forum.opennet.ru - "помогите правильно настроить ipsec !!!" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"помогите правильно настроить ipsec !!!"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"помогите правильно настроить ipsec !!!"
Сообщение от tnecr (??) on 23-Янв-08, 14:02
Организовал ipsec между двумя удаленными офисами (cisco1841). Но есть проблема... Пинги идут между хостами удаленных локалок, но с рутеров не могу пинговать удаленные LAN-ы. Что я сделал не так? Пример Router1 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 6 xxxxx address x.x.x.x crypto ipsec transform-set xxxxx esp-des esp-md5-hmac crypto map xxxx 1 ipsec-isakmp set peer x.x.x.x set transform-set xxxxx match address ACEESS (named) /////////////////////////////////// ip access-list extended ACCESS permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN) permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1) permit ip network (локальная LAN) network (удаленная LAN) permit ip network (удаленная LAN) network (локальная LAN) Router2 Аналогичный конфиг. Не могу пинговать с Ruter1 удаленный LAN хотя из локалки можно...???
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

помогите правильно настроить ipsec !!!, ajaxx, 16:16 , 24-Янв-08, (1)

помогите правильно настроить ipsec !!!, tnecr, 13:53 , 25-Янв-08, (2)

помогите правильно настроить ipsec !!!, ajaxx, 14:04 , 25-Янв-08, (3)

помогите правильно настроить ipsec !!!, tnecr, 14:32 , 25-Янв-08, (4)

помогите правильно настроить ipsec !!!, ajaxx, 16:12 , 25-Янв-08, (5)

помогите правильно настроить ipsec !!!, dxer, 23:54 , 27-Янв-08, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "помогите правильно настроить  ipsec !!!"

Сообщение от ajaxx on 24-Янв-08, 16:16

да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, то запросы идут с wan-овского интерфейса и если (я в этом уверен) не настроены должным образом трансляции, то вы и не сможете пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "помогите правильно настроить  ipsec !!!"

Сообщение от tnecr (??) on 25-Янв-08, 13:53

>да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов
>роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то
>левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть,
>то запросы идут с wan-овского интерфейса и если (я в этом
>уверен) не настроены должным образом трансляции, то вы и не сможете
>пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то
>пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..
Насколько я понял благодаря IPsec тунэлю который поднят между внутренними сетями удаленных офисов, все пакеты приходящие из внешних интерфейсов (когда я пингую прямо с рутера удаленный LAN) не могут пройти вне тунэля. Для этого я сделал следующее-
R1
permit ip host (удален. внеш. адрес) network (моя LAN)
permit ip network (моя LAN) host (удален. внеш. адрес)
R2
permit ip host (удален. внеш. адрес) network (моя LAN)
permit ip network (моя LAN) host (удален. внеш. адрес)
Нужно ли ставить crypto map на внеш. интерфейсы?
Но я все равно с рутера не вижу удаленной LAN?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "помогите правильно настроить  ipsec !!!"

Сообщение от ajaxx on 25-Янв-08, 14:04

>Нужно ли ставить crypto map на внеш. интерфейсы?
извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map не висит на интерфейсах???? надо вешать, ибо без этого вы просто забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать ошибки и неточности..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "помогите правильно настроить  ipsec !!!"

Сообщение от tnecr (??) on 25-Янв-08, 14:32

>>Нужно ли ставить crypto map на внеш. интерфейсы?
>
>извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map
>не висит на интерфейсах???? надо вешать, ибо без этого вы просто
>забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и,
>пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать
>ошибки и неточности..
Прошу прощение за неточность, crypto map-ы конечно есть на WAN интервейсах
Router1
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 6 xxxxx address x.x.x.x
crypto ipsec transform-set xxxxx esp-des esp-md5-hmac
crypto map peace 1 ipsec-isakmp
set peer x.x.x.x
set transform-set xxxxx
match address ACEESS (named)
///////////////////////////////////
ip access-list extended ACCESS
permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN)
permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1)
permit ip network (локальная LAN) network (удаленная LAN)
permit ip network (удаленная LAN) network (локальная LAN)
!
interface FastEthernet0/0 (внутренний)
description to LAN
ip address x.x.x.x
duplex auto
speed auto
!
interface FastEthernet0/1 (внешний)
ip address x.x.x.x
duplex auto
speed auto
crypto map peace
Тунэль работает исправно, я добавил access-list для тунэля между удаленным WAN interface и
локальной LAN. Я удаленно не могу скопировать config на локальный tftp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "помогите правильно настроить  ipsec !!!"

Сообщение от ajaxx on 25-Янв-08, 16:12

> локальной LAN. Я удаленно не могу скопировать config на локальный tftp
т.е. вы хотите хотите слить конфиг с цыски? вот вы так и не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены публичные айпишники а вы пытаетесь обратиться с них по tftp во внуреннюю приватную сеть, то вполне естественно, что у вас не получается..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "помогите правильно настроить  ipsec !!!"

Сообщение от dxer on 27-Янв-08, 23:54

>> локальной LAN. Я удаленно не могу скопировать config на локальный tftp
>
>т.е. вы хотите хотите слить конфиг с цыски? вот вы так и
>не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены
>публичные айпишники а вы пытаетесь обратиться с них по tftp во
>внуреннюю приватную сеть, то вполне естественно, что у вас не получается..
>
ping remote.host.ip.addr source имя_инт_который_смотрит_в_лан
т.е. ip сеть, которая прописана у тебя в ACL для crypto.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите правильно настроить ipsec !!!"
Сообщение от ajaxx on 24-Янв-08, 16:16
да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, то запросы идут с wan-овского интерфейса и если (я в этом уверен) не настроены должным образом трансляции, то вы и не сможете пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "помогите правильно настроить ipsec !!!"
	Сообщение от tnecr (??) on 25-Янв-08, 13:53
	>да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов >роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то >левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, >то запросы идут с wan-овского интерфейса и если (я в этом >уверен) не настроены должным образом трансляции, то вы и не сможете >пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то >пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс.. Насколько я понял благодаря IPsec тунэлю который поднят между внутренними сетями удаленных офисов, все пакеты приходящие из внешних интерфейсов (когда я пингую прямо с рутера удаленный LAN) не могут пройти вне тунэля. Для этого я сделал следующее- R1 permit ip host (удален. внеш. адрес) network (моя LAN) permit ip network (моя LAN) host (удален. внеш. адрес) R2 permit ip host (удален. внеш. адрес) network (моя LAN) permit ip network (моя LAN) host (удален. внеш. адрес) Нужно ли ставить crypto map на внеш. интерфейсы? Но я все равно с рутера не вижу удаленной LAN?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "помогите правильно настроить ipsec !!!"
	Сообщение от ajaxx on 25-Янв-08, 14:04
	>Нужно ли ставить crypto map на внеш. интерфейсы? извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map не висит на интерфейсах???? надо вешать, ибо без этого вы просто забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать ошибки и неточности..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "помогите правильно настроить ipsec !!!"
	Сообщение от tnecr (??) on 25-Янв-08, 14:32
	>>Нужно ли ставить crypto map на внеш. интерфейсы? > >извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map >не висит на интерфейсах???? надо вешать, ибо без этого вы просто >забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, >пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать >ошибки и неточности.. Прошу прощение за неточность, crypto map-ы конечно есть на WAN интервейсах Router1 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 6 xxxxx address x.x.x.x crypto ipsec transform-set xxxxx esp-des esp-md5-hmac crypto map peace 1 ipsec-isakmp set peer x.x.x.x set transform-set xxxxx match address ACEESS (named) /////////////////////////////////// ip access-list extended ACCESS permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN) permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1) permit ip network (локальная LAN) network (удаленная LAN) permit ip network (удаленная LAN) network (локальная LAN) ! interface FastEthernet0/0 (внутренний) description to LAN ip address x.x.x.x duplex auto speed auto ! interface FastEthernet0/1 (внешний) ip address x.x.x.x duplex auto speed auto crypto map peace Тунэль работает исправно, я добавил access-list для тунэля между удаленным WAN interface и локальной LAN. Я удаленно не могу скопировать config на локальный tftp
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "помогите правильно настроить ipsec !!!"
	Сообщение от ajaxx on 25-Янв-08, 16:12
	> локальной LAN. Я удаленно не могу скопировать config на локальный tftp т.е. вы хотите хотите слить конфиг с цыски? вот вы так и не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены публичные айпишники а вы пытаетесь обратиться с них по tftp во внуреннюю приватную сеть, то вполне естественно, что у вас не получается..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "помогите правильно настроить ipsec !!!"
	Сообщение от dxer on 27-Янв-08, 23:54
	>> локальной LAN. Я удаленно не могу скопировать config на локальный tftp > >т.е. вы хотите хотите слить конфиг с цыски? вот вы так и >не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены >публичные айпишники а вы пытаетесь обратиться с них по tftp во >внуреннюю приватную сеть, то вполне естественно, что у вас не получается.. > ping remote.host.ip.addr source имя_инт_который_смотрит_в_лан т.е. ip сеть, которая прописана у тебя в ACL для crypto.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]