forum.opennet.ru - "Помогите с ipsec на туннеле" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите с ipsec на туннеле"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с ipsec на туннеле"
Сообщение от Stranger007 (ok) on 12-Сен-07, 09:44
настроил два туннеля между Cisco 871 и Сisco 871, все работает, один туннель основной, воторой резервный, повесил шифрование, но оно не работает, не могу разобраться почему. вот конфиги Маршрутизатор 1: Using 3137 out of 131072 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 1300 ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable secret 5 $1$cQON$gxFSpYZO2RlBclwysJ0531 enable password admin ! no aaa new-model ! resource policy ! ip subnet-zero ip cef ! ! ! ! ! ! crypto pki trustpoint TP-self-signed-3671855315 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3671855315 revocation-check none rsakeypair TP-self-signed-3671855315 ! ! crypto pki certificate chain TP-self-signed-3671855315 certificate self-signed 01 nvram:IOS-Self-Sig#350A.cer username admin privilege 15 password 0 admin ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 12345 address 192.168.57.2 crypto isakmp key 54321 address 192.168.58.2 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! ! crypto map CRYPTO_POLICY1 1 ipsec-isakmp description $$$for Primary Channel$$$ set peer 192.168.57.2 set ip access-group 170 in set transform-set ESP-3DES-SHA match address 100 qos pre-classify ! crypto map CRYPTO_POLICY2 2 ipsec-isakmp description $$$for Backup Channel$$$ set peer 192.168.58.2 set ip access-group 170 in set transform-set ESP-3DES-SHA match address 100 qos pre-classify ! ! ! ! interface Tunnel0 description $$$Primary Channel Tunnel$$$ bandwidth 256 ip address 192.168.57.1 255.255.255.0 delay 16 tunnel source 10.67.123.1 tunnel destination 10.67.123.2 tunnel mode ipip crypto map CRYPTO_POLICY1 ! interface Tunnel1 description $$$Backup Channel Tunnel$$$ bandwidth 128 ip address 192.168.58.1 255.255.255.0 delay 32 tunnel source 10.67.124.1 tunnel destination 10.67.124.2 tunnel mode ipip crypto map CRYPTO_POLICY2 ! interface FastEthernet0 description $$$Primary Channel$$$ bandwidth 256 switchport access vlan 2 delay 16 ! interface FastEthernet1 description $$$Backup Channel$$$ bandwidth 128 switchport access vlan 3 delay 32 ! interface FastEthernet2 shutdown ! interface FastEthernet3 shutdown ! interface FastEthernet4 description $$$Ethernet Lan$$$ ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! interface Vlan2 description $$$Primary Channel$$$ bandwidth 256 ip address 10.67.123.1 255.255.255.0 delay 16 crypto map CRYPTO_POLICY1 ! interface Vlan3 description $$$Backup Channel$$$ bandwidth 128 ip address 10.67.124.1 255.255.255.0 delay 32 ! router eigrp 170 network 192.168.1.0 network 192.168.57.0 network 192.168.58.0 auto-summary ! ip classless ! ! ip http server ip http authentication local ip http secure-server ! access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255 access-list 170 permit ip any any access-list 170 permit icmp any any access-list 170 permit udp any any eq isakmp snmp-server community public RO ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 privilege level 15 password admin login local transport input telnet ssh ! scheduler max-task-time 5000 end ------------------------------------------------------------------------- ------------------------------------------------------------------------- Маршрутизатор 2: Using 3038 out of 131072 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 1301 ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable secret 5 $1$1oOg$r8YharNDEGgwwyHq5j0480 enable password admin ! username admin privilege 15 password 0 admin no aaa new-model ip subnet-zero ip cef ! ! ! ! ip ips po max-events 100 no ftp-server write-enable ! ! ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 54321 address 192.168.58.1 crypto isakmp key 12345 address 192.168.57.1 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map CRYPTO_POLICY1 1 ipsec-isakmp description $$$for Primary Channel$$$ set peer 192.168.57.1 set ip access-group 170 in set transform-set ESP-3DES-SHA match address 100 qos pre-classify ! crypto map CRYPTO_POLICY2 2 ipsec-isakmp description $$$for Backup Channel$$$ set peer 192.168.58.1 set ip access-group 170 in set transform-set ESP-3DES-SHA match address 100 qos pre-classify ! ! ! interface Tunnel0 description $$$Primary Channel Tunnel$$$ bandwidth 256 ip address 192.168.57.2 255.255.255.0 delay 16 tunnel source 10.67.123.2 tunnel destination 10.67.123.1 tunnel mode ipip crypto map CRYPTO_POLICY1 ! interface Tunnel1 description $$$Backup Channel Tunnel$$$ bandwidth 128 ip address 192.168.58.2 255.255.255.0 delay 32 tunnel source 10.67.124.2 tunnel destination 10.67.124.1 tunnel mode ipip crypto map CRYPTO_POLICY2 ! interface FastEthernet0 description $$$Primary Channel$$$ bandwidth 256 switchport access vlan 2 no ip address delay 16 ! interface FastEthernet1 description $$$Backup Channel$$$ bandwidth 128 switchport access vlan 3 no ip address delay 32 ! interface FastEthernet2 no ip address shutdown ! interface FastEthernet3 no ip address shutdown ! interface FastEthernet4 description $$$Ethernet Lan$$$ ip address 192.168.13.1 255.255.255.0 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! interface Vlan2 description $$$Primary Channel$$$ bandwidth 256 ip address 10.67.123.2 255.255.255.0 delay 16 ! interface Vlan3 description $$$Backup Channel$$$ bandwidth 123 ip address 10.67.124.2 255.255.255.0 delay 32 ! router eigrp 170 network 192.168.13.0 network 192.168.57.0 network 192.168.58.0 auto-summary ! ip classless ! ! ip http server ip http authentication local ip http secure-server ! access-list 100 permit ip 192.168.13.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 170 permit ip any any access-list 170 permit icmp any any access-list 170 permit udp any any eq isakmp snmp-server community public RO ! ! control-plane ! ! line con 0 no modem enable transport preferred all transport output all line aux 0 transport preferred all transport output all line vty 0 4 privilege level 15 password admin login local transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 end Помогите пожалуйста настроить шифрование на туннелях...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Помогите с ipsec на туннеле, makc, 12:25 , 12-Сен-07, (1)

Помогите с ipsec на туннеле, Stranger007, 13:04 , 12-Сен-07, (2)

Помогите с ipsec на туннеле, Изгой, 14:43 , 12-Сен-07, (3)

Помогите с ipsec на туннеле, dxer, 17:16 , 12-Сен-07, (4)

Помогите с ipsec на туннеле, Stranger007, 07:23 , 13-Сен-07, (5)

Помогите с ipsec на туннеле, RPaha, 08:07 , 13-Сен-07, (6)

Помогите с ipsec на туннеле, Изгой, 09:44 , 13-Сен-07, (7)

Помогите с ipsec на туннеле, Stranger007, 10:19 , 13-Сен-07, (8)

Помогите с ipsec на туннеле, Stranger007, 10:26 , 13-Сен-07, (9)

Помогите с ipsec на туннеле, Изгой, 11:19 , 13-Сен-07, (10)

Помогите с ipsec на туннеле, Stranger007, 12:58 , 13-Сен-07, (11)

Помогите с ipsec на туннеле, RPaha, 13:15 , 13-Сен-07, (12)

Помогите с ipsec на туннеле, Изгой, 15:01 , 13-Сен-07, (13)

Помогите с ipsec на туннеле, Stranger007, 15:15 , 13-Сен-07, (14)

Помогите с ipsec на туннеле, Изгой, 15:38 , 13-Сен-07, (15)
Помогите с ipsec на туннеле, Stranger007, 07:19 , 14-Сен-07, (16)
Помогите с ipsec на туннеле, Makc, 06:34 , 19-Сен-07, (17)
Помогите с ipsec на туннеле, Stranger007, 07:38 , 19-Сен-07, (18)

Сообщения по теме [Сортировка по времени, UBB]

1. "Помогите с ipsec на туннеле"

Сообщение от makc (??) on 12-Сен-07, 12:25

Добрый день!

1.внешине IP адреса пингуються????
2."crypto map CRYPTO_POLICY1 1 ipsec-isakmp" на интерфейсах должны быть разные. Например на 1 интере "CRYPTO_POLICY1 1", а на 2 интере "backup1".
3.Если не пойдёт то желательно бы схему, я так лучше понимаю ситуацию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 12-Сен-07, 13:04

Упрощенно схема следующая:
Lan-FE4-Cisco871=fe0,1=vlan2,3=tunnel0,1=2провайдера=tunnel0,1=vlan2,3=fe0,1=Cisco871-Lan
vlan необходимы в связи с невозможностью повесить на Ethernet порты ip адреса.
отбросим один туннель дабы схема проще была
Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan
Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым.
Но дело в том что до этого я так и делал, и не работало.
Сейчас скину конфиг получившийся..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите с ipsec на туннеле"

Сообщение от Изгой (??) on 12-Сен-07, 14:43

>[оверквотинг удален]
>
>Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan
>
>Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым.
>
>
>Но дело в том что до этого я так и делал, и
>не работало.
>
>Сейчас скину конфиг получившийся..
Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик ip ?? Нельзя оставить один ipsec туннель ?  Да и попробуйте переключить ipsec  в транспортный режим .. он вроде по умолчанию в туннелном находиться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите с ipsec на туннеле"

Сообщение от dxer on 12-Сен-07, 17:16

>[оверквотинг удален]
>>
>>Но дело в том что до этого я так и делал, и
>>не работало.
>>
>>Сейчас скину конфиг получившийся..
>
>Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик
>ip ?? Нельзя оставить один ipsec туннель ?  Да и
>попробуйте переключить ipsec  в транспортный режим .. он вроде по
>умолчанию в туннелном находиться.
Абсолютно согласен.
Тем более от этого и не работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 13-Сен-07, 07:23

согласен, "tuneel mode ipip" отключаю что бы проверить работает ли ipsec,  а он как назло не работает, вчера до вечера сидел, так и не смог настроить, начал с простого, повесил ipsec на соединение между fe4 и fe4, так как эти порты L3 и на них можно повесить ip. Работает. Потом перекинул  кабель на соединение fe0-fe0, запустил их в vlan2, на vlan2 на обоих концах повесил ip адреса, настроил ipsec. Работает.
Но после на vlan2 повесил tunnel 0, ipsec по прежнему работал на vlan2, но туннель не работает.
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 12345 address 192.168.57.2
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto map CRYPTO_POLICY 1 ipsec-isakmp
set peer 192.168.57.2
set transform-set VPN
match address 100
!
interface Tunnel0
ip address 192.168.58.1 255.255.255.0
tunnel source 192.168.57.1
tunnel destination 192.168.57.2
crypto map CRYPTO_POLICY
!
interface FastEthernet0
switchport access vlan 2
!
interface Vlan2
ip address 192.168.57.1 255.255.255.0
crypto map CRYPTO_POLICY
!
router eigrp 170
network 192.168.58.0
auto-summary
!
ip classless
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip any any
на втором маршрутизаторе все зеркально.
и вот что пишет при попытке пингования туннельного ip
1301#ping 192.168.58.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.58.1, timeout is 2 seconds:
*Mar  3 06:56:41.715: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p
acket.
        (ip) vrf/dest_addr= /192.168.57.1, src_addr= 192.168.57.2, prot= 47.....
Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помогите с ipsec на туннеле"

Сообщение от RPaha (ok) on 13-Сен-07, 08:07

Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy?
Помоему надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помогите с ipsec на туннеле"

Сообщение от Изгой (??) on 13-Сен-07, 09:44

>Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy?
>
>Помоему надо.
Знаете тут надо вам разобраться что отрабатывает в начале а что в конце , в результате инкапсуляции какие ip адресса должен отрабатывать ipsec для создания туннеля , то есть сначала отрабатывает туннелирование , потом отрабатывает ipsec туннелирование так помоему ?? ..
что я сделал бы на вашем месте , убрал бы второй туннель (резервный ) делал бы с одним , убрал бы динамическую маршрутизацию на время теста , прописал бы статику , проверил списки доступа , или убрал бы их оставил тока отрабатывающий на ipsec , в таком упрощённом виде попробывал бы, ищите более лёгких путей , а потом всё таки зачем нужен туннель в туннеле ipsec не хватает ?? просто интерестно видел такие конфиги непонимаю зачем так делают... к сожелению сейчас двух роутеров нет чтоб смастерить стенд помочь не могу тока может дурацкими советами -)
Так какие адреса должен отрабатывать ipsec ?? если к нему приходит туннельный трафик , может попробывать туннели посадить на лупбэк интерфейсы ?? с адресами у которых префикс /32 ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 13-Сен-07, 10:19

сделал упрощенную схему, повесил ipsec на vlan, сунул это все в tunnel, маршрутизация пока статиком, с tunnel убрал crypto map, короче работает вроде. Ключи если разные не пингуется ничего, ставишь ключи одинаковые и все работает. Я правильно понял что это как раз и работает ipsec?
ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов, а вот crypto map должны быть разными для разных интерфейсов.
Туннели (tunnel 0 и tunnel 1) мне нужны для динамической маршрутизации. и исчо будет использоваться QOS для распределения ширины канала для разных служб, а IPSEC туннель эту штуку не держит, так что нужны они мне. А два их потому что соединение будет через двух разных провайдеров, основного и резервного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 13-Сен-07, 10:26

Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого сюда насчет настройки туннеля писал, помогли...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Помогите с ipsec на туннеле"

Сообщение от Изгой (??) on 13-Сен-07, 11:19

>Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь
>мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого
>сюда насчет настройки туннеля писал, помогли...
Если получиться оставте конфиги с двух сторон , может потребуеться , крипто мар нужно вешать ,  насколько я помню без этого вроде как ipsec не подымаеться...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 13-Сен-07, 12:58

не спорю, crypto map вешать обязательно надо, но только на vlan, tunnel нужен для другого, по нему уже будут бегать пакеты от vlan, а на нем ipsec. Конфиги оставлю, еще не все дописал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Помогите с ipsec на туннеле"

Сообщение от RPaha (ok) on 13-Сен-07, 13:15

>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов,
>а вот crypto map должны быть разными для разных интерфейсов.
Раз так, то как крипто мап узнает какую полиси использовать?  Я Раньше думал что их сопоставление осуществляется на основании индексов.
crypto isakmp policy 16
сrypto map nolan 16 ipsec-isakmp
в этом случае на основании  "16"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Помогите с ipsec на туннеле"

Сообщение от Изгой (??) on 13-Сен-07, 15:01

>>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов,
>>а вот crypto map должны быть разными для разных интерфейсов.
>
>Раз так, то как крипто мап узнает какую полиси использовать?  Я
>Раньше думал что их сопоставление осуществляется на основании индексов.
>
>crypto isakmp policy 16
>сrypto map nolan 16 ipsec-isakmp
>
> в этом случае на основании  "16"
Политик может быть много , на первой стадии ике идут переговоры о применении политики одной и другой стороны , если в перечни двух сторон имеються две одинаковые политики стороны договариваються о применение данной политики.. пишу на память давно уже  неповторял данную тему .. но что то в этом роде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 13-Сен-07, 15:15

Crypto isakmp policy у меня одна, а crypto map два, и оба действуют по правилу написанному в crypto isakmp policy. Короче, все сделал. Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении одного провайдера, Cisco в течении 30 секунд переключается на резервный канал. ipsec работает по-прежнему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Помогите с ipsec на туннеле"

Сообщение от Изгой (??) on 13-Сен-07, 15:38

>Crypto isakmp policy у меня одна, а crypto map два, и оба
>действуют по правилу написанному в crypto isakmp policy. Короче, все сделал.
>Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении
>одного провайдера, Cisco в течении 30 секунд переключается на резервный канал.
>ipsec работает по-прежнему.
Ну и для потомков и для моей библиотеки конфигов ... конфиги в студию.. вы обещали... -)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 14-Сен-07, 07:19

Для потомков как и обещал.... -)
это конфиг резервирования канала, но он простой, настольный так сказать, для того что бы все это дело заработало в реальной ситуации надо добавить статические маршруты до шлюзов обоих провайдеров на обоих концах, в статике указать что-то вроде этого
ip route "tunnel destination IP" "шлюз провайдера", а не то не найдет маршрутизатор другой конец туннеля. Второй конфиг зеркало этого, двойки на единички, единички на двойки поменять и все. Благим советом будет загнать еще все сетки под маску 248 или что-то вроде нее, а не то используется в каждой из них по 2 адреса.
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key qwert address 10.67.123.2
crypto isakmp key asdfg address 10.67.124.2
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto map TUNNEL0 1 ipsec-isakmp
description $$$Crypto Policy for Primary Channel$$$
set peer 10.67.123.2
set transform-set VPN
match address IPSEC-TUN0
qos pre-classify
!
crypto map TUNNEL1 1 ipsec-isakmp
description $$$Crypto Policy for Backup Channel$$$
set peer 10.67.124.2
set transform-set VPN
match address IPSEC-TUN1
qos pre-classify
!
interface Tunnel0
description $$$Primary Channel$$$
bandwidth 256
ip address 192.168.57.1 255.255.255.0
delay 16
tunnel source 10.67.123.1
tunnel destination 10.67.123.2
!
interface Tunnel1
description $$$Backup Channel$$$
bandwidth 128
ip address 192.168.58.1 255.255.255.0
delay 32
tunnel source 10.67.124.1
tunnel destination 10.67.124.2
!
interface FastEthernet0
description $$$Primary Channel$$$
bandwidth 256
switchport access vlan 2
delay 16
!
interface FastEthernet1
description $$$Backup Channel$$$
bandwidth 128
switchport access vlan 3
delay 32
!
interface FastEthernet4
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description $$$Primary Channel$$$
bandwidth 256
ip address 10.67.123.1 255.255.255.0
delay 16
crypto map TUNNEL0
!
interface Vlan3
description $$$Backup Channel$$$
bandwidth 128
ip address 10.67.124.1 255.255.255.0
delay 32
crypto map TUNNEL1
!
router eigrp 170
network 192.168.1.0
network 192.168.57.0
network 192.168.58.0
auto-summary
!
ip classless
!
ip access-list extended IPSEC-TUN0
remark IPSEC ACL
permit ip host 10.67.123.1 host 10.67.123.2
ip access-list extended IPSEC-TUN1
permit ip host 10.67.124.1 host 10.67.124.2
remark IPSEC ACL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Помогите с ipsec на туннеле"

Сообщение от Makc (??) on 19-Сен-07, 06:34

Все привет!
Вот ещё есть статься, но сдесь можно использовать статическую машрутизацию:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123limit/123x/123xe/dbackupx.htm
Мне кажеться так проще и переключение между каналами идёт около 1 мс и ещё если основной канал вышел из строя циска переключаеться на резервный, а при восстановлении основного канал циска в автоматическом режиме переключаеться обратно на основной канал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Помогите с ipsec на туннеле"

Сообщение от Stranger007 (??) on 19-Сен-07, 07:38

Всем привет еще раз. Спасибо за статью, про трекинг читал, туннели работают, все без проблем. Сейчас тему создал насчет nat, потому что мне теперь необходимо что бы одному моему внутреннему адресу соответствовали два внешних. Потихоньку разбираюсь с route-map.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите с ipsec на туннеле"
Сообщение от makc (??) on 12-Сен-07, 12:25
Добрый день! 1.внешине IP адреса пингуються???? 2."crypto map CRYPTO_POLICY1 1 ipsec-isakmp" на интерфейсах должны быть разные. Например на 1 интере "CRYPTO_POLICY1 1", а на 2 интере "backup1". 3.Если не пойдёт то желательно бы схему, я так лучше понимаю ситуацию.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 12-Сен-07, 13:04
	Упрощенно схема следующая: Lan-FE4-Cisco871=fe0,1=vlan2,3=tunnel0,1=2провайдера=tunnel0,1=vlan2,3=fe0,1=Cisco871-Lan vlan необходимы в связи с невозможностью повесить на Ethernet порты ip адреса. отбросим один туннель дабы схема проще была Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым. Но дело в том что до этого я так и делал, и не работало. Сейчас скину конфиг получившийся..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите с ipsec на туннеле"
	Сообщение от Изгой (??) on 12-Сен-07, 14:43
	>[оверквотинг удален] > >Lan-FE4-Cisco871-fe0-vlan2-tunnel0-провайдер-tunnel0-vlan2-fe0-Cisco871-Lan > >Одну ошибку уже нашел, ip в key, peer и destination д.б. одинаковым. > > >Но дело в том что до этого я так и делал, и >не работало. > >Сейчас скину конфиг получившийся.. Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик ip ?? Нельзя оставить один ipsec туннель ? Да и попробуйте переключить ipsec в транспортный режим .. он вроде по умолчанию в туннелном находиться.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Помогите с ipsec на туннеле"
	Сообщение от dxer on 12-Сен-07, 17:16
	>[оверквотинг удален] >> >>Но дело в том что до этого я так и делал, и >>не работало. >> >>Сейчас скину конфиг получившийся.. > >Извините что вмешиваюсь... а зачем делаеться туннель в туннеле .. если трафик >ip ?? Нельзя оставить один ipsec туннель ? Да и >попробуйте переключить ipsec в транспортный режим .. он вроде по >умолчанию в туннелном находиться. Абсолютно согласен. Тем более от этого и не работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 13-Сен-07, 07:23
	согласен, "tuneel mode ipip" отключаю что бы проверить работает ли ipsec, а он как назло не работает, вчера до вечера сидел, так и не смог настроить, начал с простого, повесил ipsec на соединение между fe4 и fe4, так как эти порты L3 и на них можно повесить ip. Работает. Потом перекинул кабель на соединение fe0-fe0, запустил их в vlan2, на vlan2 на обоих концах повесил ip адреса, настроил ipsec. Работает. Но после на vlan2 повесил tunnel 0, ipsec по прежнему работал на vlan2, но туннель не работает. crypto isakmp policy 1 authentication pre-share crypto isakmp key 12345 address 192.168.57.2 ! crypto ipsec transform-set VPN esp-3des esp-md5-hmac ! crypto map CRYPTO_POLICY 1 ipsec-isakmp set peer 192.168.57.2 set transform-set VPN match address 100 ! interface Tunnel0 ip address 192.168.58.1 255.255.255.0 tunnel source 192.168.57.1 tunnel destination 192.168.57.2 crypto map CRYPTO_POLICY ! interface FastEthernet0 switchport access vlan 2 ! interface Vlan2 ip address 192.168.57.1 255.255.255.0 crypto map CRYPTO_POLICY ! router eigrp 170 network 192.168.58.0 auto-summary ! ip classless ! no ip http server no ip http secure-server ! access-list 100 permit ip any any на втором маршрутизаторе все зеркально. и вот что пишет при попытке пингования туннельного ip 1301#ping 192.168.58.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.58.1, timeout is 2 seconds: *Mar 3 06:56:41.715: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC p acket. (ip) vrf/dest_addr= /192.168.57.1, src_addr= 192.168.57.2, prot= 47..... Success rate is 0 percent (0/5)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Помогите с ipsec на туннеле"
	Сообщение от RPaha (ok) on 13-Сен-07, 08:07
	Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy? Помоему надо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Помогите с ipsec на туннеле"
	Сообщение от Изгой (??) on 13-Сен-07, 09:44
	>Народ, а разве не надо для каждого криптомапа свой crypto isakmp policy? > >Помоему надо. Знаете тут надо вам разобраться что отрабатывает в начале а что в конце , в результате инкапсуляции какие ip адресса должен отрабатывать ipsec для создания туннеля , то есть сначала отрабатывает туннелирование , потом отрабатывает ipsec туннелирование так помоему ?? .. что я сделал бы на вашем месте , убрал бы второй туннель (резервный ) делал бы с одним , убрал бы динамическую маршрутизацию на время теста , прописал бы статику , проверил списки доступа , или убрал бы их оставил тока отрабатывающий на ipsec , в таком упрощённом виде попробывал бы, ищите более лёгких путей , а потом всё таки зачем нужен туннель в туннеле ipsec не хватает ?? просто интерестно видел такие конфиги непонимаю зачем так делают... к сожелению сейчас двух роутеров нет чтоб смастерить стенд помочь не могу тока может дурацкими советами -) Так какие адреса должен отрабатывать ipsec ?? если к нему приходит туннельный трафик , может попробывать туннели посадить на лупбэк интерфейсы ?? с адресами у которых префикс /32 ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 13-Сен-07, 10:19
	сделал упрощенную схему, повесил ipsec на vlan, сунул это все в tunnel, маршрутизация пока статиком, с tunnel убрал crypto map, короче работает вроде. Ключи если разные не пингуется ничего, ставишь ключи одинаковые и все работает. Я правильно понял что это как раз и работает ipsec? ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов, а вот crypto map должны быть разными для разных интерфейсов. Туннели (tunnel 0 и tunnel 1) мне нужны для динамической маршрутизации. и исчо будет использоваться QOS для распределения ширины канала для разных служб, а IPSEC туннель эту штуку не держит, так что нужны они мне. А два их потому что соединение будет через двух разных провайдеров, основного и резервного.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 13-Сен-07, 10:26
	Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого сюда насчет настройки туннеля писал, помогли...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Помогите с ipsec на туннеле"
	Сообщение от Изгой (??) on 13-Сен-07, 11:19
	>Потихоньку получается, кому нужна будет помощь в данной теме - обращайтесь. Здесь >мне почему-то не особо помогли(((( А очень надеялся............ Хотя до этого >сюда насчет настройки туннеля писал, помогли... Если получиться оставте конфиги с двух сторон , может потребуеться , крипто мар нужно вешать , насколько я помню без этого вроде как ipsec не подымаеться...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 13-Сен-07, 12:58
	не спорю, crypto map вешать обязательно надо, но только на vlan, tunnel нужен для другого, по нему уже будут бегать пакеты от vlan, а на нем ipsec. Конфиги оставлю, еще не все дописал.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Помогите с ipsec на туннеле"
	Сообщение от RPaha (ok) on 13-Сен-07, 13:15
	>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов, >а вот crypto map должны быть разными для разных интерфейсов. Раз так, то как крипто мап узнает какую полиси использовать? Я Раньше думал что их сопоставление осуществляется на основании индексов. crypto isakmp policy 16 сrypto map nolan 16 ipsec-isakmp в этом случае на основании "16"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Помогите с ipsec на туннеле"
	Сообщение от Изгой (??) on 13-Сен-07, 15:01
	>>ответ насчет crypto isakmp policy. Ее можно оставить одинаковой для всех интерфейсов, >>а вот crypto map должны быть разными для разных интерфейсов. > >Раз так, то как крипто мап узнает какую полиси использовать? Я >Раньше думал что их сопоставление осуществляется на основании индексов. > >crypto isakmp policy 16 >сrypto map nolan 16 ipsec-isakmp > > в этом случае на основании "16" Политик может быть много , на первой стадии ике идут переговоры о применении политики одной и другой стороны , если в перечни двух сторон имеються две одинаковые политики стороны договариваються о применение данной политики.. пишу на память давно уже неповторял данную тему .. но что то в этом роде.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 13-Сен-07, 15:15
