опять про туннели S2S IPSec, DKu, 11-Дек-14, 13:55 [смотреть все]Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880 Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих "интересный" траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий.Конфиг ЦО: crypto keyring Br1 pre-shared-key address 1.1.1.1 key Megapass crypto keyring Br2 pre-shared-key address 2.2.2.2 key Megapass ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key Superpass address 0.0.0.0 0.0.0.0 crypto isakmp profile Br1 keyring Br1 match identity address 1.1.1.1 255.255.255.255 crypto isakmp profile Br2 keyring Br2 match identity address 2.2.2.2 255.255.255.2555 ! ! crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac mode transport crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto ipsec profile HQ-Br1 set transform-set 3DES-SHA set isakmp-profile Br1 ! crypto ipsec profile HQ-Br2 set transform-set 3DES-SHA set isakmp-profile Br2 ! ! crypto map VPNRetail 101 ipsec-isakmp set peer 3.3.3.3 set transform-set 3DES-MD5 match address Shop1 ! ! ! interface Tunnel0 ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source x.x.x.1 tunnel mode ipsec ipv4 tunnel destination 1.1.1.1 tunnel protection ipsec profile HQ-Br1 ! interface Tunnel1 ip address 192.168.101.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source x.x.x.1 tunnel mode ipsec ipv4 tunnel destination 2.2.2.2 tunnel protection ipsec profile HQ-Br2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ---Сеть провайдера--- ip address y.y.y.2 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 ---Внутренняя сеть--- encapsulation dot1Q 10 ip address 10.10.1.1 255.255.255.0 ! interface GigabitEthernet0/1.2 ---Белая сеть выданная провайдером--- encapsulation dot1Q 2 ip address x.x.x.1 255.255.255.224 ip access-group Global_External in crypto map VPNRetail ! interface GigabitEthernet0/2 no ip address duplex auto speed auto ! interface Vlan1 no ip address ! ! router eigrp 1 ---Для филиалов--- network 10.10.1.0 network 192.168.100.0 network 192.168.101.0 ! ip forward-protocol nd ! ! ip route 0.0.0.0 0.0.0.0 y.y.y.1 ! ip access-list extended Global_External ---тут разные правила для хостов сети x.x.x.x 255.255.255.224--- ip access-list extended Shop1 permit ip 10.10.1.0 0.0.0.255 192.168.1.32 0.0.0.31 Конфиг Точки:
crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key Superpass address x.x.x.1 ! ! crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac mode tunnel ! ! ! crypto map VPNHQ 10 ipsec-isakmp set peer x.x.x.1 set transform-set 3DES-MD5 match address VPN-HQ ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ---Внешняя сеть--- ip address z.z.z.5 255.255.255.0 ip access-group Outbound out no ip redirects no ip proxy-arp ip nat outside ip inspect INSPECT_OUT out ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto no cdp enable crypto map VPNHQ ! ! ! interface Vlan1 ---Внутренняя сеть--- ip address 192.168.1.33 255.255.255.224 ip accounting output-packets ip nat inside ip virtual-reassembly in ! ip forward-protocol nd ! ! ip nat inside source list NAT_out interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 z.z.z.1 ! ip access-list extended NAT_out deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 permit ip 192.168.1.32 0.0.0.31 any ip access-list extended Outbound permit ip any any ip access-list extended VPN-HQ permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
|
- опять про туннели S2S IPSec, fantom, 15:18 , 11-Дек-14 (1)
>[оверквотинг удален] > ip nat inside source list NAT_out interface FastEthernet4 overload > ip route 0.0.0.0 0.0.0.0 z.z.z.1 > ! > ip access-list extended NAT_out > deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 > permit ip 192.168.1.32 0.0.0.31 any > ip access-list extended Outbound > permit ip any any > ip access-list extended VPN-HQ > permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 Таблицу маршрутизации смотрели???
- опять про туннели S2S IPSec, DKu, 15:35 , 11-Дек-14 (2)
> Таблицу маршрутизации смотрели???Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.
- опять про туннели S2S IPSec, DKu, 17:05 , 11-Дек-14 (3)
>> Таблицу маршрутизации смотрели??? > Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то > на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда > не попадает в соответствие нужных access-list'ов и не поднимает туннель.Добавил RRI, маршруты появились. Траффика по-прежнему нет.
- опять про туннели S2S IPSec, _alecx_, 18:50 , 11-Дек-14 (4)
На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0, а crypto map висит на GigabitEthernet0/1.2 Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.
- опять про туннели S2S IPSec, ShyLion, 19:39 , 11-Дек-14 (5)
Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.
- опять про туннели S2S IPSec, DKu, 12:32 , 12-Дек-14 (6)
> Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так > хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И > вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если > везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI > интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась. crypto map VPNRetail 101 ipsec-isakmp set peer z.z.z.5 (вот тут адрсе неправильный подставил) set transform-set 3DES-MD5 match address Shop1 Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация. От рабочего конфига в любом случае не откажусь.
- опять про туннели S2S IPSec, ShyLion, 20:06 , 12-Дек-14 (7)
Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.
- опять про туннели S2S IPSec, ShyLion, 10:07 , 13-Дек-14 (8)
> Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять > всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет > разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.Вариант HUB-SPOKE, весь траффик проходит через центр. HUB:
crypto keyring NHRP_HUB pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984 ... ! no crypto isakmp default policy ! crypto isakmp policy 50 encr aes authentication pre-share group 2 ! crypto ipsec transform-set LIGHT esp-aes ! crypto ipsec profile LIGHT set transform-set LIGHT ! interface Tunnel56000 description IPSec NHRP HUB ip address 10.96.255.1 255.255.255.0 no ip redirects ip mtu 1394 ip flow egress ip nat inside ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp holdtime 600 ip virtual-reassembly in no ip split-horizon eigrp 1 ip summary-address eigrp 1 10.0.0.0 255.0.0.0 tunnel source h.h.h.h tunnel mode gre multipoint tunnel key 56 tunnel protection ipsec profile LIGHT ! router eigrp 1 network 10.0.0.0 !
Spoke:
no crypto isakmp default policy ! crypto isakmp key 0 nhrp_0f1_gj5j8948f5u3948utmjf address h.h.h.h ! crypto isakmp policy 50 encr aes authentication pre-share group 2 ! crypto ipsec transform-set LIGHT esp-aes ! crypto ipsec profile LIGHT set transform-set LIGHT ! interface Tunnel5600X description NHRP Spoke to HQ, ISP Roga i Copita ip address 10.96.255.X 255.255.255.0 ip mtu 1394 ip flow ingress ip nhrp map multicast dynamic ip nhrp map multicast h.h.h.h ip nhrp map 10.96.255.1 h.h.h.h ip nhrp network-id 1 ip nhrp holdtime 600 ip nhrp nhs 10.96.255.1 qos pre-classify tunnel source f1.f1.f1.f1 tunnel destination h.h.h.h tunnel key 56 tunnel protection ipsec profile LIGHT ! router eigrp 1 passive-interface default no passive-interface Tunnel5600x network 10.0.0.0 no auto-summary eigrp stub connected !
В таком виде все работает как часики уже несколько лет, полсотни споков со всяких сел и городов. Споки анонсируют только собственные сети, к ним анонсируются только саммари адреса.
|