The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Связь Dlink и Cisco!!!, !*! momo, 13-Ноя-08, 16:09  [смотреть все]
Вот пытаюсь разобраться с проблемой да что-то своими силами никак не решить

Нужно поднять vpn между dlink и cisco! (Сделано только не совсем так как хотелось)

делал по этой схеме http://www.dlink.ru/technical/faq_vpn_4.php

Получилось поднять туннель но подсети внутренние так друг друга и не увидели.

Надо обратить особое внимание на то что подключение со стороны dlik DI-804HV происходит через l2tp (так что если использовать нижеследующую конфигурацию и приэтом использовать другой тип подключения типа pppoe то все работает) т.е я особо акцентирую внимание на этом что такое ощщение что в этом и есть проблема.

конфиг с циски:

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key *******  address 93.81.254.191 no-xauth
!
!
crypto ipsec transform-set temp esp-3des esp-md5-hmac
!
crypto map vpn 1 ipsec-isakmp
set peer 93.81.254.191
set security-association lifetime seconds 900
set transform-set temp
set pfs group2
match address 100
!
!
!
!
interface FastEthernet0/0
description local
ip address 192.168.10.10 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description vpn
ip address 212.248.90.52 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn
!
ip route 0.0.0.0 0.0.0.0 212.248.90.49
!
ip access-list extended 100
permit ip 192.168.0.0 0.0.15.255 192.168.200.64 0.0.0.15


VPN#sh crypto isakmp sa
dst             src             state          conn-id slot status
93.81.254.191   212.248.90.52   QM_IDLE              3    0 ACTIVE


VPN#sh crypto ipsec sa

interface: FastEthernet0/1
    Crypto map tag: vpn, local addr 212.248.90.52

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.240.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.200.64/255.255.255.240/0/0)
   current_peer 93.81.254.191 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 460, #pkts encrypt: 460, #pkts digest: 460
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 6, #recv errors 0

     local crypto endpt.: 212.248.90.52, remote crypto endpt.: 93.81.254.191
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
     current outbound spi: 0x71000010(1895825424)

     inbound esp sas:
      spi: 0x462FA82E(1177528366)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 3001, flow_id: FPGA:1, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4477780/83)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x71000010(1895825424)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 3004, flow_id: FPGA:4, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4477763/83)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

VPN#sh crypto se
Crypto session current status

Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 93.81.254.191 port 500
  IKE SA: local 212.248.90.52/500 remote 93.81.254.191/500 Active
  IPSEC FLOW: permit ip 192.168.0.0/255.255.240.0 192.168.200.64/255.255.255.240
        Active SAs: 2, origin: crypto map


А вот логи с DLINKA

WAN Type: L2TP (V1.44)
Display time: Friday November 24, 2006 21:50:20


Friday November 24, 2006 21:50:12 Receive IKE M1(INIT) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:12 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Friday November 24, 2006 21:50:12 Send IKE M2(RESP) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:12 Receive IKE M3(KEYINIT) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:12 Send IKE M4(KEYRESP) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:13 Receive IKE M5(IDINIT) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:13 Send IKE M6(IDRESP) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:13 IKE Phase1 (ISAKMP SA) established : 93.81.254.191 <-> 212.248.90.52
Friday November 24, 2006 21:50:13 Receive IKE Q1(QINIT) : [212.248.90.52]-->[93.81.254.191]
Friday November 24, 2006 21:50:13 Requested routing is [192.168.0.0|212.248.90.52]<->[93.81.254.191|192.168.200.64]
Friday November 24, 2006 21:50:13 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Friday November 24, 2006 21:50:13 Send IKE Q2(QRESP) : 192.168.200.64 --> 192.168.0.0
Friday November 24, 2006 21:50:13 Receive IKE Q3(QHASH) : [192.168.0.0|212.248.90.52]-->[93.81.254.191|192.168.200.64]
Friday November 24, 2006 21:50:13 IKE Phase2 (IPSEC SA) established : [192.168.0.0|212.248.90.52]<->[93.81.254.191|192.168.200.64]
Friday November 24, 2006 21:50:13 inbound SPI = 0x75000010, outbound SPI = 0x594b783
Friday November 24, 2006 21:50:16 Send IKE (INFO) : delete [192.168.200.64|93.81.254.191]-->[212.248.90.52|192.168.0.0] phase 2
Friday November 24, 2006 21:50:16 IKE phase2 (IPSec SA) remove : 192.168.200.64 <-> 192.168.0.0
Friday November 24, 2006 21:50:16 inbound SPI = 0x75000010, outbound SPI = 0x594b783
Friday November 24, 2006 21:50:16 Send IKE (INFO) : delete 93.81.254.191 -> 212.248.90.52 phase 1
Friday November 24, 2006 21:50:16 IKE phase1 (ISAKMP SA) remove : 93.81.254.191 <-> 212.248.90.52
Friday November 24, 2006 21:50:17 IKE phase1 (ISAKMP SA) remove : 93.81.254.191 <-> 212.248.90.52
Friday November 24, 2006 21:50:19 Send IKE M1(INIT) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:19 Receive IKE M2(RESP) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:19 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Friday November 24, 2006 21:50:19 Send IKE M3(KEYINIT) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:19 Receive IKE M4(KEYRESP) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:20 Send IKE M5(IDINIT) : 93.81.254.191 --> 212.248.90.52
Friday November 24, 2006 21:50:20 Receive IKE M6(IDRESP) : 212.248.90.52 --> 93.81.254.191
Friday November 24, 2006 21:50:20 IKE Phase1 (ISAKMP SA) established : 212.248.90.52 <-> 93.81.254.191
Friday November 24, 2006 21:50:20 Send IKE Q1(QINIT) : 192.168.200.64 --> 192.168.0.0
Friday November 24, 2006 21:50:20 Receive IKE Q2(QRESP) : [192.168.0.0|212.248.90.52]-->[93.81.254.191|192.168.200.64]
Friday November 24, 2006 21:50:20 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Friday November 24, 2006 21:50:20 Send IKE Q3(QHASH) : 192.168.200.64 --> 192.168.0.0
Friday November 24, 2006 21:50:20 IKE Phase2 (IPSEC SA) established : [192.168.0.0|212.248.90.52]<->[93.81.254.191|192.168.200.64]
Friday November 24, 2006 21:50:20 inbound SPI = 0x77000010, outbound SPI = 0x9980b506

Т.е получается что все две фазы vpn проходит но куда тогда траффик пропадает не понятно?

нужна помощь!


  • Связь Dlink и Cisco!!!, !*! momo, 19:52 , 13-Ноя-08 (1)
    >[оверквотинг удален]
    >
    >
    >
    >Т.е получается что все две фазы vpn проходит но куда тогда траффик
    >пропадает не понятно?
    >
    >нужна помощь!
    >
    >
    >

    прикольный форум вот уже 2 раз обращаюсь за помощью и ниодного ответа.......зачем он тогда нужен?

  • Связь Dlink и Cisco!!!, !*! Pistonov, 10:16 , 14-Ноя-08 (2)
    >[оверквотинг удален]
    >происходит через l2tp (так что если использовать нижеследующую конфигурацию и приэтом
    >использовать другой тип подключения типа pppoe то все работает) т.е я
    >особо акцентирую внимание на этом что такое ощщение что в этом
    >и есть проблема.
    >
    >Т.е получается что все две фазы vpn проходит но куда тогда траффик
    >пропадает не понятно?
    >
    >нужна помощь!
    >

    А где сам vpn? И какой трафик куда не ходит?


    • Связь Dlink и Cisco!!!, !*! momo, 10:29 , 14-Ноя-08 (3)
      >[оверквотинг удален]
      >>особо акцентирую внимание на этом что такое ощщение что в этом
      >>и есть проблема.
      >>
      >>Т.е получается что все две фазы vpn проходит но куда тогда траффик
      >>пропадает не понятно?
      >>
      >>нужна помощь!
      >>
      >
      >А где сам vpn? И какой трафик куда не ходит?

      Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей тороны esp

      • Связь Dlink и Cisco!!!, !*! KanycTa, 11:02 , 14-Ноя-08 (4)
        >[оверквотинг удален]
        >>>пропадает не понятно?
        >>>
        >>>нужна помощь!
        >>>
        >>
        >>А где сам vpn? И какой трафик куда не ходит?
        >
        >Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
        >провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
        >тороны esp

        Вот посмотри мой конфиг, настроил соединение с длинком, все работает.
        https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=li...

        • Связь Dlink и Cisco!!!, !*! momo, 11:33 , 14-Ноя-08 (7)
          >[оверквотинг удален]
          >>>>
          >>>
          >>>А где сам vpn? И какой трафик куда не ходит?
          >>
          >>Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
          >>провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
          >>тороны esp
          >
          >Вот посмотри мой конфиг, настроил соединение с длинком, все работает.
          >https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=li...

