forum.opennet.ru - "Проблема поднятия gre туннеля между двумя 7206 цисками" (24)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Проблема поднятия gre туннеля между двумя 7206 цисками"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проблема поднятия gre туннеля между двумя 7206 цисками"
Сообщение от _RAW_ (ok) on 09-Апр-09, 07:16
Добрый день всем! В общем, казалось бы тривиальная задача - поднять gre туннель, ан нет, не вышло. Оборудование: С моей стороны cisco7206vxr с интерфейсами: Se 1/0:0 смотрящий на провайдера: interface Serial1/0:0 description COMCOR bandwidth 2000 ip address 66.115.77.5 255.255.255.252 ip access-group 128 in ip access-group provout out ip verify unicast reverse-path ip nat outside Fa0/1 смотрящий в сторону DMZ: interface FastEthernet0/1 description DMZ ip address 77.105.70.1 255.255.255.240 ip access-group dmzin in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map prov-map duplex auto speed 100 Fa0/0 смотрящий в сторону локалки с адресом допустим interface FastEthernet0/0 description LAN ip address 192.168.1.1 255.255.255.0 ip access-group lanin in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map prov-map duplex auto speed 100 Tun0 смотрящий в работающий туннель interface Tunnel0 ip address 10.3.2.9 255.255.255.192 no ip redirects ip accounting output-packets ip mtu 1416 ip nat outside ip nhrp authentication ocsic ip nhrp map 10.3.2.1 63.140.109.248 ip nhrp map multicast 63.140.109.248 ip nhrp network-id 24 ip nhrp nhs 10.3.2.1 tunnel source 66.115.77.5 tunnel destination 63.140.109.248 tunnel key 54321 tunnel protection ipsec profile gre1 shared Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется. Маршрутизация: ip route 0.0.0.0 0.0.0.0 66.115.77.5 ip route 66.115.77.5 255.255.255.255 Serial1/0:0 ip route 77.105.70.0 255.255.255.240 FastEthernet0/1 ip route 172.16.0.0 255.255.0.0 Tunnel0 ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 поднят наттинг для дмз и локалки: ip nat pool prov-space 66.115.77.5 66.115.77.5 netmask 255.255.255.252 ip nat inside source list remclient interface Tunnel0 overload ip nat inside source route-map prov-map pool prov-space overload Что у сторонней организации на интерфейсах остальных, не знаю, но клянутся что везде тоже все разрешено. Поднимаю интерфейс с их рекомендациями: interface Tunnel1 ip address 10.11.0.2 255.255.255.252 tunnel source Serial1/0:0 tunnel destination 212.88.1.166 Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется. Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета (даже с указанием source). Мои локальные пингуются, мои дмз пингуются а инет - нет. При этом из локалки и дмз все отлично пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой туннель, и почему не могу пинговать внешние айпишники... Помогите кто чем может :)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Проблема поднятия gre туннеля между двумя 7206 цисками, ilya, 07:38 , 09-Апр-09, (1)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 10:20 , 09-Апр-09, (5)

Проблема поднятия gre туннеля между двумя 7206 цисками, ilya, 13:23 , 09-Апр-09, (13)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 13:45 , 09-Апр-09, (16)

Проблема поднятия gre туннеля между двумя 7206 цисками, ilya, 14:04 , 09-Апр-09, (19)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 14:13 , 09-Апр-09, (21)
Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 15:34 , 09-Апр-09, (22)

Проблема поднятия gre туннеля между двумя 7206 цисками, lumenous, 07:46 , 09-Апр-09, (2)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 10:15 , 09-Апр-09, (4)

Проблема поднятия gre туннеля между двумя 7206 цисками, chocholl, 10:12 , 09-Апр-09, (3)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 10:24 , 09-Апр-09, (6)

Проблема поднятия gre туннеля между двумя 7206 цисками, chocholl, 10:35 , 09-Апр-09, (7)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 10:44 , 09-Апр-09, (8)

Проблема поднятия gre туннеля между двумя 7206 цисками, lumenous, 11:10 , 09-Апр-09, (10)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 12:41 , 09-Апр-09, (11)

Проблема поднятия gre туннеля между двумя 7206 цисками, lumenous, 13:16 , 09-Апр-09, (12)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 13:42 , 09-Апр-09, (15)

Проблема поднятия gre туннеля между двумя 7206 цисками, lumenous, 13:48 , 09-Апр-09, (17)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 14:07 , 09-Апр-09, (20)
Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 15:34 , 09-Апр-09, (23)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 10:46 , 09-Апр-09, (9)

Проблема поднятия gre туннеля между двумя 7206 цисками, chocholl, 13:27 , 09-Апр-09, (14)

Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 13:49 , 09-Апр-09, (18)
Проблема поднятия gre туннеля между двумя 7206 цисками, _RAW_, 15:34 , 09-Апр-09, (24)

Сообщения по теме [Сортировка по времени | RSS]

1. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от ilya (ok) on 09-Апр-09, 07:38

>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
все это как? все IP или все включая IP и GRE? т.е. acl пропускает gre-трафик?
>
>Маршрутизация:
>
>ip route 66.115.77.5 255.255.255.255 Serial1/0:0
а это зачем?
>[оверквотинг удален]
> tunnel source Serial1/0:0
> tunnel destination 212.88.1.166
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...
ну попробуйте правило ната поменять на
ip nat inside source route-map... interface ... overload
>Помогите кто чем может :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 10:20

