The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! Anton T., 27-Июн-08, 16:41  [смотреть все]
Здраствуйте,

Сталкнулся с такой непонятной штукой.

Конфиг 1:
Cisco 871W
===========
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(15)T4, RELEASE SOFTWARE (fc2)
===========
crypto isakmp policy 11
encr 3des
authentication pre-share
group 5
crypto isakmp key 123 address 1.1.1.1
!
crypto ipsec transform-set sharks esp-3des esp-sha-hmac
!
crypto map CENTER 23 ipsec-isakmp
set peer 1.1.1.1
set security-association lifetime seconds 28800
set transform-set sharks
match address 100
!

interface FastEthernet4
ip address 2.2.2.2 255.255.255.224
duplex auto
speed auto
crypto map CENTER
!
access-list 100 permit ip 172.17.100.0 0.0.0.255 172.16.0.0 0.1.255.255
!


Конфиг 2:
Cisco 2811
===========
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(11)T1, RELEASE SOFTWARE (fc5)
===========
crypto isakmp policy 11
encr 3des
authentication pre-share
group 5
crypto isakmp key 123 address 2.2.2.2
!
crypto ipsec transform-set sharks esp-3des esp-sha-hmac
!
crypto map nolan 23 ipsec-isakmp
set peer 2.2.2.2
set security-association lifetime seconds 28800
set transform-set sharks
match address 100
!
interface FastEthernet0/1.1
encapsulation dot1Q 2
ip address 1.1.1.1 255.255.255.248
ip virtual-reassembly
crypto map nolan
!
access-list 100 permit ip 172.16.0.0 0.1.255.255 172.17.100.0 0.0.0.255
!

В итоге ISAKMP SA успешно устанавливается, но трафик не проходит.
Самое интересное, что любые пинги по 172.* с соотв. интерфейса, фиксируются в счётчике пакетов ACL, причём в обоих цисках с обоих сторон по 2 штуки (возвращается ответ?!)

Думал на MTU, но MTU-шные траблы не проявляются при маленьких пакетах (пингах).
Думал, провайдер режет ESP, но тогда бы пакеты а ACL-ках не засчитывались.

C2811 при этом держит кучу индентично настроенных каналов.
Не пойму, где проблема.

Ответить | Сообщить модератору
  • IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! SergTel, 17:30 , 27-Июн-08 (1)
    >Здраствуйте,
    >
    >Сталкнулся с такой непонятной штукой.

    Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не режет?

    Настройки вроде все правильные.
    Чтобы убедиться попробуй без крипты пойдут ли пакеты?
    Если нет попробуй GRE

    Ответить | Сообщить модератору
    • IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! Anton T., 22:35 , 27-Июн-08 (2)
      >Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не
      >режет?

      Да, через провайдеров.
      Но они, по идее, про приватные адреса ничего знать не могут.
      Как я понимаю, весь трафик заворачивается в шифрованный ESP над IP.

      >Чтобы убедиться попробуй без крипты пойдут ли пакеты?

      В смысле?
      Просто пинги от 1.1.1.1 к 2.2.2.2 и обратно, ходят.

      >Если нет попробуй GRE

      Вариант. Попробую.

      Ответить | Сообщить модератору
      • IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! SergTel, 14:22 , 28-Июн-08 (3)
        >>Насколько понял стыковка идет через провайдера (ов), а он(и) приватные адреса не
        >>режет?
        >
        >Да, через провайдеров.
        >Но они, по идее, про приватные адреса ничего знать не могут.

        Почему?
        >Как я понимаю, весь трафик заворачивается в шифрованный ESP над IP.
        >

        Шифруются данные дескриптор пакета не меняется
        >>Чтобы убедиться попробуй без крипты пойдут ли пакеты?
        >
        >В смысле?

        Выключи шифрование на интерфейсе проверь как идут пакеты

        >Просто пинги от 1.1.1.1 к 2.2.2.2 и обратно, ходят.
        >
        >>Если нет попробуй GRE
        >
        >Вариант. Попробую.

        Ответить | Сообщить модератору
        • IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! Anton_T, 19:31 , 29-Июн-08 (4)
          Проблема решена.

          Дело в том, что интерфейс с адресом 172.17.100.1 был down.

          Иными словами, когда юзера выключают все компы, vlan1(к которому в cisco 871w привязаны интерфейся f0,f1,f2 и f3) становится down и адрес 172.17.100.1( по которому я и проверял пинги) не активным.

          Интересно, что некоторые циски в этом случае выдают явную ошибку при попытки пинга с них. Мол, source address или interface вовсе не up.

          И, конечно, такая проблема не возникнет, если к циске подключить хотя бы 1 свитч, а не компы напрямую. Или, как сделал я, можно включить вай-фай (сильно пошифрованный) и забриджить его c vlan1. Тогда то же 172.17.100.1 всегда up.

          Ответить | Сообщить модератору
          • IPSec: пакеты не ходят, но фиксируются в ACL-ах., !*! SergTel, 06:05 , 30-Июн-08 (5)
            >[оверквотинг удален]
            >которому я и проверял пинги) не активным.
            >
            >Интересно, что некоторые циски в этом случае выдают явную ошибку при попытки
            >пинга с них. Мол, source address или interface вовсе не up.
            >
            >
            >И, конечно, такая проблема не возникнет, если к циске подключить хотя бы
            >1 свитч, а не компы напрямую. Или, как сделал я, можно
            >включить вай-фай (сильно пошифрованный) и забриджить его c vlan1. Тогда то
            >же 172.17.100.1 всегда up.

            Подними Loopback или на Vlan1 поставь ip. Падать должен перестать

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру