форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"IPSec: пакеты не ходят, но фиксируются в ACL-ах."

Сообщение от Anton T. on 27-Июн-08, 16:41

Здраствуйте, Сталкнулся с такой непонятной штукой. Конфиг 1: Cisco 871W =========== Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(15)T4, RELEASE SOFTWARE (fc2) =========== crypto isakmp policy 11 encr 3des authentication pre-share group 5 crypto isakmp key 123 address 1.1.1.1 ! crypto ipsec transform-set sharks esp-3des esp-sha-hmac ! crypto map CENTER 23 ipsec-isakmp set peer 1.1.1.1 set security-association lifetime seconds 28800 set transform-set sharks match address 100 ! interface FastEthernet4 ip address 2.2.2.2 255.255.255.224 duplex auto speed auto crypto map CENTER ! access-list 100 permit ip 172.17.100.0 0.0.0.255 172.16.0.0 0.1.255.255 ! Конфиг 2: Cisco 2811 =========== Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(11)T1, RELEASE SOFTWARE (fc5) =========== crypto isakmp policy 11 encr 3des authentication pre-share group 5 crypto isakmp key 123 address 2.2.2.2 ! crypto ipsec transform-set sharks esp-3des esp-sha-hmac ! crypto map nolan 23 ipsec-isakmp set peer 2.2.2.2 set security-association lifetime seconds 28800 set transform-set sharks match address 100 ! interface FastEthernet0/1.1 encapsulation dot1Q 2 ip address 1.1.1.1 255.255.255.248 ip virtual-reassembly crypto map nolan ! access-list 100 permit ip 172.16.0.0 0.1.255.255 172.17.100.0 0.0.0.255 ! В итоге ISAKMP SA успешно устанавливается, но трафик не проходит. Самое интересное, что любые пинги по 172.* с соотв. интерфейса, фиксируются в счётчике пакетов ACL, причём в обоих цисках с обоих сторон по 2 штуки (возвращается ответ?!) Думал на MTU, но MTU-шные траблы не проявляются при маленьких пакетах (пингах). Думал, провайдер режет ESP, но тогда бы пакеты а ACL-ках не засчитывались. C2811 при этом держит кучу индентично настроенных каналов. Не пойму, где проблема.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."

Сообщение от SergTel (ok) on 27-Июн-08, 17:30

>Здраствуйте, > >Сталкнулся с такой непонятной штукой. Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не режет? Настройки вроде все правильные. Чтобы убедиться попробуй без крипты пойдут ли пакеты? Если нет попробуй GRE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."
	Сообщение от Anton T. on 27-Июн-08, 22:35
	>Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не >режет? Да, через провайдеров. Но они, по идее, про приватные адреса ничего знать не могут. Как я понимаю, весь трафик заворачивается в шифрованный ESP над IP. >Чтобы убедиться попробуй без крипты пойдут ли пакеты? В смысле? Просто пинги от 1.1.1.1 к 2.2.2.2 и обратно, ходят. >Если нет попробуй GRE Вариант. Попробую.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."
	Сообщение от SergTel (??) on 28-Июн-08, 14:22
	>>Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не >>режет? > >Да, через провайдеров. >Но они, по идее, про приватные адреса ничего знать не могут. Почему? >Как я понимаю, весь трафик заворачивается в шифрованный ESP над IP. > Шифруются данные дескриптор пакета не меняется >>Чтобы убедиться попробуй без крипты пойдут ли пакеты? > >В смысле? Выключи шифрование на интерфейсе проверь как идут пакеты >Просто пинги от 1.1.1.1 к 2.2.2.2 и обратно, ходят. > >>Если нет попробуй GRE > >Вариант. Попробую.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."
	Сообщение от Anton_T on 29-Июн-08, 19:31
	Проблема решена. Дело в том, что интерфейс с адресом 172.17.100.1 был down. Иными словами, когда юзера выключают все компы, vlan1(к которому в cisco 871w привязаны интерфейся f0,f1,f2 и f3) становится down и адрес 172.17.100.1( по которому я и проверял пинги) не активным. Интересно, что некоторые циски в этом случае выдают явную ошибку при попытки пинга с них. Мол, source address или interface вовсе не up. И, конечно, такая проблема не возникнет, если к циске подключить хотя бы 1 свитч, а не компы напрямую. Или, как сделал я, можно включить вай-фай (сильно пошифрованный) и забриджить его c vlan1. Тогда то же 172.17.100.1 всегда up.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."
	Сообщение от SergTel (ok) on 30-Июн-08, 06:05
	>[оверквотинг удален] >которому я и проверял пинги) не активным. > >Интересно, что некоторые циски в этом случае выдают явную ошибку при попытки >пинга с них. Мол, source address или interface вовсе не up. > > >И, конечно, такая проблема не возникнет, если к циске подключить хотя бы >1 свитч, а не компы напрямую. Или, как сделал я, можно >включить вай-фай (сильно пошифрованный) и забриджить его c vlan1. Тогда то >же 172.17.100.1 всегда up. Подними Loopback или на Vlan1 поставь ip. Падать должен перестать
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPSec: пакеты не ходят, но фиксируются в ACL-ах."
	Сообщение от Anton T. on 30-Июн-08, 08:52
	>Подними Loopback или на Vlan1 поставь ip. Падать должен перестать Так он больше не падает )) А на Vlan1 и стояло. И не помогло бы, когда все f0-f3 лежат. На loopback работает, но я поставил на bvi1.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]