>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
>
>все это как? все IP или все включая IP и GRE? т.е.
>acl пропускает gre-трафик?
Ну явно там не запрещен, думаете дать пермит gre спецом?
>>Маршрутизация:
>>
>>ip route 66.115.77.5 255.255.255.255 Serial1/0:0
>а это зачем?
убрал. действительно глупость. но проблем это не решило.
>[оверквотинг удален]
>> tunnel destination 212.88.1.166
>>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>>инет - нет. При этом из локалки и дмз все отлично
>>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>>туннель, и почему не могу пинговать внешние айпишники...
>
>ну попробуйте правило ната поменять на
>ip nat inside source route-map... interface ... overload
а вот тут поподробнее, если не сложно... у меня по идее они и так вродь в таком виде. по крайней мере те что существуют...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от ilya (ok) on 09-Апр-09, 13:23

>>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>>>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
>>
>>все это как? все IP или все включая IP и GRE? т.е.
>>acl пропускает gre-трафик?
>
>Ну явно там не запрещен, думаете дать пермит gre спецом?
обязательно
acl permit gre ....
и для проверки сделайте простейшие тунели.
tunn0
ip add
tunn src...
tunn dst...

>
>а вот тут поподробнее, если не сложно... у меня по идее они
>и так вродь в таком виде. по крайней мере те что
>существуют...
примерно так
ip nat inside source list 130 interface FastEthernet0/1 overload
на циске куча примеров - смотрите там.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 13:45

>обязательно
>acl permit gre ....
добавил по всем acl - permit gre any any
>и для проверки сделайте простейшие тунели.
>tunn0
>ip add
>tunn src...
>tunn dst...
а он такой и есть изначально:
interface Tunnel1
ip address 10.11.0.2 255.255.255.252
tunnel source Serial1/0:0
tunnel destination 212.88.1.166
>>а вот тут поподробнее, если не сложно... у меня по идее они
>>и так вродь в таком виде. по крайней мере те что
>>существуют...
>
>примерно так
>ip nat inside source list 130 interface FastEthernet0/1 overload
>на циске куча примеров - смотрите там.
до ната еще дожить надо... пока я не вижу даже вторую сторону связующей сети тунеля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от ilya (ok) on 09-Апр-09, 14:04

>[оверквотинг удален]
>>>а вот тут поподробнее, если не сложно... у меня по идее они
>>>и так вродь в таком виде. по крайней мере те что
>>>существуют...
>>
>>примерно так
>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>на циске куча примеров - смотрите там.
>
>до ната еще дожить надо... пока я не вижу даже вторую сторону
>связующей сети тунеля.
ну так снимите нат с интерфейса сериал  - посмотрите видно или нет.
поправьте нат.
или покажите что за роутмапа с асл у вас используется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 14:13

>[оверквотинг удален]
>>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>>на циске куча примеров - смотрите там.
>>
>>до ната еще дожить надо... пока я не вижу даже вторую сторону
>>связующей сети тунеля.
>
>ну так снимите нат с интерфейса сериал  - посмотрите видно или
>нет.
>поправьте нат.
>или покажите что за роутмапа с асл у вас используется.
нат с сериала снять к сожалению не могу. ибо на него натятся локалка и дмз. всё предприятие и ЦОД с внешними сервисами. ронять низя...
вот роутмап:
route-map prov-map permit 20
match ip address allowinet
match interface Serial1/0:0
set default interface Serial1/0:0
вот acl который к роутмапу привязан:
ip access-list standard allowinet
permit 192.168.1.10
permit 192.168.1.11
permit 192.168.1.15
permit 192.168.1.12
permit 192.168.1.13
permit 192.168.1.14
permit 192.168.100.100
permit 192.168.1.7
permit 192.168.1.18
permit 192.168.1.20
permit 192.168.1.230
вот правила ната:
ip nat pool prov-space 66.115.77.5 66.115.77.5 netmask 255.255.255.252
ip nat inside source route-map prov-map pool prov-space overload

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34

>[оверквотинг удален]
>>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>>на циске куча примеров - смотрите там.
>>
>>до ната еще дожить надо... пока я не вижу даже вторую сторону
>>связующей сети тунеля.
>
>ну так снимите нат с интерфейса сериал  - посмотрите видно или
>нет.
>поправьте нат.
>или покажите что за роутмапа с асл у вас используется.
в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.
достаточно просто поднять тунель:
interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166
и даже в acl не пришлось ничего править.
спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от lumenous (ok) on 09-Апр-09, 07:46

>[оверквотинг удален]
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...
>
>Помогите кто чем может :)
Неплохо бы было увидеть конфиг акцесслистов  "128" и "provout".
Попробуйте вообще без них.
Еще не понятно зачем вам вот это?
ip route 66.115.77.5 255.255.255.255 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
Они же у вас "connected", работать будет без статических маршрутов.
Что говорит ping и tracert 212.88.1.166 ?
А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 10:15