          ваша ссылка идет обратно на главную страничку opennet.ru

          • Связь Dlink и Cisco!!!, !*! KanycTa, 11:49 , 14-Ноя-08 (8)
            >[оверквотинг удален]
            >>>>А где сам vpn? И какой трафик куда не ходит?
            >>>
            >>>Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
            >>>провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
            >>>тороны esp
            >>
            >>Вот посмотри мой конфиг, настроил соединение с длинком, все работает.
            >>https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=li...
            >
            >ваша ссылка идет обратно на главную страничку opennet.ru

            Вот как моя тема называется, "Проблема с IPSEC. Нагрузка на процессор"

            Чтобы ходи ходили пинги, надо как минимум прописать маршрут
            ip route 0.0.0.0 0.0.0.0 212.248.90.49 - неправельный маршрут

            ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 - правельный маршрут

            • Связь Dlink и Cisco!!!, !*! momo, 12:18 , 14-Ноя-08 (10)
              >[оверквотинг удален]
              >>>https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=li...
              >>
              >>ваша ссылка идет обратно на главную страничку opennet.ru
              >
              >Вот как моя тема называется, "Проблема с IPSEC. Нагрузка на процессор"
              >
              >Чтобы ходи ходили пинги, надо как минимум прописать маршрут
              >ip route 0.0.0.0 0.0.0.0 212.248.90.49 - неправельный маршрут
              >
              >ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 - правельный маршрут

              можно пояснить чем этот маршрут не правильный
              ip route 0.0.0.0 0.0.0.0 212.248.90.49

      • Связь Dlink и Cisco!!!, !*! Pistonov, 11:05 , 14-Ноя-08 (5)
        >[оверквотинг удален]
        >>>пропадает не понятно?
        >>>
        >>>нужна помощь!
        >>>
        >>
        >>А где сам vpn? И какой трафик куда не ходит?
        >
        >Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
        >провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
        >тороны esp

        Пинги ходят?

        • Связь Dlink и Cisco!!!, !*! momo, 11:31 , 14-Ноя-08 (6)
          >[оверквотинг удален]
          >>>>нужна помощь!
          >>>>
          >>>
          >>>А где сам vpn? И какой трафик куда не ходит?
          >>
          >>Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
          >>провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
          >>тороны esp
          >
          >Пинги ходят?

          пинги тож не ходят........если нужно больше инфы для лучшего понимания проблемы то могу выложить

          • Связь Dlink и Cisco!!!, !*! KanycTa, 11:52 , 14-Ноя-08 (9)
            >[оверквотинг удален]
            >>>>А где сам vpn? И какой трафик куда не ходит?
            >>>
            >>>Организовать пытаюсь между офисом и филиалом. Подключение со  стороны филиала до
            >>>провайдера идет через l2tp. Идея вот есть.может пров блокирует со совей
            >>>тороны esp
            >>
            >>Пинги ходят?
            >
            >пинги тож не ходят........если нужно больше инфы для лучшего понимания проблемы то
            >могу выложить

            https://www.opennet.ru/openforum/vsluhforumID6/17582.html
            Посмотрите мой конфиг
            Он рабочий.

            без этого у меня пинги тоже не ходили, access-list 102 permit ip any any log, но с этим стало хуже

            • Связь Dlink и Cisco!!!, !*! momo, 23:20 , 19-Ноя-08 (11)
              >[оверквотинг удален]
              >>
              >>пинги тож не ходят........если нужно больше инфы для лучшего понимания проблемы то
              >>могу выложить
              >
              >https://www.opennet.ru/openforum/vsluhforumID6/17582.html
              >Посмотрите мой конфиг
              >Он рабочий.
              >
              >без этого у меня пинги тоже не ходили, access-list 102 permit ip
              >any any log, но с этим стало хуже

              Господа проблема решилась таки......причем очень тривиальным образом.....НАдо было всего лишь поставть новыю прошивку на длинк и все пакетики из туннеля в туннель забегали..На эту мысль меня навела техподдержка самого длинка

              Всем спасиб кто участвовал в решение проблемы!

              Надеюсь на моем примере никто больше на грабли наступать не будет.........Так что меняйте прошивки сразу как покупаите оборудование желтопузиков и многие проблемы решаться сами собой




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру