forum.opennet.ru

Составление сообщения

Исходное сообщение

"cisco 1841: не могу настроить gre+ipsec туннель"
Отправлено demchenko, 30-Июн-10 11:37

Доброго времени суток,
есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются.
конфиг:

####### cisco 1841 - piter ########
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {msk-ext-ip} no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!
!
interface Tunnel1
ip address 192.168.3.1 255.255.255.252
ip mtu 1420
tunnel source {piter-ext-ip}
tunnel destination {msk-ext-ip}
tunnel protection ipsec profile myprofile
!
####### cisco 1841 - msk ################
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key {key} address {piter-ext-ip} no-xauth
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto ipsec profile myprofile
set transform-set vpn1
!
interface Tunnel1
ip address 192.168.3.2 255.255.255.252
ip mtu 1420
tunnel source {msk-ext-ip}
tunnel destination {piter-ext-ip}
tunnel protection ipsec profile myprofile shared
!

обмен ключами успешен, насколько могу судить по этому:

#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
213.182.181.66  212.45.2.67     QM_IDLE           1018 ACTIVE
IPv6 Crypto ISAKMP SA
#sh crypto ipsec sa
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr {msk-ext-ip}
   protected vrf: (none)
   local  ident (addr/mask/prot/port): ({msk-ext-ip}/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): ({piter-ext-ip}/255.255.255.255/47/0)
   current_peer {piter-ext-ip} port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: {msk-ext-ip}, remote crypto endpt.: {piter-ext-ip}
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan2
     current outbound spi: 0x39AC5EB5(967597749)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
      spi: 0x6916F589(1763112329)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2043, flow_id: FPGA:43, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4471926/84077)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0xC20B462A(3255518762)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2045, flow_id: FPGA:45, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4384769/84852)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xC788A48C(3347621004)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2044, flow_id: FPGA:44, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4471922/84077)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
      spi: 0x39AC5EB5(967597749)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2046, flow_id: FPGA:46, sibling_flags 80000046, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4384765/84852)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в которых сложно.
Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ ) : аналогично - просто туннель работает, как только применяешь крипто мап - не работает.
Прошу помощи!

Исходное сообщение
"cisco 1841: не могу настроить gre+ipsec туннель" Отправлено demchenko, 30-Июн-10 11:37
Доброго времени суток, есть 2 офиса, в каждом по cisco 1841, которые нужно соеденить впн-туннелем. Создаю туннель (концы туннеля - 192.168.3.0/30) - без ipsec все работает, оба конца туннеля пингуются (с одной циски на другую и наоборот, как по туннельным ip, так и по внешним интернет-ip). Применяю к туннелю protection profile - все перестает работать, туннельные ip не пингуются. конфиг: ####### cisco 1841 - piter ######## ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key {key} address {msk-ext-ip} no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac ! crypto ipsec profile myprofile set transform-set vpn1 ! ! interface Tunnel1 ip address 192.168.3.1 255.255.255.252 ip mtu 1420 tunnel source {piter-ext-ip} tunnel destination {msk-ext-ip} tunnel protection ipsec profile myprofile ! ####### cisco 1841 - msk ################ ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key {key} address {piter-ext-ip} no-xauth ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac ! crypto ipsec profile myprofile set transform-set vpn1 ! interface Tunnel1 ip address 192.168.3.2 255.255.255.252 ip mtu 1420 tunnel source {msk-ext-ip} tunnel destination {piter-ext-ip} tunnel protection ipsec profile myprofile shared ! обмен ключами успешен, насколько могу судить по этому: #sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 213.182.181.66 212.45.2.67 QM_IDLE 1018 ACTIVE IPv6 Crypto ISAKMP SA #sh crypto ipsec sa interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr {msk-ext-ip} protected vrf: (none) local ident (addr/mask/prot/port): ({msk-ext-ip}/255.255.255.255/47/0) remote ident (addr/mask/prot/port): ({piter-ext-ip}/255.255.255.255/47/0) current_peer {piter-ext-ip} port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: {msk-ext-ip}, remote crypto endpt.: {piter-ext-ip} path mtu 1500, ip mtu 1500, ip mtu idb Vlan2 current outbound spi: 0x39AC5EB5(967597749) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x6916F589(1763112329) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2043, flow_id: FPGA:43, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4471926/84077) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0xC20B462A(3255518762) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2045, flow_id: FPGA:45, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4384769/84852) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xC788A48C(3347621004) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2044, flow_id: FPGA:44, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4471922/84077) IV size: 8 bytes replay detection support: Y Status: ACTIVE spi: 0x39AC5EB5(967597749) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2046, flow_id: FPGA:46, sibling_flags 80000046, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4384765/84852) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: В чем проблема - понять не могу, вроде всего-ничего команд, ошибиться в которых сложно. Пробовал настраивать по статьям циски ( http://www.cisco.com/en/US/docs/routers/access/1800/1801/sof... ) и Лиссяры ( http://www.lissyara.su/articles/cisco/ipsec_over_gre_with_rip/ ) : аналогично - просто туннель работает, как только применяешь крипто мап - не работает. Прошу помощи!

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру