- reverse-route в IpSec,
 AlexDv, 11:27 , 24-Дек-08 (1)>[оверквотинг удален]
> set isakmp-profile SITES-PROFILE
> reverse-route remote-peer х.х.х.21
>последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30
>
>по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен
>написать
>reverse-route enable и начать добавлять маршруты....
>
>вот это и не работает.... int tunnel yy shutdown не помогает.
>как бы ipsec передернуть? clea crypto isakmp XXX , где XXX connection id of SA
- reverse-route в IpSec, www_tank, 12:21 , 24-Дек-08 (2)
>clea crypto isakmp XXX , где XXX connection id of SA спасибо, что откликнулись.
sh cry isakmp sa показывает пусто, sh cry map без изменений, туннель как жил так и живет
- reverse-route в IpSec, www_tank, 13:00 , 24-Дек-08 (3)
после удаления и привязки политики к интерфейсу в sh cry map появилось reverse-route enable
а вот маршрутов не создает никаких, даже если убрать статический(о котором в начале поста гвориться)
- reverse-route в IpSec, AlexDv, 15:27 , 24-Дек-08 (4)
>после удаления и привязки политики к интерфейсу в sh cry map появилось
>reverse-route enable
>а вот маршрутов не создает никаких, даже если убрать статический(о котором в
>начале поста гвориться) Если sh cry is sa ничего не показывает - значит данный пир неактивен, ничего и не должно быть.
- reverse-route в IpSec, www_tank, 16:22 , 24-Дек-08 (5)
>Если sh cry is sa ничего не показывает - значит данный пир
>неактивен, ничего и не должно быть. после того как политику не фейсе передернули, sh cry is sa показывает sa.
полиси и профиль в одном экземпляре и по идее должно отрабатывать.
склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в книжке полнофункционально RRJ рассматривается для 12.4(15)
- reverse-route в IpSec, AlexDv, 18:03 , 24-Дек-08 (6)
>>Если sh cry is sa ничего не показывает - значит данный пир
>>неактивен, ничего и не должно быть.
>
>после того как политику не фейсе передернули, sh cry is sa
>показывает sa.
>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>книжке полнофункционально RRJ рассматривается для 12.4(15) Я это еще на 12.3 использовал. Работало.
- reverse-route в IpSec, www_tank, 12:41 , 25-Дек-08 (7)
>>>Если sh cry is sa ничего не показывает - значит данный пир
>>>неактивен, ничего и не должно быть.
>>
>>после того как политику не фейсе передернули, sh cry is sa
>>показывает sa.
>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>
>Я это еще на 12.3 использовал. Работало. а можно конфиг сюда или на www_tank@rambler.ru?
- reverse-route в IpSec, AlexDv, 13:25 , 25-Дек-08 (8)
>[оверквотинг удален]
>>>
>>>после того как политику не фейсе передернули, sh cry is sa
>>>показывает sa.
>>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>>
>>Я это еще на 12.3 использовал. Работало.
>
>а можно конфиг сюда или на www_tank@rambler.ru? Все то-же самое, но без set isakmp-profile . А с профайлом видимо надо ИОС обновлять:
Previously RRI was available for crypto map configurations only. Cisco IOS Release 12.4(15)T
introduces support for relevant RRI options on IPsec profiles that are predominantly used for virtual
tunnel interfaces. On tunnel interfaces, only the distance metric and tag options are useful with the
generic RRI capability.
- reverse-route в IpSec, www_tank, 17:23 , 28-Дек-08 (9)
IOS обновился, добавилась куча команд, но...
RRJ заработал, только не как надо. он добавляет маршрут в удаленную сеть, типа такой:
ip route 192.168.x.x 255.255.255.0 x.x.x.21
такой и так уже рукаим сделан и никогда не меняется. мне бы такой:
ip route a.a.a.a 255.255.255.255 x.x.x.21
(a.a.a.a белый адрес удаленного хоста, обратившегося за IPSEC
x.x.x.21 линк резервного провайдера)думаю, может на event manager applet что-нибудь сделать. повесить например на событие:
syslog "%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr" тока как потом для action получить адрес ломящегося удаленного хоста???
- reverse-route в IpSec, Nick.spb, 12:33 , 27-Янв-11 (10)
Здравствуйте.
Пропишите в криптокарте просто "reverse-route static", т.к. у вас Ip-адрес пира постоянно меняется:crypto dynamic-map IPSEC-DYNMAP 10
set transform-set TSET-SITES
set isakmp-profile SITES-PROFILE
reverse-route static
Чтобы маршруты пришли, сбросьте туннель к-дой clear crypto session и инициируйте поднятие туннеля заново. И будет вам счастье.
|
Версия для распечатки
reverse-route в IpSec, 