>Неплохо бы было увидеть конфиг акцесслистов  "128" и "provout".
>Попробуйте вообще без них.
128 длинный на почти тысячу правил. вкратце (все правила касательно Fa0/1):
access-list 128 permit udp any host 77.105.70.1 eq isakmp log-input
access-list 128 permit esp any host 77.105.70.1 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 69 log-input
access-list 128 deny   udp any host 77.105.70.1 eq tftp log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 135 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 135 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 137 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-ns log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 138 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-dgm log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 139 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-ss log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 445 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 445 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 500 log-input
access-list 128 deny   udp any host 77.105.70.1 eq isakmp log-input
access-list 128 deny   tcp any host 77.105.70.1 eq exec log-input
access-list 128 deny   udp any host 77.105.70.1 eq biff log-input
access-list 128 deny   tcp any host 77.105.70.1 eq login log-input
access-list 128 deny   udp any host 77.105.70.1 eq who log-input
access-list 128 deny   tcp any host 77.105.70.1 eq cmd log-input
access-list 128 deny   udp any host 77.105.70.1 eq syslog log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 612 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 612 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 613 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 613 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1025 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1025 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1433 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1433 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1434 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1434 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 2745 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 2745 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3127 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3127 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3306 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3306 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3389 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3389 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 4015 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 4015 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 4444 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 4444 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 5000 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 5000 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 6129 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 6129 log-input
далее правила относящиеся к хостам в дмз из пула
и в конце
access-list 128 permit ip any any
вот provout:
ip access-list extended provout
deny   tcp any any eq 1433 log-input
deny   udp any any eq 1433 log-input
deny   tcp any any eq 1434 log-input
deny   udp any any eq 1434 log-input
permit ip any any
>Еще не понятно зачем вам вот это?
>ip route 66.115.77.5 255.255.255.255 Serial1/0:0
>ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
согласен, глупость. исправил на
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
>Они же у вас "connected", работать будет без статических маршрутов.
не, как минимум ip route 0.0.0.0 0.0.0.0 Serial1/0:0 нужен, иначе ничего не будет выпускаться вообще в инет из дмз и локалки.
>Что говорит ping и tracert 212.88.1.166 ?
из циски - ..... 0/5 не зависимо от source.
трейс умирает на нулевом хопе хопе.
Type escape sequence to abort.
Tracing the route to name.domain.ru (212.88.1.166)
  1  *  *  *
  2  *  *  *
ну и так далее...
из локалки и дмз - прекрасно пингуется и трейсится.
>А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5"
пробовал и так тоже - никакой разницы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от chocholl (??) on 09-Апр-09, 10:12

если с криптомапами все нормально...
то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из сети DMZ.
>[оверквотинг удален]
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...
>
>Помогите кто чем может :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 10:24

>если с криптомапами все нормально...
>то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из
>сети DMZ.
Попробовал (криптополиси подняты только для Tun0, Tun1 пока пробую без криптографии поднять, потом как подымется буду уже закрывать):
interface Tunnel1
ip address 10.11.0.2 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 212.88.1.166
результаты те же:
c7206vxr#ping 10.11.0.2
Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
c7206vxr#ping 10.11.0.1
Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от chocholl (??) on 09-Апр-09, 10:35

вы оставьте только один тунель, для простоты.
а внешние адреса тунеля с ваших адресов доступны?
>[оверквотинг удален]
>результаты те же:
>c7206vxr#ping 10.11.0.2
>Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
>!!!!!
>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
>
>c7206vxr#ping 10.11.0.1
>Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
>.....
>Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 10:44

>вы оставьте только один тунель, для простоты.
ща попробую...

>[оверквотинг удален]
>>результаты те же:
>>c7206vxr#ping 10.11.0.2
>>Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
>>!!!!!
>>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
>>
>>c7206vxr#ping 10.11.0.1
>>Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
>>.....
>>Success rate is 0 percent (0/5)
Если пингуюсь с хоста находящегося в локальной сети за интерфейсом Fa0/0 то доступен:
Пинг с моего компа - 192.168.1.100 (для принимающей стороны адресом соурса будет 66.115.77.5)
Обмен пакетами с 212.88.1.166 по 32 байт:
Ответ от 212.88.1.166: число байт=32 время=11мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=12мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=9мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=13мс TTL=246
Статистика Ping для 212.88.1.166:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 9мсек, Максимальное = 13 мсек, Среднее = 11 мсек
Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там адрес соурса будет маршрутизируемый адрес из пула дмз, а у них PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас только мой 66.115.77.5
но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно как и мой 66.115.77.5 доступен для них.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от lumenous (ok) on 09-Апр-09, 11:10

>[оверквотинг удален]
>    Минимальное = 9мсек, Максимальное = 13 мсек, Среднее
>= 11 мсек
>
>Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там
>адрес соурса будет маршрутизируемый адрес из пула дмз, а у них
>PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас
>только мой 66.115.77.5
>
>но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно
>как и мой 66.115.77.5 доступен для них.
То что вы пингуете с компа еще ни о чем не говорит. Скорее всего он у вас через существующий тунель уходит и на той стороне уже доходит до 212.88.1.166.
Давайте будем последовательны.
Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему надо именно в этом. Видимо поэтому тунель у вас и не поднимается.
Наберите sh ip route 212.88.1.166.
Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у вас должен быть тунель%

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 12:41

>>но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно
>>как и мой 66.115.77.5 доступен для них.
>
>То что вы пингуете с компа еще ни о чем не говорит.
>Скорее всего он у вас через существующий тунель уходит и на
>той стороне уже доходит до 212.88.1.166.
по умолчанию уходит через
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
>Давайте будем последовательны.
>Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему
>надо именно в этом. Видимо поэтому тунель у вас и не
>поднимается.
В принципе с циски нету пинга никуда кроме моей локалки, моей дмз и всех интерфейсов самой циски... Можно начать с этой проблемы. Честно говоря пока не понимаю почему не могу пропинговать любой рабочий IP в интернете.
>Наберите sh ip route 212.88.1.166.
c7206vxr#sh ip route 212.88.1.166
% Network not in table
>Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у
>вас должен быть тунель%
я пробовал вот так
ip route 212.88.1.166 255.255.255.255 Tunnel1
пробовал еще вот так
ip route 212.88.1.166 255.255.255.255 66.115.77.5
пробовал и так
ip route 212.88.1.166 255.255.255.255 Serial1/0:0
никаких изменений... пинга по прежнему нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от lumenous (ok) on 09-Апр-09, 13:16

>[оверквотинг удален]
>>вас должен быть тунель%
>
>я пробовал вот так
>ip route 212.88.1.166 255.255.255.255 Tunnel1
>пробовал еще вот так
>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>пробовал и так
>ip route 212.88.1.166 255.255.255.255 Serial1/0:0
>
>никаких изменений... пинга по прежнему нет.
ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 13:42

>[оверквотинг удален]
>>я пробовал вот так
>>ip route 212.88.1.166 255.255.255.255 Tunnel1
>>пробовал еще вот так
>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>>пробовал и так
>>ip route 212.88.1.166 255.255.255.255 Serial1/0:0
>>
>>никаких изменений... пинга по прежнему нет.
>
>ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо
а я так и попробовал, отписал выше, просто опечатался ибо не копипастил а писал от руки:
>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
считать ip route 212.88.1.166 255.255.255.255 66.115.77.6
в общем не помогло тоже. по прежнему не вижу пинга.
думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете из самой циски... может где какой маршрут забыл? ведь хосты из сетей за циской нормально инет видят...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от lumenous (ok) on 09-Апр-09, 13:48

>[оверквотинг удален]
>а писал от руки:
>>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>
>считать ip route 212.88.1.166 255.255.255.255 66.115.77.6
>
>в общем не помогло тоже. по прежнему не вижу пинга.
>
>думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете
>из самой циски... может где какой маршрут забыл? ведь хосты из
>сетей за циской нормально инет видят...
Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть надо на 66.115.77.6? наверняка да, отлично.
Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 14:07

>>а писал от руки:
>>>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>>считать ip route 212.88.1.166 255.255.255.255 66.115.77.6
>>в общем не помогло тоже. по прежнему не вижу пинга.
>>думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете
>>из самой циски... может где какой маршрут забыл? ведь хосты из
>>сетей за циской нормально инет видят...
>Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть
>надо на 66.115.77.6? наверняка да, отлично.
видит
c7206vxr#sh ip route 212.8.1.166
Routing entry for 212.8.1.166/32
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 66.115.77.6
      Route metric is 0, traffic share count is 1

>Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на
>хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166
>
пингуется только мой Serial1/0:0
c7206vxr#ping 66.115.77.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
а вот циска провайдера уже не пингуется (тогда как из локалки или дмз я это пингую отлично)
c7206vxr#ping 66.115.77.6
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Такое чувство что я где то и правда накривил с маршрутизацией... но вот где. у меня всего то маршрутов ща вот:
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
ip route 212.8.1.166 255.255.255.255 66.115.77.6

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34

>Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть
>надо на 66.115.77.6? наверняка да, отлично.
>
>Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на
>хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166
>
в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.
достаточно просто поднять тунель:
interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166
и даже в acl не пришлось ничего править.
спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 10:46

>вы оставьте только один тунель, для простоты.
убрал tun0
не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от chocholl (??) on 09-Апр-09, 13:27

теперь добейтесь нормальной связности между адресами тунелей.
либо это аксес листы, либо маршрутизация покривилась.

>>вы оставьте только один тунель, для простоты.
>
>убрал tun0
>не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 13:49

>теперь добейтесь нормальной связности между адресами тунелей.
>либо это аксес листы, либо маршрутизация покривилась.
Это и пытаюсь сделать с самого утра. в аксесслистах уже подобавлял allow по всему что можно, gre , ip...
маршрутизацию лишнюю поубирал осталось вот что:
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
и добавил по совету здешних гуру еще маршрут:
ip route 212.88.1.166 255.255.255.255 Serial1/0:0
а так же пробовал
ip route 212.88.1.166 255.255.255.255 Tunnel0
не помогает.
тут еще нюанс что изнутри моей циски не пингуется вообще ничего в инете... ни один хост. даже циска провайдера с той стороны канала в инет, тогда как в локалке и в дмз пинги идут наружу нормально.
скорее всего проблема где то здесь... только где.
>>>вы оставьте только один тунель, для простоты.
>>
>>убрал tun0
>>не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Проблема поднятия gre туннеля между двумя 7206 цисками"

Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34

>теперь добейтесь нормальной связности между адресами тунелей.
>либо это аксес листы, либо маршрутизация покривилась.
>
>
>>>вы оставьте только один тунель, для простоты.
>>
>>убрал tun0
>>не помогло...
в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.
достаточно просто поднять тунель:
interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166
и даже в acl не пришлось ничего править.
спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблема поднятия gre туннеля между двумя 7206 цисками"
Сообщение от ilya (ok) on 09-Апр-09, 07:38
>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые >порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется. все это как? все IP или все включая IP и GRE? т.е. acl пропускает gre-трафик? > >Маршрутизация: > >ip route 66.115.77.5 255.255.255.255 Serial1/0:0 а это зачем? >[оверквотинг удален] > tunnel source Serial1/0:0 > tunnel destination 212.88.1.166 > >Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется. > >Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета >(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а >инет - нет. При этом из локалки и дмз все отлично >пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой >туннель, и почему не могу пинговать внешние айпишники... ну попробуйте правило ната поменять на ip nat inside source route-map... interface ... overload >Помогите кто чем может :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 10:20
	>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые >>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется. > >все это как? все IP или все включая IP и GRE? т.е. >acl пропускает gre-трафик? Ну явно там не запрещен, думаете дать пермит gre спецом? >>Маршрутизация: >> >>ip route 66.115.77.5 255.255.255.255 Serial1/0:0 >а это зачем? убрал. действительно глупость. но проблем это не решило. >[оверквотинг удален] >> tunnel destination 212.88.1.166 >>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется. >>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета >>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а >>инет - нет. При этом из локалки и дмз все отлично >>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой >>туннель, и почему не могу пинговать внешние айпишники... > >ну попробуйте правило ната поменять на >ip nat inside source route-map... interface ... overload а вот тут поподробнее, если не сложно... у меня по идее они и так вродь в таком виде. по крайней мере те что существуют...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от ilya (ok) on 09-Апр-09, 13:23
	>>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые >>>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется. >> >>все это как? все IP или все включая IP и GRE? т.е. >>acl пропускает gre-трафик? > >Ну явно там не запрещен, думаете дать пермит gre спецом? обязательно acl permit gre .... и для проверки сделайте простейшие тунели. tunn0 ip add tunn src... tunn dst... > >а вот тут поподробнее, если не сложно... у меня по идее они >и так вродь в таком виде. по крайней мере те что >существуют... примерно так ip nat inside source list 130 interface FastEthernet0/1 overload на циске куча примеров - смотрите там.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 13:45
	>обязательно >acl permit gre .... добавил по всем acl - permit gre any any >и для проверки сделайте простейшие тунели. >tunn0 >ip add >tunn src... >tunn dst... а он такой и есть изначально: interface Tunnel1 ip address 10.11.0.2 255.255.255.252 tunnel source Serial1/0:0 tunnel destination 212.88.1.166 >>а вот тут поподробнее, если не сложно... у меня по идее они >>и так вродь в таком виде. по крайней мере те что >>существуют... > >примерно так >ip nat inside source list 130 interface FastEthernet0/1 overload >на циске куча примеров - смотрите там. до ната еще дожить надо... пока я не вижу даже вторую сторону связующей сети тунеля.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от ilya (ok) on 09-Апр-09, 14:04
	>[оверквотинг удален] >>>а вот тут поподробнее, если не сложно... у меня по идее они >>>и так вродь в таком виде. по крайней мере те что >>>существуют... >> >>примерно так >>ip nat inside source list 130 interface FastEthernet0/1 overload >>на циске куча примеров - смотрите там. > >до ната еще дожить надо... пока я не вижу даже вторую сторону >связующей сети тунеля. ну так снимите нат с интерфейса сериал - посмотрите видно или нет. поправьте нат. или покажите что за роутмапа с асл у вас используется.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 14:13
	>[оверквотинг удален] >>>ip nat inside source list 130 interface FastEthernet0/1 overload >>>на циске куча примеров - смотрите там. >> >>до ната еще дожить надо... пока я не вижу даже вторую сторону >>связующей сети тунеля. > >ну так снимите нат с интерфейса сериал - посмотрите видно или >нет. >поправьте нат. >или покажите что за роутмапа с асл у вас используется. нат с сериала снять к сожалению не могу. ибо на него натятся локалка и дмз. всё предприятие и ЦОД с внешними сервисами. ронять низя... вот роутмап: route-map prov-map permit 20 match ip address allowinet match interface Serial1/0:0 set default interface Serial1/0:0 вот acl который к роутмапу привязан: ip access-list standard allowinet permit 192.168.1.10 permit 192.168.1.11 permit 192.168.1.15 permit 192.168.1.12 permit 192.168.1.13 permit 192.168.1.14 permit 192.168.100.100 permit 192.168.1.7 permit 192.168.1.18 permit 192.168.1.20 permit 192.168.1.230 вот правила ната: ip nat pool prov-space 66.115.77.5 66.115.77.5 netmask 255.255.255.252 ip nat inside source route-map prov-map pool prov-space overload
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34
	>[оверквотинг удален] >>>ip nat inside source list 130 interface FastEthernet0/1 overload >>>на циске куча примеров - смотрите там. >> >>до ната еще дожить надо... пока я не вижу даже вторую сторону >>связующей сети тунеля. > >ну так снимите нат с интерфейса сериал - посмотрите видно или >нет. >поправьте нат. >или покажите что за роутмапа с асл у вас используется. в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда. ребутнул железно циску - все заработало. достаточно просто поднять тунель: interface Tunnel1 bandwidth 2000 ip address 10.11.0.2 255.255.255.252 ip mtu 1500 tunnel source Serial1/0:0 tunnel destination 212.8.1.166 и даже в acl не пришлось ничего править. спасибо за советы и поддержку %)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Проблема поднятия gre туннеля между двумя 7206 цисками"
Сообщение от lumenous (ok) on 09-Апр-09, 07:46
>[оверквотинг удален] > >Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется. > >Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета >(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а >инет - нет. При этом из локалки и дмз все отлично >пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой >туннель, и почему не могу пинговать внешние айпишники... > >Помогите кто чем может :) Неплохо бы было увидеть конфиг акцесслистов "128" и "provout". Попробуйте вообще без них. Еще не понятно зачем вам вот это? ip route 66.115.77.5 255.255.255.255 Serial1/0:0 ip route 77.105.70.0 255.255.255.240 FastEthernet0/1 Они же у вас "connected", работать будет без статических маршрутов. Что говорит ping и tracert 212.88.1.166 ? А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5"
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 10:15
	>Неплохо бы было увидеть конфиг акцесслистов "128" и "provout". >Попробуйте вообще без них. 128 длинный на почти тысячу правил. вкратце (все правила касательно Fa0/1): access-list 128 permit udp any host 77.105.70.1 eq isakmp log-input access-list 128 permit esp any host 77.105.70.1 log-input access-list 128 deny tcp any host 77.105.70.1 eq 69 log-input access-list 128 deny udp any host 77.105.70.1 eq tftp log-input access-list 128 deny tcp any host 77.105.70.1 eq 135 log-input access-list 128 deny udp any host 77.105.70.1 eq 135 log-input access-list 128 deny tcp any host 77.105.70.1 eq 137 log-input access-list 128 deny udp any host 77.105.70.1 eq netbios-ns log-input access-list 128 deny tcp any host 77.105.70.1 eq 138 log-input access-list 128 deny udp any host 77.105.70.1 eq netbios-dgm log-input access-list 128 deny tcp any host 77.105.70.1 eq 139 log-input access-list 128 deny udp any host 77.105.70.1 eq netbios-ss log-input access-list 128 deny tcp any host 77.105.70.1 eq 445 log-input access-list 128 deny udp any host 77.105.70.1 eq 445 log-input access-list 128 deny tcp any host 77.105.70.1 eq 500 log-input access-list 128 deny udp any host 77.105.70.1 eq isakmp log-input access-list 128 deny tcp any host 77.105.70.1 eq exec log-input access-list 128 deny udp any host 77.105.70.1 eq biff log-input access-list 128 deny tcp any host 77.105.70.1 eq login log-input access-list 128 deny udp any host 77.105.70.1 eq who log-input access-list 128 deny tcp any host 77.105.70.1 eq cmd log-input access-list 128 deny udp any host 77.105.70.1 eq syslog log-input access-list 128 deny tcp any host 77.105.70.1 eq 612 log-input access-list 128 deny udp any host 77.105.70.1 eq 612 log-input access-list 128 deny tcp any host 77.105.70.1 eq 613 log-input access-list 128 deny udp any host 77.105.70.1 eq 613 log-input access-list 128 deny tcp any host 77.105.70.1 eq 1025 log-input access-list 128 deny udp any host 77.105.70.1 eq 1025 log-input access-list 128 deny tcp any host 77.105.70.1 eq 1433 log-input access-list 128 deny udp any host 77.105.70.1 eq 1433 log-input access-list 128 deny tcp any host 77.105.70.1 eq 1434 log-input access-list 128 deny udp any host 77.105.70.1 eq 1434 log-input access-list 128 deny tcp any host 77.105.70.1 eq 2745 log-input access-list 128 deny udp any host 77.105.70.1 eq 2745 log-input access-list 128 deny tcp any host 77.105.70.1 eq 3127 log-input access-list 128 deny udp any host 77.105.70.1 eq 3127 log-input access-list 128 deny tcp any host 77.105.70.1 eq 3306 log-input access-list 128 deny udp any host 77.105.70.1 eq 3306 log-input access-list 128 deny tcp any host 77.105.70.1 eq 3389 log-input access-list 128 deny udp any host 77.105.70.1 eq 3389 log-input access-list 128 deny tcp any host 77.105.70.1 eq 4015 log-input access-list 128 deny udp any host 77.105.70.1 eq 4015 log-input access-list 128 deny tcp any host 77.105.70.1 eq 4444 log-input access-list 128 deny udp any host 77.105.70.1 eq 4444 log-input access-list 128 deny tcp any host 77.105.70.1 eq 5000 log-input access-list 128 deny udp any host 77.105.70.1 eq 5000 log-input access-list 128 deny tcp any host 77.105.70.1 eq 6129 log-input access-list 128 deny udp any host 77.105.70.1 eq 6129 log-input далее правила относящиеся к хостам в дмз из пула и в конце access-list 128 permit ip any any вот provout: ip access-list extended provout deny tcp any any eq 1433 log-input deny udp any any eq 1433 log-input deny tcp any any eq 1434 log-input deny udp any any eq 1434 log-input permit ip any any >Еще не понятно зачем вам вот это? >ip route 66.115.77.5 255.255.255.255 Serial1/0:0 >ip route 77.105.70.0 255.255.255.240 FastEthernet0/1 согласен, глупость. исправил на ip route 0.0.0.0 0.0.0.0 Serial1/0:0 >Они же у вас "connected", работать будет без статических маршрутов. не, как минимум ip route 0.0.0.0 0.0.0.0 Serial1/0:0 нужен, иначе ничего не будет выпускаться вообще в инет из дмз и локалки. >Что говорит ping и tracert 212.88.1.166 ? из циски - ..... 0/5 не зависимо от source. трейс умирает на нулевом хопе хопе. Type escape sequence to abort. Tracing the route to name.domain.ru (212.88.1.166) 1 * * * 2 * * * ну и так далее... из локалки и дмз - прекрасно пингуется и трейсится. >А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5" пробовал и так тоже - никакой разницы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Проблема поднятия gre туннеля между двумя 7206 цисками"
Сообщение от chocholl (??) on 09-Апр-09, 10:12
если с криптомапами все нормально... то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из сети DMZ. >[оверквотинг удален] > >Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется. > >Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета >(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а >инет - нет. При этом из локалки и дмз все отлично >пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой >туннель, и почему не могу пинговать внешние айпишники... > >Помогите кто чем может :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 10:24
	>если с криптомапами все нормально... >то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из >сети DMZ. Попробовал (криптополиси подняты только для Tun0, Tun1 пока пробую без криптографии поднять, потом как подымется буду уже закрывать): interface Tunnel1 ip address 10.11.0.2 255.255.255.252 tunnel source FastEthernet0/1 tunnel destination 212.88.1.166 результаты те же: c7206vxr#ping 10.11.0.2 Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms c7206vxr#ping 10.11.0.1 Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от chocholl (??) on 09-Апр-09, 10:35
	вы оставьте только один тунель, для простоты. а внешние адреса тунеля с ваших адресов доступны? >[оверквотинг удален] >результаты те же: >c7206vxr#ping 10.11.0.2 >Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds: >!!!!! >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms > >c7206vxr#ping 10.11.0.1 >Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds: >..... >Success rate is 0 percent (0/5)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 10:44
	>вы оставьте только один тунель, для простоты. ща попробую... >[оверквотинг удален] >>результаты те же: >>c7206vxr#ping 10.11.0.2 >>Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds: >>!!!!! >>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms >> >>c7206vxr#ping 10.11.0.1 >>Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds: >>..... >>Success rate is 0 percent (0/5) Если пингуюсь с хоста находящегося в локальной сети за интерфейсом Fa0/0 то доступен: Пинг с моего компа - 192.168.1.100 (для принимающей стороны адресом соурса будет 66.115.77.5) Обмен пакетами с 212.88.1.166 по 32 байт: Ответ от 212.88.1.166: число байт=32 время=11мс TTL=246 Ответ от 212.88.1.166: число байт=32 время=12мс TTL=246 Ответ от 212.88.1.166: число байт=32 время=9мс TTL=246 Ответ от 212.88.1.166: число байт=32 время=13мс TTL=246 Статистика Ping для 212.88.1.166: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 9мсек, Максимальное = 13 мсек, Среднее = 11 мсек Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там адрес соурса будет маршрутизируемый адрес из пула дмз, а у них PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас только мой 66.115.77.5 но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно как и мой 66.115.77.5 доступен для них.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от lumenous (ok) on 09-Апр-09, 11:10
	>[оверквотинг удален] > Минимальное = 9мсек, Максимальное = 13 мсек, Среднее >= 11 мсек > >Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там >адрес соурса будет маршрутизируемый адрес из пула дмз, а у них >PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас >только мой 66.115.77.5 > >но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно >как и мой 66.115.77.5 доступен для них. То что вы пингуете с компа еще ни о чем не говорит. Скорее всего он у вас через существующий тунель уходит и на той стороне уже доходит до 212.88.1.166. Давайте будем последовательны. Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему надо именно в этом. Видимо поэтому тунель у вас и не поднимается. Наберите sh ip route 212.88.1.166. Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у вас должен быть тунель%
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 12:41
	>>но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно >>как и мой 66.115.77.5 доступен для них. > >То что вы пингуете с компа еще ни о чем не говорит. >Скорее всего он у вас через существующий тунель уходит и на >той стороне уже доходит до 212.88.1.166. по умолчанию уходит через ip route 0.0.0.0 0.0.0.0 Serial1/0:0 >Давайте будем последовательны. >Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему >надо именно в этом. Видимо поэтому тунель у вас и не >поднимается. В принципе с циски нету пинга никуда кроме моей локалки, моей дмз и всех интерфейсов самой циски... Можно начать с этой проблемы. Честно говоря пока не понимаю почему не могу пропинговать любой рабочий IP в интернете. >Наберите sh ip route 212.88.1.166. c7206vxr#sh ip route 212.88.1.166 % Network not in table >Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у >вас должен быть тунель% я пробовал вот так ip route 212.88.1.166 255.255.255.255 Tunnel1 пробовал еще вот так ip route 212.88.1.166 255.255.255.255 66.115.77.5 пробовал и так ip route 212.88.1.166 255.255.255.255 Serial1/0:0 никаких изменений... пинга по прежнему нет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от lumenous (ok) on 09-Апр-09, 13:16
	>[оверквотинг удален] >>вас должен быть тунель% > >я пробовал вот так >ip route 212.88.1.166 255.255.255.255 Tunnel1 >пробовал еще вот так >ip route 212.88.1.166 255.255.255.255 66.115.77.5 >пробовал и так >ip route 212.88.1.166 255.255.255.255 Serial1/0:0 > >никаких изменений... пинга по прежнему нет. ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 13:42
	>[оверквотинг удален] >>я пробовал вот так >>ip route 212.88.1.166 255.255.255.255 Tunnel1 >>пробовал еще вот так >>ip route 212.88.1.166 255.255.255.255 66.115.77.5 >>пробовал и так >>ip route 212.88.1.166 255.255.255.255 Serial1/0:0 >> >>никаких изменений... пинга по прежнему нет. > >ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо а я так и попробовал, отписал выше, просто опечатался ибо не копипастил а писал от руки: >>ip route 212.88.1.166 255.255.255.255 66.115.77.5 считать ip route 212.88.1.166 255.255.255.255 66.115.77.6 в общем не помогло тоже. по прежнему не вижу пинга. думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете из самой циски... может где какой маршрут забыл? ведь хосты из сетей за циской нормально инет видят...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от lumenous (ok) on 09-Апр-09, 13:48
	>[оверквотинг удален] >а писал от руки: >>>ip route 212.88.1.166 255.255.255.255 66.115.77.5 > >считать ip route 212.88.1.166 255.255.255.255 66.115.77.6 > >в общем не помогло тоже. по прежнему не вижу пинга. > >думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете >из самой циски... может где какой маршрут забыл? ведь хосты из >сетей за циской нормально инет видят... Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть надо на 66.115.77.6? наверняка да, отлично. Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на ип 212.8.1.166
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 14:07
	>>а писал от руки: >>>>ip route 212.88.1.166 255.255.255.255 66.115.77.5 >>считать ip route 212.88.1.166 255.255.255.255 66.115.77.6 >>в общем не помогло тоже. по прежнему не вижу пинга. >>думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете >>из самой циски... может где какой маршрут забыл? ведь хосты из >>сетей за циской нормально инет видят... >Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть >надо на 66.115.77.6? наверняка да, отлично. видит c7206vxr#sh ip route 212.8.1.166 Routing entry for 212.8.1.166/32 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 66.115.77.6 Route metric is 0, traffic share count is 1 >Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на >хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на ип 212.8.1.166 > пингуется только мой Serial1/0:0 c7206vxr#ping 66.115.77.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms а вот циска провайдера уже не пингуется (тогда как из локалки или дмз я это пингую отлично) c7206vxr#ping 66.115.77.6 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Такое чувство что я где то и правда накривил с маршрутизацией... но вот где. у меня всего то маршрутов ща вот: ip route 0.0.0.0 0.0.0.0 Serial1/0:0 ip route 77.105.70.0 255.255.255.240 FastEthernet0/1 ip route 172.16.0.0 255.255.0.0 Tunnel0 ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 ip route 212.8.1.166 255.255.255.255 66.115.77.6
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34
	>Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть >надо на 66.115.77.6? наверняка да, отлично. > >Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на >хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на ип 212.8.1.166 > в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда. ребутнул железно циску - все заработало. достаточно просто поднять тунель: interface Tunnel1 bandwidth 2000 ip address 10.11.0.2 255.255.255.252 ip mtu 1500 tunnel source Serial1/0:0 tunnel destination 212.8.1.166 и даже в acl не пришлось ничего править. спасибо за советы и поддержку %)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 10:46
	>вы оставьте только один тунель, для простоты. убрал tun0 не помогло...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от chocholl (??) on 09-Апр-09, 13:27
	теперь добейтесь нормальной связности между адресами тунелей. либо это аксес листы, либо маршрутизация покривилась. >>вы оставьте только один тунель, для простоты. > >убрал tun0 >не помогло...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 13:49
	>теперь добейтесь нормальной связности между адресами тунелей. >либо это аксес листы, либо маршрутизация покривилась. Это и пытаюсь сделать с самого утра. в аксесслистах уже подобавлял allow по всему что можно, gre , ip... маршрутизацию лишнюю поубирал осталось вот что: ip route 0.0.0.0 0.0.0.0 Serial1/0:0 ip route 77.105.70.0 255.255.255.240 FastEthernet0/1 ip route 172.16.0.0 255.255.0.0 Tunnel0 ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 и добавил по совету здешних гуру еще маршрут: ip route 212.88.1.166 255.255.255.255 Serial1/0:0 а так же пробовал ip route 212.88.1.166 255.255.255.255 Tunnel0 не помогает. тут еще нюанс что изнутри моей циски не пингуется вообще ничего в инете... ни один хост. даже циска провайдера с той стороны канала в инет, тогда как в локалке и в дмз пинги идут наружу нормально. скорее всего проблема где то здесь... только где. >>>вы оставьте только один тунель, для простоты. >> >>убрал tun0 >>не помогло...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Проблема поднятия gre туннеля между двумя 7206 цисками"
	Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34
	>теперь добейтесь нормальной связности между адресами тунелей. >либо это аксес листы, либо маршрутизация покривилась. > > >>>вы оставьте только один тунель, для простоты. >> >>убрал tun0 >>не помогло... в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда. ребутнул железно циску - все заработало. достаточно просто поднять тунель: interface Tunnel1 bandwidth 2000 ip address 10.11.0.2 255.255.255.252 ip mtu 1500 tunnel source Serial1/0:0 tunnel destination 212.8.1.166 и даже в acl не пришлось ничего править. спасибо за советы и поддержку %)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]