forum.opennet.ru - "Грабли с IPSEC" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Грабли с IPSEC"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Грабли с IPSEC"	+/–
Сообщение от Babaich (ok) on 15-Июл-11, 11:37
Добрый день, Есть GRE-туннель. Хочу шифровать в нем часть траффика. Привязал к туннелю криптомапу с access-list. Все хорошо, но почему то в статистике вижу, траффик от хоста 192,168,253,14 шифруется только в одну сторону. По другим хостам все нормально. Вот конфиг: (C2811) IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 15.1(3)T R_2811: crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key *** address 192.168.14.1 crypto ipsec transform-set 2CA esp-3des esp-sha-hmac crypto map CA local-address Serial0/0/0.1 crypto map CA 10 ipsec-isakmp set peer 192.168.14.1 set transform-set 2CA match address 123 interface Tunnel123 description VPN_FR_2MINSK bandwidth 2000 ip address 192.168.252.26 255.255.255.252 ip flow ingress ip tcp adjust-mss 1400 load-interval 30 keepalive 10 3 tunnel source 192.168.14.9 tunnel destination 192.168.14.1 tunnel path-mtu-discovery crypto map CA interface FastEthernet0/0 description -- Internal Link -- ip address 192.168.23.1 255.255.255.0 ip access-group 101 in no ip redirects no ip proxy-arp ip accounting output-packets ip flow ingress ip policy route-map clear-df load-interval 30 duplex auto speed auto no cdp enable bridge-group 1 ! interface FastEthernet0/1 ip address 192.168.121.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address no ip redirects no ip proxy-arp ip mtu 1400 ip flow ingress encapsulation frame-relay load-interval 30 no fair-queue frame-relay traffic-shaping no frame-relay inverse-arp frame-relay lmi-type cisco ! interface Serial0/0/0.1 multipoint ip address 192.168.14.9 255.255.255.0 ip flow ingress no ip route-cache same-interface frame-relay map ip 192.168.14.1 706 IETF frame-relay interface-dlci 706 class pvc1024k ip route 192.168.253.12 255.255.255.252 192.168.121.2 tag 151 access-list 123 permit tcp 192.168.23.0 0.0.0.255 host 192.168.1.121 eq 1521 access-list 123 permit tcp host 192.168.23.220 host 10.1.6.164 access-list 123 permit tcp host 192.168.23.220 10.4.226.0 0.0.0.255 access-list 123 permit tcp host 192.168.253.14 host 10.1.6.164 access-list 123 permit tcp host 192.168.253.14 10.4.226.0 0.0.0.255 Хосты за Fa0/0 нормально, а за Fa0/1 - проблема R_2811#sh cry isa sa IPv4 Crypto ISAKMP SA dst src state conn-id status 192.168.14.9 192.168.14.1 QM_IDLE 1036 ACTIVE R_2811#sh access-lists 123 Extended IP access list 123 10 permit tcp 192.168.23.0 0.0.0.255 host 192.168.1.121 eq 1521 (4279 matches) 20 permit tcp host 192.168.23.220 host 10.1.6.164 (549 matches) 30 permit tcp host 192.168.23.220 10.4.226.0 0.0.0.255 (659 matches) 40 permit tcp host 192.168.253.14 host 10.1.6.164 (126 matches) 50 permit tcp host 192.168.253.14 10.4.226.0 0.0.0.255 (321 matches) R_2811#sh cry ips sa interface: Tunnel123 Crypto map tag: CA, local addr 192.168.14.9 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.23.220/255.255.255.255/6/0) remote ident (addr/mask/prot/port): (10.1.6.164/255.255.255.255/6/0) current_peer 192.168.14.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 315, #pkts encrypt: 315, #pkts digest: 315 #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1 path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123 current outbound spi: 0x1EDFB20A(517976586) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xA482B239(2760028729) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2497, flow_id: NETGX:497, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4544086/480) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x1EDFB20A(517976586) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2498, flow_id: NETGX:498, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4544036/480) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.253.14/255.255.255.255/6/0) remote ident (addr/mask/prot/port): (10.1.6.164/255.255.255.255/6/0) current_peer 192.168.14.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 127, #pkts decrypt: 127, #pkts verify: 127 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1 path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123 current outbound spi: 0x3DEFD32B(1039127339) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x2D5AE2A1(760930977) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2491, flow_id: NETGX:491, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4411497/477) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x3DEFD32B(1039127339) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2492, flow_id: NETGX:492, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4411512/477) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.23.220/255.255.255.255/6/0) remote ident (addr/mask/prot/port): (10.4.226.0/255.255.255.0/6/0) current_peer 192.168.14.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 336, #pkts encrypt: 336, #pkts digest: 336 #pkts decaps: 337, #pkts decrypt: 337, #pkts verify: 337 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1 path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123 current outbound spi: 0xB8882467(3095929959) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xB2A5C1E6(2997207526) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2495, flow_id: NETGX:495, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4501612/479) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xB8882467(3095929959) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2496, flow_id: NETGX:496, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4501620/479) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.23.0/255.255.255.0/6/0) remote ident (addr/mask/prot/port): (192.168.1.121/255.255.255.255/6/1521) current_peer 192.168.14.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 2044, #pkts encrypt: 2044, #pkts digest: 2044 #pkts decaps: 2268, #pkts decrypt: 2268, #pkts verify: 2268 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1 path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123 current outbound spi: 0xA0A9E442(2695488578) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x33D287ED(869435373) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2499, flow_id: NETGX:499, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4548605/481) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xA0A9E442(2695488578) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2500, flow_id: NETGX:500, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4549167/481) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.168.253.14/255.255.255.255/6/0) remote ident (addr/mask/prot/port): (10.4.226.0/255.255.255.0/6/0) current_peer 192.168.14.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: 326 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.14.9, remote crypto endpt.: 192.168.14.1 path mtu 1476, ip mtu 1476, ip mtu idb Tunnel123 current outbound spi: 0x554B18F5(1430984949) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xAFB14634(2947630644) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2493, flow_id: NETGX:493, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4505177/477) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x554B18F5(1430984949) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 2494, flow_id: NETGX:494, sibling_flags 80000046, crypto map: CA sa timing: remaining key lifetime (k/sec): (4505216/477) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:
Ответить \| Правка \| Cообщить модератору

