форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"проблема с IP SEC"

Сообщение от Арсений_В (ok) on 24-Июл-07, 16:36

Доброго всем времени суток. Проблема следующая: В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe. С головным офисом поднят VPN. Из филиальской подсети связь с узлами в сети головного офиса возможна только после обращения сетевого узла головы в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем, отличие от других только в подключении к Интернет (pppoe). В чем может быть проблема? Заранее спасибо за ответы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "проблема с IP SEC"

Сообщение от fenix2 (??) on 25-Июл-07, 01:25

>Доброго всем времени суток. Проблема следующая: >В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe. >С головным офисом поднят VPN. Из филиальской подсети связь с узлами >в сети головного офиса возможна только после обращения сетевого узла головы >в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть >головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем, >отличие от других только в подключении к Интернет (pppoe). >В чем может быть проблема? Заранее спасибо за ответы. sh run плз

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "проблема с IP SEC"
	Сообщение от Арсений_В (ok) on 25-Июл-07, 09:24
	>>Доброго всем времени суток. Проблема следующая: >>В филиале есть Cisco 2811 к Интернет подключен через ADSL по pppoe. >>С головным офисом поднят VPN. Из филиальской подсети связь с узлами >>в сети головного офиса возможна только после обращения сетевого узла головы >>в филиал (например пинга). Иначе из филиала невозможно пробиться в сеть >>головного офиса. Аналогичная конфигурация VPN работает на других филиалах без проблем, >>отличие от других только в подключении к Интернет (pppoe). >>В чем может быть проблема? Заранее спасибо за ответы. > >sh run плз Головной офис ====================================================== crypto isakmp policy 1 authentication pre-share crypto isakmp key <key> address 10.2.2.2 ! ! crypto ipsec transform-set DES esp-3des esp-md5-hmac ! crypto map mymap local-address GigabitEthernet0/1 crypto map mymap 10 ipsec-isakmp set peer 10.2.2.2 set transform-set DES match address Filial ! ! ! ! ! interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1   description Internet ip address 10.1.1.1 255.255.255.252 crypto map mymap ! ! ip access-list extended Filial permit ip host 192.168.1.2 192.168.2.0 0.0.0.255 ====================================================== Филиал ====================================================== crypto isakmp policy 1 authentication pre-share crypto isakmp key <key> address 10.1.1.1 ! ! crypto ipsec transform-set DES esp-3des esp-md5-hmac ! crypto map mymap local-address Dialer1 crypto map mymap 10 ipsec-isakmp set peer 10.1.1.1 set transform-set DES match address Golov_office ! ! ! ! interface FastEthernet0/0 description Internet no ip address pppoe enable pppoe-client dial-pool-number 1 ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip tcp adjust-mss 1452 ! ! interface Dialer1 ip address negotiated ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username   password   crypto map mymap ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! ip access-list extended Golov_office permit ip 192.168.2.0 0.0.0.255 host 192.168.1.2 dialer-list 1 protocol ip permit ====================================================== В филиале для Интрнет ip выдается один и тот же.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "проблема с IP SEC"
	Сообщение от fenix2 (ok) on 25-Июл-07, 11:19
	попробуй на interface Dialer1 поставить ip mtu 1492 также на обоих цысках crypto isakmp keepalive 10 3 periodic попробуй еще на головном роутере посмотреть, приходят ли isakmp пакеты (udp 500) и если да, то почему не устанавливается тунель debug crypto isakmp error debug crypto ipsec error если лучне не станет, можно попробовать Ipsec по другому настроить через интерфейс tunnel примерно так: на обоих цысках созаёш по трансформ сету и isakmp policy (если есть то только создай crypto ipsec profile) crypto isakmp policy 10 encr aes authentication pre-share group 2 ! crypto ipsec transform-set VPN esp-aes esp-sha-hmac ! crypto ipsec profile vpn set transform-set VPN ! еще crypto isakmp key, но он есть !и создаёш на обоих цысках тунельный интерфейс interface Tunnel860 ip unnumbered GigabitEthernet0/1 ! внешний инрерфейс цыски - dialer будет. ip mtu 1400 tunnel source GigabitEthernet0/1 tunnel destination 172.17.10.5  ! ip удалённой цыски tunnel mode ipsec ipv4 tunnel path-mtu-discovery tunnel protection ipsec profile vpn всё что роутится в этот тунель, шифруется. Плюс по тунетю может бегать ospf. И не нужно никаких crypto acl
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "проблема с IP SEC"
	Сообщение от Арсений_В (ok) on 25-Июл-07, 12:01
	>[оверквотинг удален] > ip unnumbered GigabitEthernet0/1 ! внешний инрерфейс цыски - dialer будет. > ip mtu 1400 > tunnel source GigabitEthernet0/1 > tunnel destination 172.17.10.5  ! ip удалённой цыски > tunnel mode ipsec ipv4 > tunnel path-mtu-discovery > tunnel protection ipsec profile vpn > >всё что роутится в этот тунель, шифруется. Плюс по тунетю может бегать >ospf. И не нужно никаких crypto acl ip mtu 1492 и так было, просто не указал, упустил, debug ничего не показал, crypto isakmp keepalive 10 3 periodic выставил, те же яйца... через туннель не сделано по ряду соображений, неприемлем этот способ udp 500 не отловил
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "проблема с IP SEC"
	Сообщение от fenix2 (ok) on 25-Июл-07, 16:12
	>ip mtu 1492 и так было, просто не указал, упустил, debug ничего >не показал, crypto isakmp keepalive 10 3 periodic выставил, те же >яйца... >через туннель не сделано по ряду соображений, неприемлем этот способ >udp 500 не отловил т.е. от проблемного филиала не приходят udp 500 на годовной офис когда он пытается установить ipsec? нужно чтобы приходл, иначё работать не будет. Может где то acl стоит...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "проблема с IP SEC"
	Сообщение от Арсений_В (ok) on 25-Июл-07, 17:28
	>>ip mtu 1492 и так было, просто не указал, упустил, debug ничего >>не показал, crypto isakmp keepalive 10 3 periodic выставил, те же >>яйца... >>через туннель не сделано по ряду соображений, неприемлем этот способ >>udp 500 не отловил > >т.е. от проблемного филиала не приходят udp 500 на годовной офис когда >он пытается установить ipsec? нужно чтобы приходл, иначё работать не будет. >Может где то acl стоит... фильтров нет, если только у провайдера, но сам ip sec работает, только через одно место правда
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]