- Не поднимается GRE после падения канала.,
 fantom, 11:28 , 19-Окт-12 (1)>[оверквотинг удален]
> interface Tunnel1
> ip address 192.168.10.2 255.255.255.252
> tunnel source 192.168.6.5
> tunnel destination 192.168.3.2
> NAT:
> access-list 8 permit 10.192.2.0 0.0.1.255
> access-list 8 permit 10.192.4.0 0.0.0.255
> access-list 8 permit 10.192.6.0 0.0.0.255
> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
> ip nat inside source list 8 pool regions keepalive на тунелях добавте.
- Не поднимается GRE после падения канала., foxdenis, 11:43 , 19-Окт-12 (2)
>[оверквотинг удален]
>> ip address 192.168.10.2 255.255.255.252
>> tunnel source 192.168.6.5
>> tunnel destination 192.168.3.2
>> NAT:
>> access-list 8 permit 10.192.2.0 0.0.1.255
>> access-list 8 permit 10.192.4.0 0.0.0.255
>> access-list 8 permit 10.192.6.0 0.0.0.255
>> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
>> ip nat inside source list 8 pool regions
> keepalive на тунелях добавте.Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то поднимается всегда один и тот же туннель, второй остается лежать. Если пересоздать лежащий туннель с двух сторон, то он опять работает. PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1 is up, line protocol is down
- Не поднимается GRE после падения канала., fantom, 12:55 , 19-Окт-12 (3)
>[оверквотинг удален]
>>> access-list 8 permit 10.192.4.0 0.0.0.255
>>> access-list 8 permit 10.192.6.0 0.0.0.255
>>> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
>>> ip nat inside source list 8 pool regions
>> keepalive на тунелях добавте.
> Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то
> поднимается всегда один и тот же туннель, второй остается лежать. Если
> пересоздать лежащий туннель с двух сторон, то он опять работает.
> PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1
> is up, line protocol is down И это правильно, говорит о том, что реально интерфейс "не фурычит" sh ip ro 192.168.6.0
sh ip ro 192.168.6.4
sh ip ro 192.168.4.0
sh ip ro 192.168.4.4 c обоих роутеров когда работает только 1 тунель.
- Не поднимается GRE после падения канала., foxdenis, 14:28 , 19-Окт-12 (4)
>[оверквотинг удален]
>> поднимается всегда один и тот же туннель, второй остается лежать. Если
>> пересоздать лежащий туннель с двух сторон, то он опять работает.
>> PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1
>> is up, line protocol is down
> И это правильно, говорит о том, что реально интерфейс "не фурычит"
> sh ip ro 192.168.6.0
> sh ip ro 192.168.6.4
> sh ip ro 192.168.4.0
> sh ip ro 192.168.4.4
> c обоих роутеров когда работает только 1 тунель.После тщетных попыток немного поменялась адресация, сейчас выглядит все следующим образом: Роутер1: interface Tunnel0
ip address 192.168.11.1 255.255.255.252
tunnel source 192.168.4.2
tunnel destination 192.168.6.1
!
interface Tunnel1
ip address 192.168.21.1 255.255.255.252
tunnel source 192.168.3.2
tunnel destination 192.168.7.1 1#sh ip ro 192.168.6.0
Routing entry for 192.168.6.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.168.4.1
Route metric is 0, traffic share count is 1 1#sh ip ro 192.168.7.0
Routing entry for 192.168.7.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.168.3.1
Route metric is 0, traffic share count is 1 1#sh ip ro 192.168.4.0
Routing entry for 192.168.4.0/24, 2 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 192.168.4.0/24 is directly connected, GigabitEthernet0/1.55
L 192.168.4.2/32 is directly connected, GigabitEthernet0/1.55 1#sh ip ro 192.168.3.0
Routing entry for 192.168.3.0/24, 2 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 192.168.3.0/24 is directly connected, GigabitEthernet0/1.56
L 192.168.3.2/32 is directly connected, GigabitEthernet0/1.56 Роутер2: interface Tunnel0
ip address 192.168.11.2 255.255.255.252
tunnel source 192.168.6.1
tunnel destination 192.168.4.2
!
interface Tunnel1
ip address 192.168.21.2 255.255.255.252
tunnel source 192.168.7.1
tunnel destination 192.168.3.2 2#sh ip ro 192.168.3.0
Routing entry for 192.168.3.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.168.7.2
Route metric is 0, traffic share count is 1
2#sh ip ro 192.168.4.0
Routing entry for 192.168.4.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.168.6.2
Route metric is 0, traffic share count is 1
2#sh ip ro 192.168.6.0
Routing entry for 192.168.6.0/24, 2 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 192.168.6.0/24 is directly connected, GigabitEthernet0/1.101
L 192.168.6.1/32 is directly connected, GigabitEthernet0/1.101
2#sh ip ro 192.168.7.0
Routing entry for 192.168.7.0/24, 2 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 192.168.7.0/24 is directly connected, GigabitEthernet0/1.102
L 192.168.7.1/32 is directly connected, GigabitEthernet0/1.102
- Не поднимается GRE после падения канала., fantom, 14:59 , 19-Окт-12 (5)
>[оверквотинг удален]
> L 192.168.6.1/32 is directly connected,
> GigabitEthernet0/1.101
> 2#sh ip ro 192.168.7.0
> Routing entry for 192.168.7.0/24, 2 known subnets
> Attached (2 connections)
> Variably subnetted with 2 masks
> C 192.168.7.0/24 is directly connected,
> GigabitEthernet0/1.102
> L 192.168.7.1/32 is directly connected,
> GigabitEthernet0/1.102 все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel keepalive - и смотрите какие куда улетели/прилетели. Если с одного рутера все уходит, а на второй не приходит, то 2 варианта:
1. грабли с маршрутизацией
2. что-то где-то фильтрует gre трафик....
- Не поднимается GRE после падения канала., foxdenis, 15:23 , 19-Окт-12 (6)
>[оверквотинг удален]
>> C 192.168.7.0/24 is directly connected,
>> GigabitEthernet0/1.102
>> L 192.168.7.1/32 is directly connected,
>> GigabitEthernet0/1.102
> все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel
> keepalive - и смотрите какие куда улетели/прилетели.
> Если с одного рутера все уходит, а на второй не приходит, то
> 2 варианта:
> 1. грабли с маршрутизацией
> 2. что-то где-то фильтрует gre трафик....Это логично, но тогда бы туннель вообще бы не поднимался бы никогда. А тут он поднимается и прекрасно работает, но после обрыва канала, больше не поднимается.
Еще одна странная вещь: другая сторона пингуется с роутера 2 в следующем варианте: 2#ping 192.168.21.1 source 10.192.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
Packet sent with a source address of 10.192.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms А если просто написать без source: 2#ping 192.168.21.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) Т.е. туннель живой, но почему то не пускает через себя часть пакетов, в том числе keepalive.
- Не поднимается GRE после падения канала., fantom, 15:58 , 19-Окт-12 (7)
>[оверквотинг удален]
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms
> А если просто написать без source:
> 2#ping 192.168.21.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
> .....
> Success rate is 0 percent (0/5)
> Т.е. туннель живой, но почему то не пускает через себя часть пакетов,
> в том числе keepalive.неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ, т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не в этот тунель :)
- Не поднимается GRE после падения канала., foxdenis, 16:07 , 19-Окт-12 (8)
>[оверквотинг удален]
>> 2#ping 192.168.21.1
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
>> .....
>> Success rate is 0 percent (0/5)
>> Т.е. туннель живой, но почему то не пускает через себя часть пакетов,
>> в том числе keepalive.
> неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ,
> т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не
> в этот тунель :) Router 1
1#
Oct 19 16:05:20.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:20.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=18
Oct 19 16:05:20.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:30.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:30.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=19
Oct 19 16:05:30.033 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:40.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:40.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=20
Oct 19 16:05:40.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:50.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:50.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=21
Oct 19 16:05:50.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:06:00.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:06:00.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=22
Oct 19 16:06:00.081 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:06:10.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:06:10.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=23
Oct 19 16:06:10.077 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter Router 2:
Oct 19 12:03:47.733: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:03:57.725: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:03:57.725: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=28
Oct 19 12:03:57.737: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:07.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:07.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=29
Oct 19 12:04:07.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:17.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:17.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=30
Oct 19 12:04:17.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:27.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:27.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=31
Oct 19 12:04:27.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:37.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=32
Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=33 По фильтрации Gre везде все открыл, даже больше чем нужно.