Оглавление

Грабли с IPSEC, Babaich, 10:03 , 20-Июл-11, (1)

Грабли с IPSEC, Николай_kv, 10:41 , 20-Июл-11, (2)

Грабли с IPSEC, Babaich, 11:19 , 20-Июл-11, (3)
Грабли с IPSEC, Babaich, 11:23 , 20-Июл-11, (4)

Грабли с IPSEC, Николай_kv, 11:33 , 20-Июл-11, (5)

Грабли с IPSEC, Babaich, 11:47 , 20-Июл-11, (6)

Грабли с IPSEC, Б, 11:52 , 20-Июл-11, (7)

Грабли с IPSEC, Babaich, 13:14 , 20-Июл-11, (8)

Грабли с IPSEC, Aleks305, 17:24 , 20-Июл-11, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Грабли с IPSEC" +/–

Сообщение от Babaich (ok) on 20-Июл-11, 10:03

>[оверквотинг удален]
>    current_peer 192.168.14.1 port 500
>      PERMIT, flags={origin_is_acl,}
>     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest:
> 0
>     #pkts decaps: 326, #pkts decrypt: 326, #pkts verify:
> 326
>     #pkts compressed: 0, #pkts decompressed: 0
>     #pkts not compressed: 0, #pkts compr. failed: 0
>     #pkts not decompressed: 0, #pkts decompress failed: 0
>     #send errors 0, #recv errors 0
Неужели никаких мыслей?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Грабли с IPSEC" +/–

Сообщение от Николай_kv on 20-Июл-11, 10:41

>[оверквотинг удален]
>>      PERMIT, flags={origin_is_acl,}
>>     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest:
>> 0
>>     #pkts decaps: 326, #pkts decrypt: 326, #pkts verify:
>> 326
>>     #pkts compressed: 0, #pkts decompressed: 0
>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>     #send errors 0, #recv errors 0
> Неужели никаких мыслей?
Я из всего этого мусора увидел только один из пиров образующих критпотунель.
Откуда мысли что криптуеться только в одну сторону?
Есть замечательная команда sh crypto session detail запустите на обоих сторонах и все наглядно удидите.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Грабли с IPSEC" +/–

Сообщение от Babaich (ok) on 20-Июл-11, 11:19

>[оверквотинг удален]
>>> 326
>>>     #pkts compressed: 0, #pkts decompressed: 0
>>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>>     #send errors 0, #recv errors 0
>> Неужели никаких мыслей?
> Я из всего этого мусора увидел только один из пиров образующих критпотунель.
> Откуда мысли что криптуеться только в одну сторону?
> Есть замечательная команда sh crypto session detail запустите на обоих сторонах и
> все наглядно удидите.
Я делаю такой вывод потому, что в access-list для интересного траффика я вижу, что пакеты для шифрования от хоста 192.168.253.14 идут, а счетчик инкапсулированных пакетов остается равным нулю. Счетчик декапсулированных пакетов растет. Т.е. траффик только расшифровывается(причем только для одной строчки из access-list, для остальных хостов все нормально). На второй стороне зеркальная ситуация. Траффик по этому хосту только шифруется, в обратную сторону идет нешифрованный.
sh crypto session detail показывает тоже самое, что и sh crypto ipsec sa

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Грабли с IPSEC" +/–

Сообщение от Babaich (ok) on 20-Июл-11, 11:23

>[оверквотинг удален]
>>> 326
>>>     #pkts compressed: 0, #pkts decompressed: 0
>>>     #pkts not compressed: 0, #pkts compr. failed: 0
>>>     #pkts not decompressed: 0, #pkts decompress failed: 0
>>>     #send errors 0, #recv errors 0
>> Неужели никаких мыслей?
> Я из всего этого мусора увидел только один из пиров образующих критпотунель.
> Откуда мысли что криптуеться только в одну сторону?
> Есть замечательная команда sh crypto session detail запустите на обоих сторонах и
> все наглядно удидите.
Interface: Tunnel123
Uptime: 4d18h
Session status: UP-ACTIVE
Peer: 192.168.14.9 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.14.9
      Desc: (none)
  IKE SA: local 192.168.14.1/500 remote 192.168.14.9/500 Active
          Capabilities:(none) connid:1935 lifetime:00:55:42
  IPSEC FLOW: permit 6 host 10.1.6.164 host 192.168.253.14
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4507835/2641
        Outbound: #pkts enc'ed 15073 drop 1 life (KB/Sec) 4507831/2641

Interface: Tunnel123
Uptime: 4d18h
Session status: UP-ACTIVE
Peer: 192.168.14.1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.14.1
      Desc: (none)
  IKEv1 SA: local 192.168.14.9/500 remote 192.168.14.1/500 Active
          Capabilities:(none) connid:1135 lifetime:00:55:51
  IPSEC FLOW: permit 6 host 192.168.253.14 host 10.1.6.164
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 17801 drop 0 life (KB/Sec) 4515337/2650
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4515341/2650

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Грабли с IPSEC" +/–

Сообщение от Николай_kv on 20-Июл-11, 11:33

а как дела обстоят с маршрутизацией? Судя по всему не доходит с одной стороны трафик до тунеля

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Грабли с IPSEC" +/–

Сообщение от Babaich (ok) on 20-Июл-11, 11:47

> а как дела обстоят с маршрутизацией? Судя по всему не доходит с
> одной стороны трафик до тунеля
Маршрут правильный.
R_2811# sh ip route 10.1.6.164
Routing entry for 10.0.0.0/8
  Known via "eigrp 110", distance 170, metric 2562816
  Tag 65001, type external
  Redistributing via eigrp 110
  Last update from 192.168.252.25 on Tunnel123, 1d17h ago
  Routing Descriptor Blocks:
  * 192.168.252.25, from 192.168.252.25, 1d17h ago, via Tunnel123
      Route metric is 2562816, traffic share count is 1
      Total delay is 50110 microseconds, minimum bandwidth is 2000 Kbit
      Reliability 255/255, minimum MTU 1476 bytes
      Loading 1/255, Hops 3
      Route tag 65001
Траффик между хостами ходит нормально, просто судя по счетчикам не шифруется. Все отличие от правильно работающих хостов это то, что хост 192,168,253,14 находится за интерфейсом Fa0/1(за ADSL-модемом), а все остальные хосты 192,168,23,0/24 за Fa0/0(внутренняя сеть). Туннель прикручен к Serial0/0/0

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Грабли с IPSEC" +/–

Сообщение от Б on 20-Июл-11, 11:52

А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке гораздо удобнее же.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Грабли с IPSEC" +/–

Сообщение от Babaich (ok) on 20-Июл-11, 13:14

> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке
> гораздо удобнее же.
Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать траффик выборочно? Если можно, то хотелось бы увидеть пример.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Грабли с IPSEC" +/–

Сообщение от Aleks305 (ok) on 20-Июл-11, 17:24

>> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке
>> гораздо удобнее же.
> Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать
> траффик выборочно? Если можно, то хотелось бы увидеть пример.
сам не пробовал, но может split tunnel поможет

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Грабли с IPSEC"	+/–
Сообщение от Babaich (ok) on 20-Июл-11, 10:03
>[оверквотинг удален] > current_peer 192.168.14.1 port 500 > PERMIT, flags={origin_is_acl,} > #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: > 0 > #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: > 326 > #pkts compressed: 0, #pkts decompressed: 0 > #pkts not compressed: 0, #pkts compr. failed: 0 > #pkts not decompressed: 0, #pkts decompress failed: 0 > #send errors 0, #recv errors 0 Неужели никаких мыслей?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Грабли с IPSEC"	+/–
	Сообщение от Николай_kv on 20-Июл-11, 10:41
	>[оверквотинг удален] >> PERMIT, flags={origin_is_acl,} >> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: >> 0 >> #pkts decaps: 326, #pkts decrypt: 326, #pkts verify: >> 326 >> #pkts compressed: 0, #pkts decompressed: 0 >> #pkts not compressed: 0, #pkts compr. failed: 0 >> #pkts not decompressed: 0, #pkts decompress failed: 0 >> #send errors 0, #recv errors 0 > Неужели никаких мыслей? Я из всего этого мусора увидел только один из пиров образующих критпотунель. Откуда мысли что криптуеться только в одну сторону? Есть замечательная команда sh crypto session detail запустите на обоих сторонах и все наглядно удидите.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Грабли с IPSEC"	+/–
	Сообщение от Babaich (ok) on 20-Июл-11, 11:19
	>[оверквотинг удален] >>> 326 >>> #pkts compressed: 0, #pkts decompressed: 0 >>> #pkts not compressed: 0, #pkts compr. failed: 0 >>> #pkts not decompressed: 0, #pkts decompress failed: 0 >>> #send errors 0, #recv errors 0 >> Неужели никаких мыслей? > Я из всего этого мусора увидел только один из пиров образующих критпотунель. > Откуда мысли что криптуеться только в одну сторону? > Есть замечательная команда sh crypto session detail запустите на обоих сторонах и > все наглядно удидите. Я делаю такой вывод потому, что в access-list для интересного траффика я вижу, что пакеты для шифрования от хоста 192.168.253.14 идут, а счетчик инкапсулированных пакетов остается равным нулю. Счетчик декапсулированных пакетов растет. Т.е. траффик только расшифровывается(причем только для одной строчки из access-list, для остальных хостов все нормально). На второй стороне зеркальная ситуация. Траффик по этому хосту только шифруется, в обратную сторону идет нешифрованный. sh crypto session detail показывает тоже самое, что и sh crypto ipsec sa
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Грабли с IPSEC"	+/–
	Сообщение от Babaich (ok) on 20-Июл-11, 11:23
	>[оверквотинг удален] >>> 326 >>> #pkts compressed: 0, #pkts decompressed: 0 >>> #pkts not compressed: 0, #pkts compr. failed: 0 >>> #pkts not decompressed: 0, #pkts decompress failed: 0 >>> #send errors 0, #recv errors 0 >> Неужели никаких мыслей? > Я из всего этого мусора увидел только один из пиров образующих критпотунель. > Откуда мысли что криптуеться только в одну сторону? > Есть замечательная команда sh crypto session detail запустите на обоих сторонах и > все наглядно удидите. Interface: Tunnel123 Uptime: 4d18h Session status: UP-ACTIVE Peer: 192.168.14.9 port 500 fvrf: (none) ivrf: (none) Phase1_id: 192.168.14.9 Desc: (none) IKE SA: local 192.168.14.1/500 remote 192.168.14.9/500 Active Capabilities:(none) connid:1935 lifetime:00:55:42 IPSEC FLOW: permit 6 host 10.1.6.164 host 192.168.253.14 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4507835/2641 Outbound: #pkts enc'ed 15073 drop 1 life (KB/Sec) 4507831/2641 Interface: Tunnel123 Uptime: 4d18h Session status: UP-ACTIVE Peer: 192.168.14.1 port 500 fvrf: (none) ivrf: (none) Phase1_id: 192.168.14.1 Desc: (none) IKEv1 SA: local 192.168.14.9/500 remote 192.168.14.1/500 Active Capabilities:(none) connid:1135 lifetime:00:55:51 IPSEC FLOW: permit 6 host 192.168.253.14 host 10.1.6.164 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 17801 drop 0 life (KB/Sec) 4515337/2650 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4515341/2650
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Грабли с IPSEC"	+/–
	Сообщение от Николай_kv on 20-Июл-11, 11:33
	а как дела обстоят с маршрутизацией? Судя по всему не доходит с одной стороны трафик до тунеля
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Грабли с IPSEC"	+/–
	Сообщение от Babaich (ok) on 20-Июл-11, 11:47
	> а как дела обстоят с маршрутизацией? Судя по всему не доходит с > одной стороны трафик до тунеля Маршрут правильный. R_2811# sh ip route 10.1.6.164 Routing entry for 10.0.0.0/8 Known via "eigrp 110", distance 170, metric 2562816 Tag 65001, type external Redistributing via eigrp 110 Last update from 192.168.252.25 on Tunnel123, 1d17h ago Routing Descriptor Blocks: * 192.168.252.25, from 192.168.252.25, 1d17h ago, via Tunnel123 Route metric is 2562816, traffic share count is 1 Total delay is 50110 microseconds, minimum bandwidth is 2000 Kbit Reliability 255/255, minimum MTU 1476 bytes Loading 1/255, Hops 3 Route tag 65001 Траффик между хостами ходит нормально, просто судя по счетчикам не шифруется. Все отличие от правильно работающих хостов это то, что хост 192,168,253,14 находится за интерфейсом Fa0/1(за ADSL-модемом), а все остальные хосты 192,168,23,0/24 за Fa0/0(внутренняя сеть). Туннель прикручен к Serial0/0/0
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Грабли с IPSEC"	+/–
Сообщение от Б on 20-Июл-11, 11:52
А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке гораздо удобнее же.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Грабли с IPSEC"	+/–
	Сообщение от Babaich (ok) on 20-Июл-11, 13:14
	> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке > гораздо удобнее же. Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать траффик выборочно? Если можно, то хотелось бы увидеть пример.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Грабли с IPSEC"	+/–
	Сообщение от Aleks305 (ok) on 20-Июл-11, 17:24
	>> А зачем вообще пользовать криптомап? Не проще сделать IPSEC Profile? В настройке >> гораздо удобнее же. > Мне не нужно шифровать весь туннель. Можно ли с его помощью шифровать > траффик выборочно? Если можно, то хотелось бы увидеть пример. сам не пробовал, но может split tunnel поможет
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору