface Tunnel5600x
network 10.0.0.0
no auto-summary
eigrp stub connected
!
В таком виде все работает как часики уже несколько лет, полсотни споков со всяких сел и городов. Споки анонсируют только собственные сети, к ним анонсируются только саммари адреса.
|
Версия для распечатки
