форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"cisco site-to-site vpn нет пинга к локалкам"	+/–
Сообщение от 2pizza (ok) on 13-Май-11, 15:07
есть 2 циски 1841, между ними поднят тунель, с каждой из цисок пингуется peer (FE0/1 другой циски), но нет пинга от цисок к противолежащим FE0/0, отвечающим за локалки. Соответственно внешний интерфейс получает эхо-запрос через туннель, но не хочет передавать его на внутренний( NAT и файрвол пока отключены. Конфиг цисок симметричен. *version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname store ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable secret 5 $1$Wmtp$5YQtZKn7UVvpj1dAieqlE/ enable password ч ! no aaa new-model ip cef ! ! ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 store#show config Using 1720 out of 196600 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname store ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable secret 5 $1$Wmtp$5YQtZKn7UVvpj1dAieqlE/ enable password ! no aaa new-model ip cef ! ! ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! crypto pki trustpoint TP-self-signed-989641389 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-989641389 revocation-check none rsakeypair TP-self-signed-989641389 ! ! crypto pki certificate chain TP-self-signed-989641389 certificate self-signed 01 nvram:IOS-Self-Sig#3939.cer username am privilege 15 password 0 ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share crypto isakmp key supersecretkey address (2nd cisco FE0/1) no-xauth ! ! crypto ipsec transform-set SDM_TRANSFORMSET_1 esp-3des esp-md5-hmac ! crypto map store 1 ipsec-isakmp set peer (2nd cisco FE0/1) set transform-set SDM_TRANSFORMSET_1 match address 100 ! ! ! interface FastEthernet0/0 ip address 192.168.2.4 255.255.0.0 speed auto full-duplex no mop enabled ! interface FastEthernet0/1 description $ETH-LAN$ ip address (static ip address) duplex auto speed auto crypto map store ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 (default gateway) ! ! ip http server ip http authentication local ip http secure-server ! access-list 100 remark SDM_ACL Category=4 access-list 100 permit ip (тут адреса подсетей) ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password login local transport input telnet ssh ! scheduler allocate 20000 1000 end store#
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "cisco site-to-site vpn нет пинга к локалкам"	+/–
Сообщение от Алексей (??) on 13-Май-11, 16:34
>[оверквотинг удален] > line con 0 > line aux 0 > line vty 0 4 >  password >  login local >  transport input telnet ssh > ! > scheduler allocate 20000 1000 > end > store# Да вроде ошибок нет так на первый взгляд... Попробуйте все таки NAT-ить, ip access-list extended acl_nat deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 - исключаем адреса в ТОЙ локалке permit ip 192.168.20.0 0.0.0.255 any - НАТим все остальное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от Алексей (??) on 13-Май-11, 16:36
	> Да вроде ошибок нет так на первый взгляд... > Попробуйте все таки NAT-ить, > ip access-list extended acl_nat >  deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 - исключаем адреса > в ТОЙ локалке >  permit ip 192.168.20.0 0.0.0.255 any - НАТим все остальное. А access-list 100 оставить как есть
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от 2pizza (ok) on 16-Май-11, 13:22
	>>[оверквотинг удален] > Да вроде ошибок нет так на первый взгляд... > Попробуйте все таки NAT-ить, > ip access-list extended acl_nat >  deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 - исключаем адреса > в ТОЙ локалке >  permit ip 192.168.20.0 0.0.0.255 any - НАТим все остальное. Пытался исключать адреса локальных сетей, sdm мне пишет что это неправильно и что надо исключать трафик который гуляет через мой тунель, (acess-list 100). Ну я так и сделал. Добавил НАТ через sdm deny ip (своя подсеть из acess-list 100) (чужая подсеть оттуда же) permit ip 192.168.x.x (- своя локальная сеть) any не помогло
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от Алексей (??) on 16-Май-11, 13:57
	>[оверквотинг удален] >>  deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 - исключаем адреса >> в ТОЙ локалке >>  permit ip 192.168.20.0 0.0.0.255 any - НАТим все остальное. >  Пытался исключать адреса локальных сетей, sdm мне пишет что это неправильно > и что надо исключать трафик который гуляет через мой тунель, (acess-list > 100). Ну я так и сделал. > Добавил НАТ через sdm > deny ip (своя подсеть из acess-list 100) (чужая подсеть оттуда же) > permit ip 192.168.x.x (- своя локальная сеть) any > не помогло Вы бы лучше руками все делали..Так проше и ошибок меньше... Сейчас пороюсь и выложу рабочий конфиг...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от Алексей (??) on 16-Май-11, 14:07
	> Вы бы лучше руками все делали..Так проше и ошибок меньше... > Сейчас пороюсь и выложу рабочий конфиг... ----------------------------------- crypto isakmp policy 10 encr aes 256 authentication rsa-encr group 2 lifetime 3600 crypto isakmp keepalive 60 3 ------------------------------------ ! ! crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac ----------------------------------------- crypto map TUNNELTOREMOTE 10 ipsec-isakmp set peer xxx.xxx.xxx.xxx set transform-set IPSEC match address acl_vpn_ccc ------------------------------------- interface FastEthernet4 description WAN INTERFACE ip address yyy.yyy.yyy.yyy 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map TUNNELTOREMOTE ---------------------------- interface Vlan1 description LAN INTERFACE ip address 192.168.20.1 255.255.255.0 ip access-group F1 in ip nat inside ip virtual-reassembly ip nat inside source list acl_nat interface FastEthernet4 overload ip access-list extended acl_nat deny   ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 any ip access-list extended acl_vpn_ccc permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.0.255 Только у меня аунтефикация не по паролю, а по сертификатам...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от 2pizza (ok) on 16-Май-11, 14:15
	Спасибо, попробую через консоль сейчас. Просто я юзаю sdm так я неопытный стажёр а оно иногда даёт мне советы.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "cisco site-to-site vpn нет пинга к локалкам"	+/–
	Сообщение от 2pizza (ok) on 16-Май-11, 15:31
	Пинг появился, проблема заключалась в том что в криптомапе при задании траффика я указывал 3-байтовые маски, а у внутренних интерфейсов и компов оставил 2-байтовые. Поменял все маски 255.255.0.0 на 255.255.255.0 и пинг прошёл^^
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема