The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"MTU GRE over IPSEC"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"MTU GRE over IPSEC"  
Сообщение от rakshas email(??) on 12-Окт-08, 20:38 
Доброе время суток.

Есть 2 офиса - на одном конце 2621 на втором 2801.
Поднят тунель GRE over IPSEC.
Делалось по
h_t_t_p_://www.cisco.com/en/US/tech/tk583/tk372technologies_configuration_example09186a008009438e.shtml

Все как бы работет но не до конца.
Пинги ходят. НО! Например сдедать от такую команду
telnet mail.server 25 - нет соединения.
Подозреваю что это как-то связано с MTU и битом DF.
Но все попытки выстаивть MTU, PDMTU на тунелях,фрагментировать IPSEC пакеты до и после, MSS менять, сбрасывать бит DF  - не помогают.

Конфиг писался не с нуля а модифицировался тот что был(другой администратор изначально писал.)
Решение в нем есть при котором все работает, но я не могу понять почему!

А оно состоит в следующем.
Cisco 2621(кусок конфига):

interface Loopback0 !---- первая запись решения
ip address 172.16.20.1 255.255.255.0
!

interface FastEthernet0/0 !----внутренний интерфейс
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map nonat !--- из-за вот этой звписи все работает.
speed auto
full-duplex
!

access-list 140 permit ip ...
access-list 140 permit ip ...
access-list 140 permit ip ...

route-map nonat permit 10 !----- обсолютно дикий роут-мап
match ip address 140
set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop в никуда!

И как только накладываю этот route-map
telnet mail.server 25 - есть подключение.

Может кто сможет объяснить почему оно работает?
Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....


Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "MTU GRE over IPSEC"  
Сообщение от Basil (??) on 13-Окт-08, 10:38 
>[оверквотинг удален]
>route-map nonat permit 10 !----- обсолютно дикий роут-мап
> match ip address 140
> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>в никуда!
>
>И как только накладываю этот route-map
>telnet mail.server 25 - есть подключение.
>
>Может кто сможет объяснить почему оно работает?
>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....

sh ip ro 172.16.20.2 покажите плз

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "MTU GRE over IPSEC"  
Сообщение от rakshas (??) on 13-Окт-08, 11:30 
>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз

sh ip route 172.16.20.2
Routing entry for 172.16.20.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via Loopback0
      Route metric is 0, traffic share count is 1

Собсвенно я могу поменять этот адрес на любой другой.
т.е. если выставлю на loopback 1.1.1.1/24 но на роут-мап 1.1.1.2 например.
От адреса данное решение не зависит...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "MTU GRE over IPSEC"  
Сообщение от rakshas email(??) on 14-Окт-08, 02:00 
>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз

От че эта! Сам спросил. сам ответил :-)

Use a policy map to prevent NAT through the VPN by routing the VPN
traffic through the loopback adapter....

От только каким местом пока не понял. Копаем дальше....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "MTU GRE over IPSEC"  
Сообщение от GolDi (??) on 15-Окт-08, 13:22 
>[оверквотинг удален]
>>
>>sh ip ro 172.16.20.2 покажите плз
>
>От че эта! Сам спросил. сам ответил :-)
>
>Use a policy map to prevent NAT through the VPN by routing
>the VPN
>traffic through the loopback adapter....
>
>От только каким местом пока не понял. Копаем дальше....

А у вас случайно на loopback-е не стоит
ip nat outside ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "MTU GRE over IPSEC"  
Сообщение от rakshas (??) on 15-Окт-08, 18:52 
>[оверквотинг удален]
>>От че эта! Сам спросил. сам ответил :-)
>>
>>Use a policy map to prevent NAT through the VPN by routing
>>the VPN
>>traffic through the loopback adapter....
>>
>>От только каким местом пока не понял. Копаем дальше....
>
> А у вас случайно на loopback-е не стоит
> ip nat outside ?

Нет.

interface Loopback0
ip address 172.16.20.1 255.255.255.0

В общем почитав - это route-map каким-то местом не допускает предварительную обработку пакета nat. Т.е. пакет в итоге попадает в IPSEC как пришел на интерфейс.

Хотя есть access-list который не пускает IPSEc пакеты в NAT.
ip nat inside source list 180 interface FastEthernet0/1 overload

f0/1 - внешний интерфейс.

access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 permit ip 192.168.20.0 0.0.0.255 any
access-list 180 permit ip 192.168.19.0 0.0.0.255 any

Без 140-го картинка была  неточной.
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру