форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"cisco 1841 gre passtrough на ios > 12.4-13a"

Сообщение от lnj (ok) on 04-Июн-08, 11:06

есть 1841, стоит иос c1841-advipservicesk9-mz[1].124-13a поднят нат, и CBAC из локальной сетки юзеры ходят на внешний ВПН сервер с помощью виндовых клиентов все работает и все счастливы обновляю иос на c1841-advipservicesk9-mz.124-19, и перестают проходить gre пакеты, с тем же конфигом так же пробовал 124-17 иос и 124-18, работает только с 124-13а на сайте циски сравнивал иосы, ничего что бы могло прояснить ситуацию не нашел. что получается: access-list 108 permit gre 192.168.1.0 0.0.0.255 any access-list 109 permit gre any host х.х.х.х log или даже access-list 109 permit ip a.a.a.a 0.0.0.255 host b.b.b.b и имею в логах May 19 16:16:23 192.168.1.254 100920: 100915: May 19 16:16:22.948 VLAST: %SEC-6-IPACCESSLOGRP: list 109 permitted gre a.a.a.a -> b.b.b.b, 1 packet May 19 16:16:23 192.168.1.254 100921: 100916: May 19 16:16:23.048 VLAST: FIREWALL* Ignore (fast s/w) packet: not TCP, UDP or ICMP (b.b.b.b) (a.a.a.a) может ли это быть, что в новых иосах дропнули режим gre passtrough, или что-то другое изменилось только не пердлагать плиз остаться на 124-13а, это я и сам могу сделать :) просто хотелось бы понять причину, почему со свежими иос не работает

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "cisco 1841 gre passtrough на ios > 12.4-13a"

Сообщение от dxer on 04-Июн-08, 20:44

>[оверквотинг удален] > >May 19 16:16:23 192.168.1.254 100920: 100915: May 19 16:16:22.948 VLAST: %SEC-6-IPACCESSLOGRP: list 109 permitted gre a.a.a.a -> b.b.b.b, 1 packet >May 19 16:16:23 192.168.1.254 100921: 100916: May 19 16:16:23.048 VLAST: FIREWALL* Ignore >(fast s/w) packet: not TCP, UDP or ICMP (b.b.b.b) (a.a.a.a) > >может ли это быть, что в новых иосах дропнули режим gre passtrough, >или что-то другое изменилось >только не пердлагать плиз остаться на 124-13а, это я и сам могу >сделать :) >просто хотелось бы понять причину, почему со свежими иос не работает Было давно что-то похожее, попробуй no ip cef в глобальном режиме сделать, пойдут ли пакеты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 16-Июн-08, 03:40
	попробовал, ничего не изменилось так же не проходит gre...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от SergTel on 16-Июн-08, 06:09
	>попробовал, ничего не изменилось >так же не проходит gre... В логах написано-же файвол режит GRE!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от KiM on 16-Июн-08, 11:50
	>>попробовал, ничего не изменилось >>так же не проходит gre... > >В логах написано-же файвол режит GRE! sh run можно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 17-Июн-08, 05:13
	понятно что режет gre, но почему? почему с этим же конфигом на более старом иосе не режет, а на новом режет? т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или наоборот что-то убрали, но что я не нашел нигде. вот куски конфига, почиканные естественно no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! ! boot-start-marker boot system flash c1841-advipservicesk9-mz.124-19.bin boot config usbflash0:config boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 52000 debugging logging console notifications enable secret 5 ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common clock timezone VLAST 10 clock summer-time VLAST recurring 1 Sun Apr 2:00 last Sun Oct 2:00 no ip source-route ip cef ! ! ! ! no ip bootp server ip inspect max-incomplete low 300 ip inspect max-incomplete high 400 ip inspect one-minute low 500 ip inspect one-minute high 600 ip inspect udp idle-time 20 ip inspect tcp idle-time 86400 ip inspect tcp synwait-time 20 ip inspect tcp max-incomplete host 100 block-time 0 ip inspect name SDM_LOW cuseeme ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW h323 ip inspect name SDM_LOW icmp ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW streamworks ip inspect name SDM_LOW tftp ip inspect name SDM_LOW tcp ip inspect name SDM_LOW udp ip inspect name SDM_LOW vdolive ip inspect name internet cuseeme ip inspect name internet dns ip inspect name internet ftp ip inspect name internet h323 ip inspect name internet https ip inspect name internet icmp ip inspect name internet netshow ip inspect name internet rcmd ip inspect name internet realaudio ip inspect name internet rtsp ip inspect name internet streamworks ip inspect name internet tftp ip inspect name internet tcp ip inspect name internet udp ip inspect name internet vdolive ip inspect name internet http ip inspect name internet ssh ip inspect name internet pop3 ip inspect name internet pptp ip inspect name internet l2tp ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! ! ! ip tcp mss 1100 ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! ! ! ! ! interface Null0 no ip unreachables ! interface FastEthernet0/0 ip address m.m.m.m n.n.n.n ip access-group 111 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect SDM_LOW out ip virtual-reassembly ip route-cache flow speed 100 full-duplex no mop enabled ! interface FastEthernet0/1 ip address a.a.a.a b.b.b.b ip access-group 109 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect internet out ip virtual-reassembly ip route-cache flow duplex auto speed auto no mop enabled ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 switchport access vlan 2 ! interface Vlan1 description LAN ip address 192.168.1.254 255.255.255.0 ip access-group 108 in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly ip route-cache flow ! ! ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 x.x.x.x ip route c.c.c.c 255.0.0.0 v.v.v.v ! ip flow-export version 5 ip flow-export destination 192.168.1.2 9988 ! ! ip access-list log-update threshold 1 logging trap debugging logging facility local6 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 108 permit tcp 192.168.1.0 0.0.0.255 any eq 1723 access-list 108 permit gre 192.168.1.0 0.0.0.255 any access-list 108 deny   ip host 255.255.255.255 any access-list 108 deny   ip 127.0.0.0 0.255.255.255 any access-list 108 deny   ip any any log access-list 109 permit ip host h.h.h.h host a.a.a.a log access-list 109 deny   ip host 0.0.0.0 any access-list 109 deny   ip any any log no cdp run ! ! ! ! control-plane ! ! ! line con 0 logging synchronous transport preferred none transport output telnet line aux 0 transport output telnet line vty 0 4 access-class 23 in exec-timeout 30 0 logging synchronous transport preferred none transport input telnet ssh line vty 5 15 access-class 23 in exec-timeout 30 0 transport input telnet ssh ! scheduler allocate 4000 1000 ntp clock-period 17178736 ntp update-calendar ntp server 192.168.1.2 source Vlan1 prefer end
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от SergTel on 17-Июн-08, 06:16
	>понятно что режет gre, но почему? >почему с этим же конфигом на более старом иосе не режет, а >на новом режет? >т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или >наоборот что-то убрали, но что я не нашел нигде. > >вот куски конфига, почиканные естественно > для начала убери временно файволл (по логам именно файволл игнорит пакеты) иосы сравнивал?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от KiM on 17-Июн-08, 08:53
	>[оверквотинг удален] >>на новом режет? >>т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или >>наоборот что-то убрали, но что я не нашел нигде. >> >>вот куски конфига, почиканные естественно >> > >для начала убери временно файволл (по логам именно файволл игнорит пакеты) > >иосы сравнивал? проблема в ip inspect
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 17-Июн-08, 09:22
	убирать фаервол не пробовал, может на выходных попробую иосы сравнивал, не нашел там ничего что могло бы пролить свет >проблема в ip inspect понятно, видимо что-то изменилось в иосе, не понятно баг это или фича может специально так сделали, а может нужно добавить что-то в конфиг
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 17-Июн-08, 09:27
	ip inspect name internet pptp ip inspect name internet l2tp убирал, никакой разницы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от KiM on 17-Июн-08, 09:34
	>ip inspect name internet pptp >ip inspect name internet l2tp > >убирал, никакой разницы убери ip inspect с интерфейсов а не изменяй правила.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 17-Июн-08, 11:22
	>убери ip inspect с интерфейсов а не изменяй правила. убрал ip inspect с интрнет интерфейса, в логах только пермиты, от фаервола нет, но не работает всеравно позже еще раз попробую без фаервола
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от lnj (ok) on 19-Июн-08, 04:03
	убрал ip inspect разрешил ip к впн серверу и от него в логах все пропускается туда и обратно, а не работает, зависает соединение на проверке пароля наверное вернусь на старый иос :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "cisco 1841 gre passtrough на ios > 12.4-13a"
	Сообщение от SergTel (ok) on 19-Июн-08, 06:00
	>убрал ip inspect >разрешил ip к впн серверу и от него >в логах все пропускается туда и обратно, а не работает, зависает соединение >на проверке пароля >наверное вернусь на старый иос :( Не торопись! Попробуй написать новый конфиг с нуля! Проверь крипто-карты посмотри дебаг по ИКЕ
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]