forum.opennet.ru - "ACL не пускает расшифрованный трафик" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ACL не пускает расшифрованный трафик"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ACL не пускает расшифрованный трафик"
Сообщение от papa_doc (ok) on 08-Сен-05, 17:57 (MSK)
две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1)) поднят IPSec, туннельный режим на входящем интерфейсе у 2621 прописан access-list: access-list 100 permit esp any any access-list 100 permit udp any any eq 500 все работает ok стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей он не пускает, так как помимо esp они тоже там засвечиваются естественно трафик идет с 2621 ТОЛЬКО шифрованный ну а без листов все идет на ура в чем может быть причина?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ACL не пускает расшифрованный трафик, ruff, 18:16 , 08-Сен-05, (1)
- ACL не пускает расшифрованный трафик, papa_doc, 18:29 , 08-Сен-05, (2)
  - ACL не пускает расшифрованный трафик, ruff, 10:42 , 09-Сен-05, (3)
    - ACL не пускает расшифрованный трафик, fantom, 12:03 , 09-Сен-05, (4)
      - ACL не пускает расшифрованный трафик, spa, 12:17 , 09-Сен-05, (5)
        
        ACL не пускает расшифрованный трафик, fantom, 12:27 , 09-Сен-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ACL не пускает расшифрованный трафик"

Сообщение от ruff (ok) on 08-Сен-05, 18:16  (MSK)

>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1))
>
>поднят IPSec, туннельный режим
>на входящем интерфейсе у 2621 прописан access-list:
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>
>все работает ok
>стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей
>он не пускает, так как помимо esp они тоже там засвечиваются
>
>естественно трафик идет с 2621 ТОЛЬКО шифрованный
>ну а без листов все идет на ура
>
>в чем может быть причина?

А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце каждого листа есть неявный deny ip any any

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ACL не пускает расшифрованный трафик"

Сообщение от papa_doc (ok) on 08-Сен-05, 18:29  (MSK)

>>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1))
>>
>>поднят IPSec, туннельный режим
>>на входящем интерфейсе у 2621 прописан access-list:
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>
>>все работает ok
>>стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей
>>он не пускает, так как помимо esp они тоже там засвечиваются
>>
>>естественно трафик идет с 2621 ТОЛЬКО шифрованный
>>ну а без листов все идет на ура
>>
>>в чем может быть причина?
>
>
>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>каждого листа есть неявный deny ip any any

этот deny и на 2621 есть, но на инкапсулированный трафик он не реагирует - пропустил esp и все
а на 2611 он и esp пакеты учитывает и уже развернутые
еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО инкапсулированный, конфигурации простые как мычание

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ACL не пускает расшифрованный трафик"

Сообщение от ruff (ok) on 09-Сен-05, 10:42  (MSK)

>>
>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>каждого листа есть неявный deny ip any any
>
>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>реагирует - пропустил esp и все
>а на 2611 он и esp пакеты учитывает и уже развернутые
>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>инкапсулированный, конфигурации простые как мычание

чета я не понял, вы 21й 11ю заменяете с тем же конфигом? или у вас трафик проходит последовательно через 11ю а потом через 21ю? где терминируется тунель?
вообще, чтоб пропустить локальный трафик наружу нада че нить типа
access-list 100 permit esp any any
access-list 100 permit udp any any eq 500
access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
тогда и ипсековый трафик и локальный ходят, а один лиш
access-list 100 permit esp any any
access-list 100 permit udp any any eq 500
блокирует все, кроме ипсека

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ACL не пускает расшифрованный трафик"

Сообщение от fantom (??) on 09-Сен-05, 12:03  (MSK)

>
>>>
>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>каждого листа есть неявный deny ip any any
>>
>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>реагирует - пропустил esp и все
>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>инкапсулированный, конфигурации простые как мычание
>
>
>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>или у вас трафик проходит последовательно через 11ю а потом через
>21ю? где терминируется тунель?
>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>тогда и ипсековый трафик и локальный ходят, а один лиш
>access-list 100 permit esp any any
>access-list 100 permit udp any any eq 500
>блокирует все, кроме ипсека
Где-то читал, что до какой-то версии ИОСа есть баг - траффик из тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера, или что там у вас).
И если в ACL на этом интерфейсе этот трафик запретить - работать небудет, хотя тунель поднимется.
Вроде как даже на сайте cisco об этом что-то есть.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ACL не пускает расшифрованный трафик"

Сообщение от spa (ok) on 09-Сен-05, 12:17  (MSK)

>>
>>>>
>>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>>каждого листа есть неявный deny ip any any
>>>
>>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>>реагирует - пропустил esp и все
>>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>>инкапсулированный, конфигурации простые как мычание
>>
>>
>>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>>или у вас трафик проходит последовательно через 11ю а потом через
>>21ю? где терминируется тунель?
>>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>>тогда и ипсековый трафик и локальный ходят, а один лиш
>>access-list 100 permit esp any any
>>access-list 100 permit udp any any eq 500
>>блокирует все, кроме ипсека
>
>Где-то читал, что до какой-то версии ИОСа есть баг - траффик из
>тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера,
>или что там у вас).
>И если в ACL на этом интерфейсе этот трафик запретить - работать
>небудет, хотя тунель поднимется.
>Вроде как даже на сайте cisco об этом что-то есть.
а как от этого бага отбиться???

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ACL не пускает расшифрованный трафик"

Сообщение от fantom (??) on 09-Сен-05, 12:27  (MSK)

>>>
>>>>>
>>>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце
>>>>>каждого листа есть неявный deny ip any any
>>>>
>>>>этот deny и на 2621 есть, но на инкапсулированный трафик он не
>>>>реагирует - пропустил esp и все
>>>>а на 2611 он и esp пакеты учитывает и уже развернутые
>>>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО
>>>>инкапсулированный, конфигурации простые как мычание
>>>
>>>
>>>чета я не понял, вы 21й 11ю заменяете с тем же конфигом?
>>>или у вас трафик проходит последовательно через 11ю а потом через
>>>21ю? где терминируется тунель?
>>>вообще, чтоб пропустить локальный трафик наружу нада че нить типа
>>>access-list 100 permit esp any any
>>>access-list 100 permit udp any any eq 500
>>>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any
>>>тогда и ипсековый трафик и локальный ходят, а один лиш
>>>access-list 100 permit esp any any
>>>access-list 100 permit udp any any eq 500
>>>блокирует все, кроме ипсека
>>
>>Где-то читал, что до какой-то версии ИОСа есть баг - траффик из
>>тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера,
>>или что там у вас).
>>И если в ACL на этом интерфейсе этот трафик запретить - работать
>>небудет, хотя тунель поднимется.
>>Вроде как даже на сайте cisco об этом что-то есть.
>а как от этого бага отбиться???
1. Найти ИОС с сиправленым багом.
2. Прописать в нужном ACL нужные адреса.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ACL не пускает расшифрованный трафик"
Сообщение от ruff (ok) on 08-Сен-05, 18:16 (MSK)
>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1)) > >поднят IPSec, туннельный режим >на входящем интерфейсе у 2621 прописан access-list: >access-list 100 permit esp any any >access-list 100 permit udp any any eq 500 > >все работает ok >стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей >он не пускает, так как помимо esp они тоже там засвечиваются > >естественно трафик идет с 2621 ТОЛЬКО шифрованный >ну а без листов все идет на ура > >в чем может быть причина? А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце каждого листа есть неявный deny ip any any
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ACL не пускает расшифрованный трафик"
	Сообщение от papa_doc (ok) on 08-Сен-05, 18:29 (MSK)
	>>две циски 2621 и 2611 ((C2600-IK9O3S3-M), Version 12.2(15)T15, RELEASE SOFTWARE (fc1)) >> >>поднят IPSec, туннельный режим >>на входящем интерфейсе у 2621 прописан access-list: >>access-list 100 permit esp any any >>access-list 100 permit udp any any eq 500 >> >>все работает ok >>стоит прописать такой же access-list на 2611 и пакеты из внутренних сетей >>он не пускает, так как помимо esp они тоже там засвечиваются >> >>естественно трафик идет с 2621 ТОЛЬКО шифрованный >>ну а без листов все идет на ура >> >>в чем может быть причина? > > >А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце >каждого листа есть неявный deny ip any any этот deny и на 2621 есть, но на инкапсулированный трафик он не реагирует - пропустил esp и все а на 2611 он и esp пакеты учитывает и уже развернутые еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО инкапсулированный, конфигурации простые как мычание
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ACL не пускает расшифрованный трафик"
	Сообщение от ruff (ok) on 09-Сен-05, 10:42 (MSK)
	>> >>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце >>каждого листа есть неявный deny ip any any > >этот deny и на 2621 есть, но на инкапсулированный трафик он не >реагирует - пропустил esp и все >а на 2611 он и esp пакеты учитывает и уже развернутые >еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО >инкапсулированный, конфигурации простые как мычание чета я не понял, вы 21й 11ю заменяете с тем же конфигом? или у вас трафик проходит последовательно через 11ю а потом через 21ю? где терминируется тунель? вообще, чтоб пропустить локальный трафик наружу нада че нить типа access-list 100 permit esp any any access-list 100 permit udp any any eq 500 access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any тогда и ипсековый трафик и локальный ходят, а один лиш access-list 100 permit esp any any access-list 100 permit udp any any eq 500 блокирует все, кроме ипсека
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ACL не пускает расшифрованный трафик"
	Сообщение от fantom (??) on 09-Сен-05, 12:03 (MSK)
	> >>> >>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце >>>каждого листа есть неявный deny ip any any >> >>этот deny и на 2621 есть, но на инкапсулированный трафик он не >>реагирует - пропустил esp и все >>а на 2611 он и esp пакеты учитывает и уже развернутые >>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО >>инкапсулированный, конфигурации простые как мычание > > >чета я не понял, вы 21й 11ю заменяете с тем же конфигом? >или у вас трафик проходит последовательно через 11ю а потом через >21ю? где терминируется тунель? >вообще, чтоб пропустить локальный трафик наружу нада че нить типа >access-list 100 permit esp any any >access-list 100 permit udp any any eq 500 >access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any >тогда и ипсековый трафик и локальный ходят, а один лиш >access-list 100 permit esp any any >access-list 100 permit udp any any eq 500 >блокирует все, кроме ипсека Где-то читал, что до какой-то версии ИОСа есть баг - траффик из тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера, или что там у вас). И если в ACL на этом интерфейсе этот трафик запретить - работать небудет, хотя тунель поднимется. Вроде как даже на сайте cisco об этом что-то есть.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ACL не пускает расшифрованный трафик"
	Сообщение от spa (ok) on 09-Сен-05, 12:17 (MSK)
	>> >>>> >>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце >>>>каждого листа есть неявный deny ip any any >>> >>>этот deny и на 2621 есть, но на инкапсулированный трафик он не >>>реагирует - пропустил esp и все >>>а на 2611 он и esp пакеты учитывает и уже развернутые >>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО >>>инкапсулированный, конфигурации простые как мычание >> >> >>чета я не понял, вы 21й 11ю заменяете с тем же конфигом? >>или у вас трафик проходит последовательно через 11ю а потом через >>21ю? где терминируется тунель? >>вообще, чтоб пропустить локальный трафик наружу нада че нить типа >>access-list 100 permit esp any any >>access-list 100 permit udp any any eq 500 >>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any >>тогда и ипсековый трафик и локальный ходят, а один лиш >>access-list 100 permit esp any any >>access-list 100 permit udp any any eq 500 >>блокирует все, кроме ипсека > >Где-то читал, что до какой-то версии ИОСа есть баг - траффик из >тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера, >или что там у вас). >И если в ACL на этом интерфейсе этот трафик запретить - работать >небудет, хотя тунель поднимется. >Вроде как даже на сайте cisco об этом что-то есть. а как от этого бага отбиться???
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ACL не пускает расшифрованный трафик"
	Сообщение от fantom (??) on 09-Сен-05, 12:27 (MSK)
	>>> >>>>> >>>>>А вы в листе остальной не шифрованый трафик пропускаете? ведь в конце >>>>>каждого листа есть неявный deny ip any any >>>> >>>>этот deny и на 2621 есть, но на инкапсулированный трафик он не >>>>реагирует - пропустил esp и все >>>>а на 2611 он и esp пакеты учитывает и уже развернутые >>>>еще раз повторюсь все в конфигурациях один к одному, трафик ходит ТОЛЬКО >>>>инкапсулированный, конфигурации простые как мычание >>> >>> >>>чета я не понял, вы 21й 11ю заменяете с тем же конфигом? >>>или у вас трафик проходит последовательно через 11ю а потом через >>>21ю? где терминируется тунель? >>>вообще, чтоб пропустить локальный трафик наружу нада че нить типа >>>access-list 100 permit esp any any >>>access-list 100 permit udp any any eq 500 >>>access-list 100 permit ip lo.cal.net.work 0.0.xxx.xxx any >>>тогда и ипсековый трафик и локальный ходят, а один лиш >>>access-list 100 permit esp any any >>>access-list 100 permit udp any any eq 500 >>>блокирует все, кроме ипсека >> >>Где-то читал, что до какой-то версии ИОСа есть баг - траффик из >>тунеля проходит через ACL интерфейса, принимающего тунель (т.е. сериала или езера, >>или что там у вас). >>И если в ACL на этом интерфейсе этот трафик запретить - работать >>небудет, хотя тунель поднимется. >>Вроде как даже на сайте cisco об этом что-то есть. >а как от этого бага отбиться??? 1. Найти ИОС с сиправленым багом. 2. Прописать в нужном ACL нужные адреса.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]