 Tunnel Cisco2811-Dir620-Cisco877,  Lhs, 22-Ноя-12, 09:19 [смотреть все]Доброго времени суток.
Примите новичка...Ситуация такая: требуется выходить в своею сеть с произвольного географического места с оборудованием, которое не умеет поднимать VPN. В наличии есть Cisco 2811((C2800NM-ADVSECURITYK9-M, Version 12.4(24)T6, RELEASE SOFTWARE (fc2)), смотрящий в интернет с белым адресом. Для удаленного подключения есть Cisco 877 ((C870-ADVIPSERVICESK9-M), Version 12.4(24)T, RELEASE SOFTWARE (fc1)). Для подключения с877 к интеренету есть роутер D-Link Dir-620.
Собственно проблема: для первоначальной настройки делаю связь напрямую без участия провайдеров: Cisco2811-Dir620-Cisco877. Из прочтенного на форумах выяснил, что туннель через NAT может бегать только криптованный. Туннель не поднимается, а именно: после включения с877 туннель поднимается на примерно 1 минуту и выключается, больше попыток подняться не делает. Если из схемы исключить Dir-620, то туннель поднимается и функцианирует нормально. Что я делаю не так? Ведь с компьютера на VPN сервер под виндой сквозь этот же dir-620 VPN соединение поднимается без вопросов. Кусок конфига с2811 crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
ip tcp selective-ack
ip tcp timestamp
ip tcp synwait-time 10
ip tcp path-mtu-discovery
!
interface Tunnel21
ip address 192.168.254.1 255.255.255.0
no ip redirects
ip nhrp authentication SECRET8
ip nhrp network-id 21
ip nhrp holdtime 60
keepalive 20 3
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 21
!
interface FastEthernet0/1
ip address 192.168.99.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
no mop enabled
crypto map VPN Кусок конфига С877
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 192.168.99.1
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 192.168.99.1
set transform-set 3DES_MD5
match address SPOKE
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
interface Tunnel21
ip address 192.168.254.2 255.255.255.0
ip nhrp authentication SECRET8
ip nhrp map 192.168.254.1 192.168.99.1
ip nhrp network-id 21
ip nhrp holdtime 60
ip nhrp nhs 192.168.254.1
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination 192.168.99.1
tunnel key 21
!
interface FastEthernet0
description Internet
switchport access vlan 2
random-detect
!
interface Vlan2
description Vlan2-Fa0
ip address 192.168.0.2 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
snmp trap ip verify drop-rate
crypto map VPN
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Vlan2 192.168.0.1
ip route 0.0.0.0 0.0.0.0 Null0 254
ip http server
!
!
ip nat inside source list 199 interface Vlan2 overload
!
ip access-list extended SPOKE
permit gre host 192.168.0.2 host 192.168.99.1
!
access-list 199 permit ip 10.97.59.224 0.0.0.31 any
no cdp run на 2811 дебаг заканчивается так:
066935: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Sending an IKE IPv4 Packet.
066936: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Node -683379492, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
066937: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2
066938: Nov 22 08:09:21.502 PCTime: IPSEC(key_engine): got a queue event with 1 KMI message(s)
066939: Nov 22 08:09:21.502 PCTime: IPSEC(policy_db_add_ident): src 192.168.99.1, dest 192.168.0.2, dest_port 0 066940: Nov 22 08:09:21.506 PCTime: IPSEC(create_sa): sa created,
(sa) sa_dest= 192.168.99.1, sa_proto= 50,
sa_spi= 0x810EF8D6(2165242070),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2033
sa_lifetime(k/sec)= (4557475/3600)
066941: Nov 22 08:09:21.506 PCTime: IPSEC(create_sa): sa created,
(sa) sa_dest= 10.97.57.238, sa_proto= 50,
sa_spi= 0xFF34F5A7(4281660839),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2034
sa_lifetime(k/sec)= (4557475/3600)
066942: Nov 22 08:09:21.518 PCTime: ISAKMP (1020): received packet from 10.97.57.238 dport 4500 sport 4500 Global (R) QM_IDLE
066943: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):deleting node -683379492 error FALSE reason "QM done (await)"
066944: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):Node -683379492, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
066945: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE
066946: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine): got a queue event with 1 KMI message(s)
066947: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
066948: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine_enable_outbound): enable SA with spi 4281660839/50
066949: Nov 22 08:09:21.518 PCTime: IPSEC(update_current_outbound_sa): updated peer 10.97.57.238 current outbound sa to SPI FF34F5A7
066956: Nov 22 08:10:11.518 PCTime: ISAKMP:(1020):purging node -683379492
на 877 дебаг заканчивается так:
000172: *Nov 21 19:28:51.199 PCTime: Crypto mapdb : proxy_match
src addr : 192.168.0.2
dst addr : 192.168.99.1
protocol : 47
src port : 0
dst port : 0
000173: *Nov 21 19:28:51.199 PCTime: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer 192.168.99.1
000174: *Nov 21 19:28:51.199 PCTime: IPSEC(policy_db_add_ident): src 192.168.0.2, dest 192.168.99.1, dest_port 0
000175: *Nov 21 19:28:51.203 PCTime: IPSEC(create_sa): sa created,
(sa) sa_dest= 192.168.0.2, sa_proto= 50,
sa_spi= 0xFF34F5A7(4281660839),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 1
sa_lifetime(k/sec)= (4504604/3600)
000176: *Nov 21 19:28:51.203 PCTime: IPSEC(create_sa): sa created,
(sa) sa_dest= 192.168.99.1, sa_proto= 50,
sa_spi= 0x810EF8D6(2165242070),
sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2
sa_lifetime(k/sec)= (4504604/3600)
000177: *Nov 21 19:28:51.203 PCTime: IPSEC(update_current_outbound_sa): updated peer 192.168.99.1 current outbound sa to SPI 810EF8D6
000178: *Nov 21 19:28:52.939 PCTime: %LINK-3-UPDOWN: Interface Tunnel21, changed state to up
000179: *Nov 21 19:28:53.939 PCTime: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel21, changed state to up
000180: *Nov 21 19:28:54.687 PCTime: %SYS-5-CONFIG_I: Configured from console by admin21 on console
000181: *Nov 21 19:29:41.199 PCTime: ISAKMP:(2001):purging node -683379492
000182: *Nov 21 19:30:11.943 PCTime: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel21, changed state to down
cisco_877#
|
- Tunnel Cisco2811-Dir620-Cisco877, Николай, 11:30 , 22-Ноя-12 (1)
DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 12:02 , 22-Ноя-12 (2)
> DMVPN технология цисковская проприетарная и другими производителями не поддерживается. т.е. если на пути пакета от Cisco к Cisco встретится оборудование D-Link, то связь оборвется - так понимать?
- Tunnel Cisco2811-Dir620-Cisco877, Николай, 12:33 , 22-Ноя-12 (3)
>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
> т.е. если на пути пакета от Cisco к Cisco встретится оборудование
> D-Link, то связь оборвется - так понимать?Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты - какая у него функциональная нагрузка.
- Tunnel Cisco2811-Dir620-Cisco877, fantom, 12:40 , 22-Ноя-12 (4)
>>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
>> т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>> D-Link, то связь оборвется - так понимать?
> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
> - какая у него функциональная нагрузка.Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN через НАТ...
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 12:43 , 22-Ноя-12 (5)
>>>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
>>> т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>>> D-Link, то связь оборвется - так понимать?
>> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
>> - какая у него функциональная нагрузка.
> Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN
> через НАТ...Из того, что я прочел на форумах, просто туннели через NAT не бегают, именно для этого их оборачивают в IPSec, конфиг срисовал с другого форума как заведомо рабочий... Схема простая до безобразия Cisco 2800 - Dir-620 - Cisco877 (за NATом)
- Tunnel Cisco2811-Dir620-Cisco877, fantom, 13:01 , 22-Ноя-12 (6)
>[оверквотинг удален]
>>>> т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>>>> D-Link, то связь оборвется - так понимать?
>>> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
>>> - какая у него функциональная нагрузка.
>> Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN
>> через НАТ...
> Из того, что я прочел на форумах, просто туннели через NAT не
> бегают, именно для этого их оборачивают в IPSec, конфиг срисовал с
> другого форума как заведомо рабочий...
> Схема простая до безобразия Cisco 2800 - Dir-620 - Cisco877 (за NATом) Ну теперь надо изучить вопрос работы ipsec через НАТ ;) там тоже не все гладко...
- Tunnel Cisco2811-Dir620-Cisco877, karen durinyan, 13:13 , 22-Ноя-12 (7)
> DMVPN технология цисковская проприетарная и другими производителями не поддерживается. вообще то удалось дружить linux как dmvpn spoke и cisco как dmvpn hub...
- Tunnel Cisco2811-Dir620-Cisco877, бен Бецалель, 15:13 , 22-Ноя-12 (8)
если нужно это
"Ситуация такая: требуется выходить в своею сеть с произвольного географического места"поднимите на 2811 EasyVPN Server
и цепляйтесь к нему цысковским софтовым клиентом
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 15:46 , 22-Ноя-12 (9)
> если нужно это
> "Ситуация такая: требуется выходить в своею сеть с произвольного географического места"
> поднимите на 2811 EasyVPN Server
> и цепляйтесь к нему цысковским софтовым клиентом мне нужен туннель, чтоб подсоединить оборудование не на базе ПЭВМ, т.е. само оно поднимать туннель не может, так же как и цисковый софтовый клиент, а IP адрес нужен реальный, а не заNATченный
- Tunnel Cisco2811-Dir620-Cisco877, GolDi, 16:16 , 22-Ноя-12 (10)
>> если нужно это
>> "Ситуация такая: требуется выходить в своею сеть с произвольного географического места"
>> поднимите на 2811 EasyVPN Server
>> и цепляйтесь к нему цысковским софтовым клиентом
> мне нужен туннель, чтоб подсоединить оборудование не на базе ПЭВМ, т.е. само
> оно поднимать туннель не может, так же как и цисковый софтовый
> клиент, а IP адрес нужен реальный, а не заNATченный DMVPN прекпасно работает за NAT-ом.
Если у вас через DLINK не работает, то с ним и разберайтесь.
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 16:33 , 22-Ноя-12 (11)
> DMVPN прекпасно работает за NAT-ом.
> Если у вас через DLINK не работает, то с ним и разберайтесь. Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?
- Tunnel Cisco2811-Dir620-Cisco877, fantom, 16:41 , 22-Ноя-12 (12)
>> DMVPN прекпасно работает за NAT-ом.
>> Если у вас через DLINK не работает, то с ним и разберайтесь.
> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?VPN - слишком общее понятие, на винде тот же протокол пользуете?
судя по тому, что после старта через минуту гаснет и не поднимается - это и есть время хжизни трансляции в длинке, по каким-то причинам он решает далее сию трансляцию в таблице не хранить, но вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ на который вы получите лучик в конце тоннеля :)
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 16:46 , 22-Ноя-12 (13)
>>> DMVPN прекпасно работает за NAT-ом.
>>> Если у вас через DLINK не работает, то с ним и разберайтесь.
>> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?
> VPN - слишком общее понятие, на винде тот же протокол пользуете?
> судя по тому, что после старта через минуту гаснет и не поднимается
> - это и есть время хжизни трансляции в длинке, по каким-то
> причинам он решает далее сию трансляцию в таблице не хранить, но
> вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ
> на который вы получите лучик в конце тоннеля :) Очень на это надеюсь. Поэтому задаю вопрос сюда, чтоб меня направили в нужном направлении... Могу выложить полный дебаг, только скажите чего... :|
- Tunnel Cisco2811-Dir620-Cisco877, GolDi, 21:38 , 22-Ноя-12 (14)
>[оверквотинг удален]
>>>> Если у вас через DLINK не работает, то с ним и разберайтесь.
>>> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?
>> VPN - слишком общее понятие, на винде тот же протокол пользуете?
>> судя по тому, что после старта через минуту гаснет и не поднимается
>> - это и есть время хжизни трансляции в длинке, по каким-то
>> причинам он решает далее сию трансляцию в таблице не хранить, но
>> вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ
>> на который вы получите лучик в конце тоннеля :)
> Очень на это надеюсь. Поэтому задаю вопрос сюда, чтоб меня направили в
> нужном направлении... Могу выложить полный дебаг, только скажите чего... :| DLINK-а конфиг и логи
- Tunnel Cisco2811-Dir620-Cisco877, spiegel, 23:52 , 22-Ноя-12 (15)
попробуйте так:
на с2811:interface Tunnel21
изменить:
tunnel source <внешний_интерфейс>
добавить:
ip nhrp map multicast dynamic
ip mtu 1416 на с877: interface Tunnel21
изменить:
tunnel source vlan2
ip nhrp map 192.168.254.1 <адрес внешн. инт. c2811>
no tunnel destination 192.168.99.1 (nhrp сделает это за нас)
добавить:
no ip redirects
ip mtu 1416
ip nhrp map multicast <адрес внешн. инт. c2811>
ip nhrp registration no-unique попробуйте сперва без криптомап, тем более их надо вешать на внешние интерфейсы.
и еще надо нат на с2811 проверить, судя по дебагу, acl для ната надо подправить.
- Tunnel Cisco2811-Dir620-Cisco877, spiegel, 00:07 , 23-Ноя-12 (16)
P.S. Если сеть небольшая, не проще ли поднять статические VTI?
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 06:46 , 23-Ноя-12 (17)
> P.S. Если сеть небольшая, не проще ли поднять статические VTI?1)сеть небольшая.
2)схема (cisco)-(dir-620)-(cisco) сделана только ради настройки, именно поэтому используется внутренний интерфейс - потому что на время настройки я изнутри подключаюсь.
3) без криптомап и без NAT - работает прекрасно. С криптомапами и без NAT работает так же хорошо, хоть и чувствительно медленнее. Судя по теории, которую я вычитал на форумах без криптомапа через NAT вообще не пройдет, что собственно подтвердил практикой... Ваши предложения попробую, отпишусь.
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 10:16 , 23-Ноя-12 (18)
> Ваши предложения попробую, отпишусь.Частичная победа: туннель поднялся, но пинги только от remote на hub бегают. Hub
interface Tunnel21
ip address 192.168.254.1 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication SECRET8
ip nhrp map multicast dynamic
ip nhrp network-id 21
ip nhrp holdtime 60
keepalive 20 3
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 21
end ping 192.168.254.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Remote
interface Tunnel21
ip address 192.168.254.2 255.255.255.0
ip mtu 1416
ip nhrp authentication SECRET8
ip nhrp map 192.168.254.1 192.168.99.1
ip nhrp map multicast 192.168.99.1
ip nhrp network-id 21
ip nhrp holdtime 60
ip nhrp nhs 192.168.254.1
ip nhrp registration no-unique
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination 192.168.99.1
tunnel key 21
end
ping 192.168.254.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms
- Tunnel Cisco2811-Dir620-Cisco877, spiegel, 10:44 , 23-Ноя-12 (19)
>[оверквотинг удален]
> keepalive 20 3
> tunnel source 192.168.0.2
> tunnel destination 192.168.99.1
> tunnel key 21
> end
> ping 192.168.254.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms Поздравляю, все правильно. Теперь надо на обоих роутерах включить например EIGRP и
пропагандтровать локальные сети через туннели.
На всякий случай проверьте:
sh ip nhrp nhs
sh ip nhrp brief
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 11:57 , 23-Ноя-12 (20)
н-да... держится 1 минуту 18 сек после подъема туннель падает... - Tunnel Cisco2811-Dir620-Cisco877, fantom, 12:16 , 23-Ноя-12 (21)
> н-да... держится 1 минуту 18 сек после подъема туннель падает...Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться что это проблема именно длинкового НАТ-а...
- Tunnel Cisco2811-Dir620-Cisco877, Lhs, 12:17 , 23-Ноя-12 (22)
>> н-да... держится 1 минуту 18 сек после подъема туннель падает...
> Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться
> что это проблема именно длинкового НАТ-а...Попробую, только на следующей неделе, под рукой пока другого нет...
- Tunnel Cisco2811-Dir620-Cisco877, spiegel, 17:05 , 23-Ноя-12 (23)
>>> н-да... держится 1 минуту 18 сек после подъема туннель падает...
>> Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться
>> что это проблема именно длинкового НАТ-а...
> Попробую, только на следующей неделе, под рукой пока другого нет...Не совсем понял критерии выбора nhrp в с вязке с DMVPI да еще через нат. По моему это не Ваш вариант. Как уже выше писали, лучше поднять esyVPN Remote на c877. Конфигурация nat+nhrp+DMVPI+IPSec+EIGRP при какой-нибудь трабле обернется кошмаром при устранении неисправностей. Чтобы не запутаться окончательно, установите cisco configuration proffesional (можно с торента скачать). Конфигурация железок упростится в разы.
|
Версия для распечатки
