форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите сконфитурить крипто тунель"

Сообщение от 3Raptor (ok) on 30-Июн-06, 16:16

Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу на интерфейсы пинги вылетают в тайм аут. первая: crypto isakmp policy 1 hash md5 authentication pre-share lifetime 3600 crypto isakmp key andreyandrey address 10.29.2.13 ! crypto ipsec transform-set transformer esp-null esp-md5-hmac mode transport ! crypto map ipsec_map 1 ipsec-isakmp set peer 10.29.2.13 set transform-set transformer match address 100 ! interface Tunnel0 ip vrf forwarding billing ip address 10.29.5.10 255.255.255.252 tunnel source Loopback0 tunnel destination 10.29.2.254 tunnel mode ipip crypto map ipsec_map ! interface Loopback0 ip vrf forwarding billing ip address 10.29.2.255 255.255.255.255 crypto map ipsec_map ! interface FastEthernet0/1 ip vrf forwarding billing ip address 1.1.61.250 255.255.255.192 duplex auto speed auto ! ! interface Serial1/1:1 ip vrf forwarding billing ip address 10.29.2.14 255.255.255.252 encapsulation ppp crypto map ipsec_map ! ! ip classless ip route 10.29.2.254 255.255.255.255 Serial1/1:1 ip route vrf billing 1.1.61.96 255.255.255.224 Tunnel0 ! access-list 100 permit ip host 10.29.2.14 host 10.29.2.13 ! Вторая: crypto isakmp policy 1 hash md5 authentication pre-share lifetime 3600 crypto isakmp key andreyandrey address 10.29.2.14 ! crypto ipsec transform-set transformer esp-null esp-md5-hmac mode transport ! crypto map ipsec_map 1 ipsec-isakmp set peer 10.29.2.14 set transform-set transformer match address 100 ! ! interface Tunnel0 ip vrf forwarding billing ip address 10.29.5.9 255.255.255.252 tunnel source Loopback0 tunnel destination 10.29.2.255 tunnel mode ipip crypto map ipsec_map ! interface Loopback0 ip vrf forwarding billing ip address 10.29.2.254 255.255.255.255 crypto map ipsec_map ! interface FastEthernet0/1 ip vrf forwarding billing ip address 1.1.61.97 255.255.255.224 duplex auto speed auto ! ! interface Serial1/0:1 ip vrf forwarding billing ip address 10.29.2.13 255.255.255.252 encapsulation ppp crypto map ipsec_map ! ip route 10.29.2.255 255.255.255.255 Serial1/0:1 ip route vrf billing 0.0.0.0 0.0.0.0 Tunnel0 ! access-list 100 permit ip host 10.29.2.13 host 10.29.2.14 !

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Помогите сконфитурить крипто тунель"

Сообщение от ilya (ok) on 30-Июн-06, 16:33

а зачем вы вешаете криптомапу на тунель и сериал? вы определитесь что вам надо GRE+IPSEC или просто IPSEC-тунель и какие пинги? куда?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Помогите сконфитурить крипто тунель"
	Сообщение от 3Raptor (ok) on 30-Июн-06, 17:01
	>а зачем вы вешаете криптомапу на тунель и сериал? >вы определитесь что вам надо GRE+IPSEC >или просто IPSEC-тунель > >и какие пинги? >куда? Нужен просто IPSEC-тунель. А на счет криптомапы, посмотрел в конфигах в инете. Не пинтуются циски между собой, крипто канал не поднимается.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Помогите сконфитурить крипто тунель"
	Сообщение от ilya (ok) on 30-Июн-06, 17:15
	>>а зачем вы вешаете криптомапу на тунель и сериал? >>вы определитесь что вам надо GRE+IPSEC >>или просто IPSEC-тунель >> >>и какие пинги? >>куда? > >Нужен просто IPSEC-тунель. >А на счет криптомапы, посмотрел в конфигах в инете. > >Не пинтуются циски между собой, крипто канал не поднимается. 1. убрать интерфейс тунель нафик 2. посмотреть документацию на циске http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080093c26.shtml нат есть?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Помогите сконфитурить крипто тунель"
	Сообщение от 3Raptor (ok) on 30-Июн-06, 17:36
	>>>а зачем вы вешаете криптомапу на тунель и сериал? >>>вы определитесь что вам надо GRE+IPSEC >>>или просто IPSEC-тунель >>> >>>и какие пинги? >>>куда? >> >>Нужен просто IPSEC-тунель. >>А на счет криптомапы, посмотрел в конфигах в инете. >> >>Не пинтуются циски между собой, крипто канал не поднимается. > > >1. убрать интерфейс тунель нафик >2. посмотреть документацию на циске >http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080093c26.shtml > >нат есть? Нат не используется
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Помогите сконфитурить крипто тунель"
	Сообщение от ilya (ok) on 03-Июл-06, 10:19
	>>>>а зачем вы вешаете криптомапу на тунель и сериал? >>>>вы определитесь что вам надо GRE+IPSEC >>>>или просто IPSEC-тунель >>>> >>>>и какие пинги? >>>>куда? >>> >>>Нужен просто IPSEC-тунель. >>>А на счет криптомапы, посмотрел в конфигах в инете. >>> >>>Не пинтуются циски между собой, крипто канал не поднимается. >> >> >>1. убрать интерфейс тунель нафик >>2. посмотреть документацию на циске >>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080093c26.shtml >> >>нат есть? > >Нат не используется ну вобщем тогда по ссылке смотрите + для тестров убрать vrf. потом при необходимости добавить и тестировать с ним.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Помогите сконфитурить крипто тунель"

Сообщение от Ilia Kuliev on 30-Июн-06, 17:39

Уберите GRE-туннель и используйте IPSec в туннельном режиме. Очень важно - правильно напишите acl. Имейте в виду, что пакеты, попадающие под действие acl - это именно те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Помогите сконфитурить крипто тунель"
	Сообщение от ASAvenkov on 03-Июл-06, 09:23
	>Уберите GRE-туннель и используйте IPSec в туннельном режиме. >Очень важно - правильно напишите acl. >Имейте в виду, что пакеты, попадающие под действие acl - это именно >те пакеты, которые будут шифроваться и туннелироваться. В этом смысл acl. > Для тестирования поднятия тунеля, лучше использовать хосты из внутренних сеток.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Помогите сконфитурить крипто тунель"

Сообщение от angelweb (ok) on 03-Июл-06, 10:43

>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу >на интерфейсы пинги вылетают в тайм аут. Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "Помогите сконфитурить крипто тунель"
	Сообщение от 3Raptor (ok) on 03-Июл-06, 16:42
	>>Есть 2 циски 2811, между ними поднят тунель. При попытке повесить мапу >>на интерфейсы пинги вылетают в тайм аут. > >Рабочие конфиги с тунелем глянь тут http://faq-cisco.ru/page.php?id=3 Спасибо за ссылку! Без GRE-тунеля все поднялось, спасибо за помощь. При использовании варианта с тунелем через лупбак необходимо прописывать мапу на нем? А то чето сомневаюсь.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]