	Crypto isakmp policy у меня одна, а crypto map два, и оба действуют по правилу написанному в crypto isakmp policy. Короче, все сделал. Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении одного провайдера, Cisco в течении 30 секунд переключается на резервный канал. ipsec работает по-прежнему.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Помогите с ipsec на туннеле"
	Сообщение от Изгой (??) on 13-Сен-07, 15:38
	>Crypto isakmp policy у меня одна, а crypto map два, и оба >действуют по правилу написанному в crypto isakmp policy. Короче, все сделал. >Два туннеля на vlan'ах, ipsec настроен, динамическая маршрутизация EIGRP. При падении >одного провайдера, Cisco в течении 30 секунд переключается на резервный канал. >ipsec работает по-прежнему. Ну и для потомков и для моей библиотеки конфигов ... конфиги в студию.. вы обещали... -)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 14-Сен-07, 07:19
	Для потомков как и обещал.... -) это конфиг резервирования канала, но он простой, настольный так сказать, для того что бы все это дело заработало в реальной ситуации надо добавить статические маршруты до шлюзов обоих провайдеров на обоих концах, в статике указать что-то вроде этого ip route "tunnel destination IP" "шлюз провайдера", а не то не найдет маршрутизатор другой конец туннеля. Второй конфиг зеркало этого, двойки на единички, единички на двойки поменять и все. Благим советом будет загнать еще все сетки под маску 248 или что-то вроде нее, а не то используется в каждой из них по 2 адреса. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share crypto isakmp key qwert address 10.67.123.2 crypto isakmp key asdfg address 10.67.124.2 ! crypto ipsec transform-set VPN esp-3des esp-md5-hmac ! crypto map TUNNEL0 1 ipsec-isakmp description $$$Crypto Policy for Primary Channel$$$ set peer 10.67.123.2 set transform-set VPN match address IPSEC-TUN0 qos pre-classify ! crypto map TUNNEL1 1 ipsec-isakmp description $$$Crypto Policy for Backup Channel$$$ set peer 10.67.124.2 set transform-set VPN match address IPSEC-TUN1 qos pre-classify ! interface Tunnel0 description $$$Primary Channel$$$ bandwidth 256 ip address 192.168.57.1 255.255.255.0 delay 16 tunnel source 10.67.123.1 tunnel destination 10.67.123.2 ! interface Tunnel1 description $$$Backup Channel$$$ bandwidth 128 ip address 192.168.58.1 255.255.255.0 delay 32 tunnel source 10.67.124.1 tunnel destination 10.67.124.2 ! interface FastEthernet0 description $$$Primary Channel$$$ bandwidth 256 switchport access vlan 2 delay 16 ! interface FastEthernet1 description $$$Backup Channel$$$ bandwidth 128 switchport access vlan 3 delay 32 ! interface FastEthernet4 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Vlan1 no ip address shutdown ! interface Vlan2 description $$$Primary Channel$$$ bandwidth 256 ip address 10.67.123.1 255.255.255.0 delay 16 crypto map TUNNEL0 ! interface Vlan3 description $$$Backup Channel$$$ bandwidth 128 ip address 10.67.124.1 255.255.255.0 delay 32 crypto map TUNNEL1 ! router eigrp 170 network 192.168.1.0 network 192.168.57.0 network 192.168.58.0 auto-summary ! ip classless ! ip access-list extended IPSEC-TUN0 remark IPSEC ACL permit ip host 10.67.123.1 host 10.67.123.2 ip access-list extended IPSEC-TUN1 permit ip host 10.67.124.1 host 10.67.124.2 remark IPSEC ACL
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Помогите с ipsec на туннеле"
	Сообщение от Makc (??) on 19-Сен-07, 06:34
	Все привет! Вот ещё есть статься, но сдесь можно использовать статическую машрутизацию: http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123limit/123x/123xe/dbackupx.htm Мне кажеться так проще и переключение между каналами идёт около 1 мс и ещё если основной канал вышел из строя циска переключаеться на резервный, а при восстановлении основного канал циска в автоматическом режиме переключаеться обратно на основной канал.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Помогите с ipsec на туннеле"
	Сообщение от Stranger007 (??) on 19-Сен-07, 07:38
	Всем привет еще раз. Спасибо за статью, про трекинг читал, туннели работают, все без проблем. Сейчас тему создал насчет nat, потому что мне теперь необходимо что бы одному моему внутреннему адресу соответствовали два внешних. Потихоньку разбираюсь с route-map.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]