Получается что ни в ту сторону не доходит ни в другую.
- Не поднимается GRE после падения канала., fantom, 16:33 , 19-Окт-12 (9)
>[оверквотинг удален]
> Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
> counter=32
> Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253),
> resetting counter
> Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255),
> counter=1
> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
> counter=33
> По фильтрации Gre везде все открыл, даже больше чем нужно.
> Получается что ни в ту сторону не доходит ни в другую.Как канал построен между 29-ми кошками? там явно есть L3 железо - на нем что фильтруется?
- Не поднимается GRE после падения канала., foxdenis, 16:42 , 19-Окт-12 (10)
>[оверквотинг удален]
>> Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253),
>> resetting counter
>> Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255),
>> counter=1
>> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
>> counter=33
>> По фильтрации Gre везде все открыл, даже больше чем нужно.
>> Получается что ни в ту сторону не доходит ни в другую.
> Как канал построен между 29-ми кошками? там явно есть L3 железо -
> на нем что фильтруется?Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec туннели. Там и в аксес-листы VPN включен протокол GRE и на всех портах я специально открыл доступ GRE any any. Могу выложить конфиг, вдруг я где то лохонулся.
- Не поднимается GRE после падения канала., fantom, 16:48 , 19-Окт-12 (11)
>[оверквотинг удален]
>>> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
>>> counter=33
>>> По фильтрации Gre везде все открыл, даже больше чем нужно.
>>> Получается что ни в ту сторону не доходит ни в другую.
>> Как канал построен между 29-ми кошками? там явно есть L3 железо -
>> на нем что фильтруется?
> Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec
> туннели. Там и в аксес-листы VPN включен протокол GRE и на
> всех портах я специально открыл доступ GRE any any. Могу выложить
> конфиг, вдруг я где то лохонулся.В ASA-ах я ничо не понимаю :)
явно лочится тунельный траф, как там что открывается/закрывается - незнаю.... Можно еще попробовать явно на тунелях gre указать tunnel mode gre ну или попробовать с другой инкарсуляцией поиграться, например ipip...
- Не поднимается GRE после падения канала., foxdenis, 17:00 , 19-Окт-12 (12)
>[оверквотинг удален]
>>> на нем что фильтруется?
>> Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec
>> туннели. Там и в аксес-листы VPN включен протокол GRE и на
>> всех портах я специально открыл доступ GRE any any. Могу выложить
>> конфиг, вдруг я где то лохонулся.
> В ASA-ах я ничо не понимаю :)
> явно лочится тунельный траф, как там что открывается/закрывается - незнаю....
> Можно еще попробовать явно на тунелях gre указать
> tunnel mode gre
> ну или попробовать с другой инкарсуляцией поиграться, например ipip...На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но после того как уронил канал интернет, туннель опять не поднялся. - Не поднимается GRE после падения канала., foxdenis, 17:15 , 19-Окт-12 (13)
>[оверквотинг удален]
>>> туннели. Там и в аксес-листы VPN включен протокол GRE и на
>>> всех портах я специально открыл доступ GRE any any. Могу выложить
>>> конфиг, вдруг я где то лохонулся.
>> В ASA-ах я ничо не понимаю :)
>> явно лочится тунельный траф, как там что открывается/закрывается - незнаю....
>> Можно еще попробовать явно на тунелях gre указать
>> tunnel mode gre
>> ну или попробовать с другой инкарсуляцией поиграться, например ipip...
> На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но
> после того как уронил канал интернет, туннель опять не поднялся.Конфиг первой ASA:
interface GigabitEthernet0/3.55
vlan 55
nameif test_vlan
security-level 100
ip address 192.168.4.1 255.255.255.0
!
interface GigabitEthernet0/3.56
vlan 56
nameif vlan_test_2
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface GigabitEthernet0/3.130
vlan 130
nameif local
security-level 100
ip address 10.36.210.38 255.255.255.252
interface GigabitEthernet0/0
description **LINK-to-ISP**
nameif OUTSIDE
security-level 0
ip address x.x.x.x 255.255.255.248
!
interface GigabitEthernet0/1
description outside2
nameif outside2
security-level 0
ip address y.y.y.y 255.255.255.252
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object icmp
protocol-object gre
object-group service tfp_ports
service-object icmp
service-object tcp eq ftp
service-object tcp eq ftp-data
object-group network all_10
description all_10
network-object ALL 255.0.0.0
object-group service DM_INLINE_SERVICE_1
service-object icmp
group-object tfp_ports
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_4
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_5
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_6
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_7
protocol-object ip
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_8
protocol-object ip
access-list OUTSIDE_cryptomap extended permit object-group DM_INLINE_PROTOCOL_8 object-group all_10 10.192.4.0 255.255.255.0
access-list OUTSIDE_cryptomap_1 extended permit ip object-group all_10 10.192.6.0 255.255.255.0
access-list OUTSIDE_cryptomap_2 extended permit ip 192.168.4.0 255.255.255.0 192.168.6.0 255.255.255.0
access-list INSIDE_nat0_outbound extended permit ip ALL 255.0.0.0 ALL 255.0.0.0
access-list INSIDE_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list OUTSIDE_access_in extended permit object-group DM_INLINE_PROTOCOL_2 any any
access-list OUTSIDE_access_in extended permit object-group DM_INLINE_SERVICE_1 any host 195.239.243.18
access-list OUTSIDE_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list mobis standard permit ALL 255.0.0.0
access-list OUTSIDE_access_out extended permit ip any any
access-list DMZ_nat0_outbound extended permit ip 10.36.210.16 255.255.255.252 object-group all_10
access-list outside2_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any
access-list outside2_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list outside2_cryptomap extended permit object-group DM_INLINE_PROTOCOL_7 192.168.3.0 255.255.255.0 192.168.7.0 255.255.255.0
access-list outside2_access_out extended permit object-group DM_INLINE_PROTOCOL_4 any any
access-list vlan_test_2_access_in extended permit object-group DM_INLINE_PROTOCOL_5 any any
access-list test_vlan_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any
global (OUTSIDE) 1 interface
global (outside2) 1 interface
nat (local) 0 access-list INSIDE_nat0_outbound
nat (local) 1 0.0.0.0 0.0.0.0
access-group OUTSIDE_access_in in interface OUTSIDE
access-group OUTSIDE_access_out out interface OUTSIDE
access-group test_vlan_access_in in interface test_vlan
access-group vlan_test_2_access_in in interface vlan_test_2
access-group outside2_access_in in interface outside2
access-group outside2_access_out out interface outside2
route OUTSIDE 0.0.0.0 0.0.0.0 "DG1" 1
route outside2 0.0.0.0 0.0.0.0 "DG2" 15
route local 10.0.0.0 255.0.0.0 10.36.210.37 1
route outside2 v.v.v.v 62.231.28.201 1
route OUTSIDE 192.168.6.0 255.255.255.0 "DG1" 1
route outside2 192.168.7.0 255.255.255.0 "DG2" 1
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map OUTSIDE_map 1 match address OUTSIDE_cryptomap_2
crypto map OUTSIDE_map 1 set peer z.z.z.z
crypto map OUTSIDE_map 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map OUTSIDE_map interface OUTSIDE
crypto map outside2_map0 1 match address outside2_cryptomap
crypto map outside2_map0 1 set peer v.v.v.v
crypto map outside2_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map outside2_map0 interface outside2
tunnel-group v.v.v.v type ipsec-l2l
tunnel-group v.v.v.v general-attributes
default-group-policy GroupPolicy4
tunnel-group v.v.v.v ipsec-attributes
pre-shared-key *****
tunnel-group z.z.z.z type ipsec-l2l
tunnel-group z.z.z.z general-attributes
default-group-policy GroupPolicy3
tunnel-group z.z.z.z ipsec-attributes
pre-shared-key *****
Конфиг второй ASA: interface GigabitEthernet0/0
nameif INTERNET
security-level 0
ip address v.v.v.v 255.255.255.252
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1.100
vlan 100
nameif local
security-level 100
ip address 192.168.5.2 255.255.255.252
!
interface GigabitEthernet0/1.101
vlan 101
nameif vlan101
security-level 100
ip address 192.168.6.2 255.255.255.0
!
interface GigabitEthernet0/1.102
vlan 102
nameif vlan102
security-level 100
ip address 192.168.7.2 255.255.255.0
!
interface GigabitEthernet0/2
nameif -=ISP2=-
security-level 0
ip address Z.Z.Z.Z 255.255.255.0
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_4
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_5
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_6
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_7
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_8
protocol-object ip
protocol-object icmp
protocol-object gre
object-group service rdp tcp
port-object eq 3389
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service ss tcp-udp
port-object eq 5000
object-group protocol DM_INLINE_PROTOCOL_10
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_9
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_11
protocol-object ip
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_13
protocol-object ip
protocol-object gre
access-list LOCAL_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any
access-list LOCAL_access_in extended permit ip 10.192.2.0 255.255.254.0 any
access-list LOCAL_access_out extended permit object-group DM_INLINE_PROTOCOL_7 any any
access-list INTERNET_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any
access-list INTERNET_access_in extended permit ip host 10.10.17.18 any inactive
access-list INTERNET_access_in extended permit ip 10.0.0.0 255.0.0.0 any
access-list INTERNET_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list INTERNET_access_out extended permit object-group DM_INLINE_PROTOCOL_8 any any
access-list local_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list local_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list management_nat0_outbound extended permit ip 10.192.2.0 255.255.254.0 10.0.0.0 255.0.0.0
access-list 11 standard permit 10.0.0.0 255.0.0.0
access-list -=ISP2=-_cryptomap extended permit object-group DM_INLINE_PROTOCOL_13 192.168.6.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list INTERNET_cryptomap extended permit object-group DM_INLINE_PROTOCOL_11 192.168.7.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list vlan101_access_in extended permit object-group DM_INLINE_PROTOCOL_9 any any
access-list vlan102_access_in extended permit object-group DM_INLINE_PROTOCOL_10 any any
global (INTERNET) 1 interface
global (-=ISP2=-) 1 interface
nat (local) 0 access-list local_nat0_outbound
nat (local) 1 0.0.0.0 0.0.0.0
access-group INTERNET_access_in in interface INTERNET
access-group INTERNET_access_out out interface INTERNET
access-group INTERNET_access_in in interface -=ISP2=-
access-group INTERNET_access_out out interface -=ISP2=-
access-group vlan101_access_in in interface vlan101
access-group vlan102_access_in in interface vlan102
route -=ISP2=- 0.0.0.0 0.0.0.0 "DG3" 1 track 1
route INTERNET 0.0.0.0 0.0.0.0 "DG4" 200
route local 10.192.2.0 255.255.254.0 192.168.5.1 1
route INTERNET y.y.y.y 62.181.37.157 1
route INTERNET 192.168.3.0 255.255.255.0 "DG4" 1
route -=ISP2=- 192.168.4.0 255.255.255.0 "DG3" 1
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map -=ISP2=-_map0 1 match address -=ISP2=-_cryptomap
crypto map -=ISP2=-_map0 1 set peer x.x.x.x.
crypto map -=ISP2=-_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map -=ISP2=-_map0 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map -=ISP2=-_map0 interface -=ISP2=-
crypto map INTERNET_map1 1 match address INTERNET_cryptomap
crypto map INTERNET_map1 1 set peer y.y.y.y
crypto map INTERNET_map1 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map INTERNET_map1 interface INTERNET
crypto isakmp enable INTERNET
crypto isakmp enable -=ISP2=-
tunnel-group y.y.y.y type ipsec-l2l
tunnel-group y.y.y.y general-attributes
default-group-policy GroupPolicy4
tunnel-group y.y.y.y ipsec-attributes
pre-shared-key *
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy GroupPolicy2
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *
- Не поднимается GRE после падения канала., BJ, 23:13 , 20-Окт-12 (14)
Сталкивался. Дело в ASA, дело в том что она часто успевает создает коннекцию для GRE до поднятия IPSEC. А живая коннекция отправляет весь трафик по правилам на момент своего создания, тоесть мимо crypto.
Помогает "clear conn addr a.b.c.d" на обоих асах
- Не поднимается GRE после падения канала., foxdenis, 11:40 , 22-Окт-12 (15)
> Сталкивался. Дело в ASA, дело в том что она часто успевает создает
> коннекцию для GRE до поднятия IPSEC. А живая коннекция отправляет
> весь трафик по правилам на момент своего создания, тоесть мимо crypto.
> Помогает "clear conn addr a.b.c.d" на обоих асах Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они могут отрубаться по 10 раз за день, а объект круглосуточный.
- Не поднимается GRE после падения канала., BJ, 16:13 , 22-Окт-12 (16)
> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
> могут отрубаться по 10 раз за день, а объект круглосуточный.Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо этих правил, а значит без него коннекция создаватся не будет. Я эту идею не проверял, решил довести crypto до маршрутизаторов.
- Не поднимается GRE после падения канала., foxdenis, 13:55 , 23-Окт-12 (17)
>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
>> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
>> могут отрубаться по 10 раз за день, а объект круглосуточный.
> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
> этих правил, а значит без него коннекция создаватся не будет.
> Я эту идею не проверял, решил довести crypto до маршрутизаторов.Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до первого падения. Может еще есть идеи? Спасибо. PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
- Не поднимается GRE после падения канала., foxdenis, 09:26 , 24-Окт-12 (18)
>>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
>>> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
>>> могут отрубаться по 10 раз за день, а объект круглосуточный.
>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>> этих правил, а значит без него коннекция создаватся не будет.
>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
> первого падения. Может еще есть идеи? Спасибо.
> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.С ASA реализовать особо не получается, но и убирать ее нельзя. Через static nat можно протащить на роутер внешний IP и с него строить gre, но уже шифрованный?
- Не поднимается GRE после падения канала., foxdenis, 12:25 , 24-Окт-12 (19)
>[оверквотинг удален]
>>>> могут отрубаться по 10 раз за день, а объект круглосуточный.
>>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>>> этих правил, а значит без него коннекция создаватся не будет.
>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>> первого падения. Может еще есть идеи? Спасибо.
>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
> static nat можно протащить на роутер внешний IP и с него
> строить gre, но уже шифрованный?Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
- Не поднимается GRE после падения канала., fantom, 16:50 , 24-Окт-12 (20)
>[оверквотинг удален]
>>>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>>>> этих правил, а значит без него коннекция создаватся не будет.
>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>> первого падения. Может еще есть идеи? Спасибо.
>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>> static nat можно протащить на роутер внешний IP и с него
>> строить gre, но уже шифрованный?
> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
- Не поднимается GRE после падения канала., fantom, 17:10 , 24-Окт-12 (21)
>[оверквотинг удален]
>>>>> этих правил, а значит без него коннекция создаватся не будет.
>>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>>> первого падения. Может еще есть идеи? Спасибо.
>>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>> static nat можно протащить на роутер внешний IP и с него
>>> строить gre, но уже шифрованный?
>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) или воспользоваться какой-либо клиент/сервер архитектурой
- Не поднимается GRE после падения канала., foxdenis, 18:06 , 24-Окт-12 (22)
>[оверквотинг удален]
>>>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>>>> первого падения. Может еще есть идеи? Спасибо.
>>>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>>> static nat можно протащить на роутер внешний IP и с него
>>>> строить gre, но уже шифрованный?
>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
> или воспользоваться какой-либо клиент/сервер архитектурой Ну тут не вариант.
Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
Т.е. sysopt connection reclassify-vpn
Но не помогло тоже.
- Не поднимается GRE после падения канала., fantom, 10:18 , 25-Окт-12 (23)
>[оверквотинг удален]
>>>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>>>> static nat можно протащить на роутер внешний IP и с него
>>>>> строить gre, но уже шифрованный?
>>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>> или воспользоваться какой-либо клиент/сервер архитектурой
> Ну тут не вариант.
> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
> Т.е. sysopt connection reclassify-vpn
> Но не помогло тоже.Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки на ASA может и помочь...
- Не поднимается GRE после падения канала., foxdenis, 11:05 , 25-Окт-12 (24)
>[оверквотинг удален]
>>>>>> строить gre, но уже шифрованный?
>>>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>>> или воспользоваться какой-либо клиент/сервер архитектурой
>> Ну тут не вариант.
>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>> Т.е. sysopt connection reclassify-vpn
>> Но не помогло тоже.
> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
> на ASA может и помочь...Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более старших прошивок надо NAT переделывать, не очень хочется.
- Не поднимается GRE после падения канала., fantom, 11:44 , 25-Окт-12 (25)
>[оверквотинг удален]
>>>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>>>> или воспользоваться какой-либо клиент/сервер архитектурой
>>> Ну тут не вариант.
>>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>>> Т.е. sysopt connection reclassify-vpn
>>> Но не помогло тоже.
>> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
>> на ASA может и помочь...
> Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более
> старших прошивок надо NAT переделывать, не очень хочется.http://www.cisco.com/en/US/products/ps6120/products_configur... Не поможет?
- Не поднимается GRE после падения канала., foxdenis, 16:09 , 25-Окт-12 (26)
>[оверквотинг удален]
>>>> Ну тут не вариант.
>>>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>>>> Т.е. sysopt connection reclassify-vpn
>>>> Но не помогло тоже.
>>> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
>>> на ASA может и помочь...
>> Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более
>> старших прошивок надо NAT переделывать, не очень хочется.
> http://www.cisco.com/en/US/products/ps6120/products_configur...
> Не поможет?Поставил. Ситуация несколько изменилась.
Соответственно есть 2 провайдера на каждой асе и маршруты: route OUTSIDE 0.0.0.0 0.0.0.0 DG1 1
route outside2 0.0.0.0 0.0.0.0 DG2 15
route outside2 ASA2(ISP2) DG2 1
route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1 Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2 не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается GRE2. Далее после включения основного провайдера поднимается и GRE1. Т.е. в общем то резервирование работает, но все же хотелось бы чтобы GRE2 поднимался сам, без падения основного провайдера.
- Не поднимается GRE после падения канала., fantom, 17:00 , 25-Окт-12 (27)
>[оверквотинг удален]
> route outside2 0.0.0.0 0.0.0.0 DG2 15
> route outside2 ASA2(ISP2) DG2 1
> route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
> route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1
> Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
> Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2
> не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается
> GRE2. Далее после включения основного провайдера поднимается и GRE1.
> Т.е. в общем то резервирование работает, но все же хотелось бы чтобы
> GRE2 поднимался сам, без падения основного провайдера.Пишите в саппорт циски, может это баг... а задокументирванный баг -- это уже фича ;) - Не поднимается GRE после падения канала., foxdenis, 17:05 , 25-Окт-12 (28)
>[оверквотинг удален]
>> route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
>> route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1
>> Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
>> Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2
>> не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается
>> GRE2. Далее после включения основного провайдера поднимается и GRE1.
>> Т.е. в общем то резервирование работает, но все же хотелось бы чтобы
>> GRE2 поднимался сам, без падения основного провайдера.
> Пишите в саппорт циски, может это баг... а задокументирванный баг -- это
> уже фича ;) Создал тему, пока молчат.
- Не поднимается GRE после падения канала., Сергей, 20:59 , 01-Мрт-15 (29)
Все добрый день!Не стал открывать новую тему, но проблема точно такая же ..
Есть два белых IP и циски.. все маршрутизаторы отвечают .. туннель в какой то момент падает и не поднимается.
При этом не сказал бы что это связанно с падением основного канала (он на мониторинге, и с ним все ок)
Исключение составляет, что нет ASA, как в изложенной выше проблеме. R1
Tunnel14 is up, line protocol is down
Hardware is Tunnel
Description: to_nabcheln_r01
Internet address is 192.168.212.1/24 R2
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 192.168.212.2/24
Пытался включать и выключать туннели с одной и другой сторон - не помогло
clean int tunnel на R1 и R2 - не помогло
Помогает только перезагрузка R2 .. и жду день, другой нового падения новый канал и все по новой :(
- Не поднимается GRE после падения канала., Михаил, 11:03 , 10-Янв-17 (30)
>[оверквотинг удален]
> Internet address is 192.168.212.1/24
> R2
> Tunnel1 is up, line protocol is up
> Hardware is Tunnel
> Internet address is 192.168.212.2/24
> Пытался включать и выключать туннели с одной и другой сторон - не
> помогло
> clean int tunnel на R1 и R2 - не помогло
> Помогает только перезагрузка R2 .. и жду день, другой нового падения новый
> канал и все по новой :( Добрый день! Столкнулся с такой же проблемой, не нашли решения?
|
Версия для распечатки
Не поднимается GRE после падения канала., 
