forum.opennet.ru

"IPSec tunnel"

Форум Маршрутизаторы CISCO и др. оборудование.
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "IPSec tunnel"	+/–
Сообщение от Алексей (??), 23-Дек-10, 09:34
Вот конфиг одной из сторон: ! ! Last configuration change at 12:10:15 MSK Wed Dec 22 2010 by support ! NVRAM config last updated at 12:11:39 MSK Wed Dec 22 2010 by support ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname vpn_to_toto ! boot-start-marker boot system flash c870-advsecurityk9-mz.124-15.T6.bin boot-end-marker ! logging buffered 4096 logging console critical enable secret 5 ****************************** ! no aaa new-model clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog no ip source-route no ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 no ip bootp server no ip domain lookup ip domain name **********.net ! ! ! file prompt quiet username support privilege 15 secret 5 *************************** ! ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key *********** address xxx.xxx.xxx.xxx crypto isakmp keepalive 60 3 ! ! crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile TUNNEL set transform-set IPSEC ! ! crypto map TUNNELTOTC 10 ipsec-isakmp set peer xxx.xxx.xxx.xxx set transform-set IPSEC match address acl_vpn ! archive log config hidekeys ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface Vlan1 ip ssh version 2 ! ! ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 ip address 192.168.0.184 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 ! interface Dialer0 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname ********** ppp chap password 7 ******** ppp pap sent-username ***** password 7 ************ crypto map TUNNELTOTC ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! no ip http server no ip http secure-server ip nat inside source list acl_nat interface Dialer0 overload ! ip access-list extended acl_nat deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.0.0 0.0.0.255 any ip access-list extended acl_vpn permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 ! access-list 2 permit 192.168.0.1 access-list 2 permit 192.168.0.3 access-list 2 permit 192.168.0.5 access-list 2 deny any log dialer-list 1 protocol ip permit no cdp run ! ! ! control-plane ! ! line con 0 login local no modem enable transport output telnet line aux 0 login local transport output telnet line vty 0 4 access-class 2 in login local transport input ssh transport output ssh ! no scheduler max-task-time ntp clock-period 17175014 ntp server 192.168.0.1 end
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPSec tunnel, Алексей, 22-Дек-10, 09:18 [смотреть все]

gt оверквотинг удален Попробуй MTU на тунельном интерфейсе уменьшить до 1400Ну, Pve1, 22-Дек-10, 09:50 (1) //
- gt оверквотинг удален Железо - C870-ADVSECURITYK9-M с двух сторон MTU меня, Алексей, 22-Дек-10, 09:57 (2) //
  - 1 если dropped в sh int tu02 deb ip tcp tr, aZL, 22-Дек-10, 10:19 (3) //
    - 1 Input queue 0 75 0 0 size max drops flushes Total output drops 10 но з, Алексей, 22-Дек-10, 10:39 (5)
      - Ага, тогда ещё sh ip traffic 124 i fragmentи покажите конфиг интерфейсов fa и, aZL, 22-Дек-10, 12:10 (8)
  - debug crypto isakmpДумаю проблемы при изначальном и последующих выборах ключа ши, ShyLion, 24-Дек-10, 15:33 (29)
gt оверквотинг удален set peer в crypto map я у Вас не увидел Весь траффик в, Aleks305, 22-Дек-10, 10:38 (4) //
- gt оверквотинг удален Нет ни каких крипто мэпов , Алексей, 22-Дек-10, 11:27 (6)
- Удалил туннели и сделал крипто мэпыcrypto isakmp policy 10 encr aes 256 authenti, Алексей, 22-Дек-10, 11:51 (7) //
  - Прошло 10 минут После перестройки c профиля на crypto map все заработало как н, Алексей, 22-Дек-10, 12:14 (9) //
    - Вообще это оч странно А если попробовать настройках тунеля жестко указать тип, Pve1, 22-Дек-10, 15:48 (10)
      - GRE как правило используется с ipsec для передачи мультикаста в протоколах маршр, Aleks305, 22-Дек-10, 17:10 (11)
    - Рано поспешил закрыть тему Все равно тормоза Кстати, когда были tunnel-и ста, Алексей, 23-Дек-10, 09:29 (12)
      - Вот конфиг одной из сторон Last configuration change at 12 10 15 MSK Wed Dec , Алексей, 23-Дек-10, 09:34 (13)
      - Вы так и не показалиsh ip traffic 124 i fragment и конфиг tun0 , aZL, 23-Дек-10, 09:36 (14)
        
        sh ip traffic 124 include frag0 fragmented, 0 fragments, 0 couldn t fragmentС, Алексей, 23-Дек-10, 09:43 (15)
        
        О каг, у Вас уже всё координально поменялось Давайте попробуем так int vlan 1, aZL, 23-Дек-10, 11:49 (16)
        
        Поменял Все тож самое Сделал на обоих cisc-ах clear crypto saping 192 168 2 5, Алексей, 23-Дек-10, 12:15 (17)
        Да уж не знаю куда копать Пробую все варианты , Алексей, 23-Дек-10, 12:16 (18)
        
        Кстати, вот только что опять все заработало как надо Вчера тож самое 2-3 часа , Алексей, 23-Дек-10, 12:20 (19)
        
        Т е сейчас, например, по ftp всё нормально Ещё скачайте mturoute http www i, aZL, 23-Дек-10, 12:35 (20)
        
        Было нормально минут 15-20 Копировал на ftp 20Gbt файл Без проблем А сейчас, Алексей, 23-Дек-10, 12:41 (21)
        
        В sh ip traffic 124 i fragment что-нибудь появилось Давайте вернем на Dialer0, aZL, 23-Дек-10, 12:59 (22)
        sh ip traffic 124 i fragment19 fragmented, 38 fragments, 0 couldn t fragmentC, Алексей, 23-Дек-10, 13:02 (23)
        мда, совсем жесть А на физическом уровне ошибок нет кабеля и пр Ещё давайте , aZL, 23-Дек-10, 14:34 (24)
        Тут все красиво Device Motorola Talitos 1 0Location Onboard 0 St, Алексей, 23-Дек-10, 15:07 (25)
        В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco прихо, aZL, 23-Дек-10, 15:23 (26)
        А не попробовать ли отключить просто шифрование И поверх чистого тунельного инте, Pve1, 24-Дек-10, 12:45 (27)
        топикстартер изначально сообщал , aZL, 24-Дек-10, 13:25 (28)
        В общем сейчас все работает нормально, причем только с определенными удаленными , Алексей, 27-Дек-10, 14:29 (30)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру