 IPSec туннель поднимается, но трафик не проходит,  iCrash, 26-Авг-14, 10:49 [смотреть все]Доброго времени суток!Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec tunnel и на каждой поднят впн-сервер, поднимается через интернет, с одной стороны после маршрутизатора стоят 2 каталиста и статическая маршрутизация, а с другой два нексуса и поднят eigrp.
Вообщем, туннель как таковой поднимается, о чем говорит sh crypto isakm sa / ipsec sa, но не совсем понятно почему. Для его поднятия, если я не ошибаюсь, нужно послать трафик через него.
Делаю clear crypto isakmp, сесия удаляется и уже через пять секунд заново поднимается.
Что самое плохое, пинги не идут. Помогите разобраться, пожалуйста! R_1 crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
crypto isakmp key cisco123 address 37.*.*.*
!
crypto isakmp client configuration group ******
key *****
dns *****
domain *****
pool ippool
acl vpnuser
save-password
crypto isakmp profile VPN
match identity group *****
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set myset esp-aes esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
!
!
crypto map DAVAI 2 ipsec-isakmp
set peer 37.*.*.*
set transform-set letsgo
match address ipsec
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap interface GigabitEthernet0/0
ip address 178.*.*.*
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map DAVAI
!
interface GigabitEthernet0/1
ip address 10.255.0.5 255.255.255.252
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 10.255.0.13 255.255.255.252
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
!
router eigrp 100
network 10.255.0.0 0.0.0.255
redistribute static
redistribute connected
!
ip local pool ippool 10.10.20.1 10.10.22.254
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 178.*.*.*
ip route 10.10.12.0 255.255.255.0 10.255.0.6
ip route 10.10.12.0 255.255.255.0 10.255.0.14
!
ip access-list extended internet
deny ip host 10.10.53.10 10.10.20.0 0.0.3.255
permit ip host 10.10.53.10 any
ip access-list extended ipsec
permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.12.0 0.0.0.255 10.255.1.0 0.0.0.255
permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255
ip access-list extended nat
deny ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.10.12.0 0.0.0.255 any
ip access-list extended vpnuser
permit ip 10.10.0.0 0.0.255.255 10.10.0.0 0.0.255.255
permit ip 10.10.12.0 0.0.0.255 10.10.20.0 0.0.3.255
permit ip 10.10.48.0 0.0.7.255 10.10.20.0 0.0.3.255 R_2 crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 3
encr 3des
authentication pre-share
crypto isakmp key cisco123 address 178.*.*.*
!
crypto isakmp client configuration group *****
key *****
dns *****
domain *****
pool vpnpool
acl vpnuser
save-password
crypto isakmp profile VPN
match identity group comlombard
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set letsgo esp-3des esp-md5-hmac
mode tunnel
crypto ipsec transform-set myset esp-aes esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map dynmap 10
set transform-set letsgo
set isakmp-profile VPN
reverse-route
!
!
crypto map DAVAI 2 ipsec-isakmp
set peer 178.*.*.*
set transform-set letsgo
match address ipsec
crypto map DAVAI 100 ipsec-isakmp dynamic dynmap
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.5
encapsulation dot1Q 5
ip address 10.255.1.5 255.255.255.252
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 37.*.*.*
ip nat outside
ip virtual-reassembly in
crypto map DAVAI
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.9
encapsulation dot1Q 9
ip address 10.255.1.9 255.255.255.252
ip nat inside
ip virtual-reassembly in
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0.100
peer default ip address pool namepool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
!
ip local pool vpnpool 10.10.23.1 10.10.23.254
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list nat interface GigabitEthernet0/0.100 overload
ip route 0.0.0.0 0.0.0.0 37.*.*.*
ip route 192.168.0.0 255.255.255.0 10.255.1.6
ip route 192.168.0.0 255.255.255.0 10.255.1.10
ip route 192.168.1.0 255.255.255.0 10.255.1.6
ip route 192.168.1.0 255.255.255.0 10.255.1.10
!
ip access-list extended internet
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended ipsec
permit ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 10.255.0.0 0.0.0.255
permit ip 10.255.1.0 0.0.0.255 10.255.0.0 0.0.0.255
ip access-list extended nat
deny ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended test
deny ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended vpnuser sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
37.*,*,* 178.*,*,* QM_IDLE 18035 ACTIVE IPv6 Crypto ISAKMP SA |
- IPSec туннель поднимается, но трафик не проходит, ShyLion, 12:08 , 26-Авг-14 (1)
> Доброго времени суток!
> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
> tunnelСовет. Между двумя IOS сиськами не используй криптомапы, а используй VTI
int tunnel X
tunnel mode ipsec ipv4
tunnel protection ipsec profile XXXX
тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д. http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
- IPSec туннель поднимается, но трафик не проходит, iCrash, 13:18 , 26-Авг-14 (2)
>[оверквотинг удален]
>> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
>> tunnel
> Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI
>
> int tunnel X
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile XXXX
>
> тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д.
> http://www.cisco.com/en/US/technologies/tk583/tk372/technolo... не до конца понял логику соединения, но тем не менее настроил как в конфиге. sh int t0
Tunnel0 is up, line protocol is up sh crypto session detail
..........
Interface: Tunnel0
Session status: UP-NO-IKE
- IPSec туннель поднимается, но трафик не проходит, ShyLion, 07:28 , 27-Авг-14 (3)
sho run | sect ^crypto|^interface Tunnel
- IPSec туннель поднимается, но трафик не проходит, iCrash, 08:34 , 27-Авг-14 (4)
> sho run | sect ^crypto|^interface Tunnel crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set TSET
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source 37.*,*,*
tunnel mode ipsec ipv4
tunnel destination 178.*,*,*
tunnel protection ipsec profile VTI
service-policy output FOO
- IPSec туннель поднимается, но трафик не проходит, iCrash, 08:42 , 27-Авг-14 (5)
> sho run | sect ^crypto|^interface Tunnel хотя смотрю, теперь все стало active, но трафик так и не идет. я так понял динамическая маршрутизация необязательный пункт, и прописал статику - безрезультатно. хоть все и в АПе и АКТИВ, но команда ping 10.0.0.1 sourse tunell0 не принесла результата
- IPSec туннель поднимается, но трафик не проходит, ShyLion, 08:54 , 27-Авг-14 (6)
>> sho run | sect ^crypto|^interface Tunnel
> хотя смотрю, теперь все стало active, но трафик так и не идет.
> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
> 10.0.0.1 sourse tunell0 не принесла результата Что-то подозреваю я что ты далеко не все скопипастил.
Есть еще криптомапы какие с теми-же адресами пиров? ESP у тебя не фильтруется часом? У провайдера?
- IPSec туннель поднимается, но трафик не проходит, iCrash, 10:00 , 27-Авг-14 (7)
>>> sho run | sect ^crypto|^interface Tunnel
>> хотя смотрю, теперь все стало active, но трафик так и не идет.
>> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
>> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
>> 10.0.0.1 sourse tunell0 не принесла результата
> Что-то подозреваю я что ты далеко не все скопипастил.
> Есть еще криптомапы какие с теми-же адресами пиров?
> ESP у тебя не фильтруется часом? У провайдера?вдоль и поперек все провел, да и не такой уж он и большой, что б что то забыть.
конфиг сейчас до нельзя простой, практически идентичный сисковскому.
нет не фильтруется. забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, с впн, с впдн, с натом и кучей акл)
- IPSec туннель поднимается, но трафик не проходит, Andrey, 11:16 , 27-Авг-14 (8)
>[оверквотинг удален]
>>> 10.0.0.1 sourse tunell0 не принесла результата
>> Что-то подозреваю я что ты далеко не все скопипастил.
>> Есть еще криптомапы какие с теми-же адресами пиров?
>> ESP у тебя не фильтруется часом? У провайдера?
> вдоль и поперек все провел, да и не такой уж он и
> большой, что б что то забыть.
> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
> нет не фильтруется.
> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
> с впн, с впдн, с натом и кучей акл) sh crypto ipsec sa
с обоих сторон.
- IPSec туннель поднимается, но трафик не проходит, iCrash, 15:26 , 27-Авг-14 (9)
>[оверквотинг удален]
>>> Есть еще криптомапы какие с теми-же адресами пиров?
>>> ESP у тебя не фильтруется часом? У провайдера?
>> вдоль и поперек все провел, да и не такой уж он и
>> большой, что б что то забыть.
>> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
>> нет не фильтруется.
>> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
>> с впн, с впдн, с натом и кучей акл)
> sh crypto ipsec sa
> с обоих сторон.IPv4 Crypto ISAKMP SA
dst src state conn-id status
37.*.*.* 178.*.*.* QM_IDLE 18002 ACTIVE
178.*.*.* 37.*.*.* QM_IDLE 18003 ACTIVE
- IPSec туннель поднимается, но трафик не проходит, Andrey, 17:52 , 27-Авг-14 (10)
>[оверквотинг удален]
>> с обоих сторон.
> IPv4 Crypto ISAKMP SA
> dst
> src
> state
> conn-id status
> 37.*.*.* 178.*.*.* QM_IDLE
> 18002 ACTIVE
> 178.*.*.* 37.*.*.* QM_IDLE
> 18003 ACTIVE Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec sa и фазы установления IPSec - разговор по большей части бесполезен.
Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...
- IPSec туннель поднимается, но трафик не проходит, iCrash, 23:06 , 27-Авг-14 (11)
>[оверквотинг удален]
>> src
>> state
>> conn-id status
>> 37.*.*.* 178.*.*.* QM_IDLE
>> 18002 ACTIVE
>> 178.*.*.* 37.*.*.* QM_IDLE
>> 18003 ACTIVE
> Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec
> sa и фазы установления IPSec - разговор по большей части бесполезен.
> Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec... упс, не внимательно прочитал. но там тоже все было ап-актив. короче, походу был некий баг или еще что, психанул - erase startap config, заново все собрал и...о чудо!
в любом случае, благодарю за помощь!
|
Версия для распечатки
