forum.opennet.ru - "MTU GRE over IPSEC" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"MTU GRE over IPSEC"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"MTU GRE over IPSEC"
Сообщение от rakshas (??) on 12-Окт-08, 20:38
Доброе время суток. Есть 2 офиса - на одном конце 2621 на втором 2801. Поднят тунель GRE over IPSEC. Делалось по h_t_t_p_://www.cisco.com/en/US/tech/tk583/tk372technologies_configuration_example09186a008009438e.shtml Все как бы работет но не до конца. Пинги ходят. НО! Например сдедать от такую команду telnet mail.server 25 - нет соединения. Подозреваю что это как-то связано с MTU и битом DF. Но все попытки выстаивть MTU, PDMTU на тунелях,фрагментировать IPSEC пакеты до и после, MSS менять, сбрасывать бит DF - не помогают. Конфиг писался не с нуля а модифицировался тот что был(другой администратор изначально писал.) Решение в нем есть при котором все работает, но я не могу понять почему! А оно состоит в следующем. Cisco 2621(кусок конфига): interface Loopback0 !---- первая запись решения ip address 172.16.20.1 255.255.255.0 ! interface FastEthernet0/0 !----внутренний интерфейс ip address 192.168.20.1 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map nonat !--- из-за вот этой звписи все работает. speed auto full-duplex ! access-list 140 permit ip ... access-list 140 permit ip ... access-list 140 permit ip ... route-map nonat permit 10 !----- обсолютно дикий роут-мап match ip address 140 set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop в никуда! И как только накладываю этот route-map telnet mail.server 25 - есть подключение. Может кто сможет объяснить почему оно работает? Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

MTU GRE over IPSEC, Basil, 10:38 , 13-Окт-08, (1)

MTU GRE over IPSEC, rakshas, 11:30 , 13-Окт-08, (2)
MTU GRE over IPSEC, rakshas, 02:00 , 14-Окт-08, (3)

MTU GRE over IPSEC, GolDi, 13:22 , 15-Окт-08, (4)

MTU GRE over IPSEC, rakshas, 18:52 , 15-Окт-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "MTU GRE over IPSEC"

Сообщение от Basil (??) on 13-Окт-08, 10:38

>[оверквотинг удален]
>route-map nonat permit 10 !----- обсолютно дикий роут-мап
> match ip address 140
> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>в никуда!
>
>И как только накладываю этот route-map
>telnet mail.server 25 - есть подключение.
>
>Может кто сможет объяснить почему оно работает?
>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
sh ip ro 172.16.20.2 покажите плз

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "MTU GRE over IPSEC"

Сообщение от rakshas (??) on 13-Окт-08, 11:30

>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз
sh ip route 172.16.20.2
Routing entry for 172.16.20.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via Loopback0
      Route metric is 0, traffic share count is 1
Собсвенно я могу поменять этот адрес на любой другой.
т.е. если выставлю на loopback 1.1.1.1/24 но на роут-мап 1.1.1.2 например.
От адреса данное решение не зависит...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "MTU GRE over IPSEC"

Сообщение от rakshas (??) on 14-Окт-08, 02:00

>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз
От че эта! Сам спросил. сам ответил :-)
Use a policy map to prevent NAT through the VPN by routing the VPN
traffic through the loopback adapter....
От только каким местом пока не понял. Копаем дальше....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "MTU GRE over IPSEC"

Сообщение от GolDi (??) on 15-Окт-08, 13:22

>[оверквотинг удален]
>>
>>sh ip ro 172.16.20.2 покажите плз
>
>От че эта! Сам спросил. сам ответил :-)
>
>Use a policy map to prevent NAT through the VPN by routing
>the VPN
>traffic through the loopback adapter....
>
>От только каким местом пока не понял. Копаем дальше....
А у вас случайно на loopback-е не стоит
ip nat outside ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "MTU GRE over IPSEC"

Сообщение от rakshas (??) on 15-Окт-08, 18:52

>[оверквотинг удален]
>>От че эта! Сам спросил. сам ответил :-)
>>
>>Use a policy map to prevent NAT through the VPN by routing
>>the VPN
>>traffic through the loopback adapter....
>>
>>От только каким местом пока не понял. Копаем дальше....
>
> А у вас случайно на loopback-е не стоит
> ip nat outside ?
Нет.
interface Loopback0
ip address 172.16.20.1 255.255.255.0
В общем почитав - это route-map каким-то местом не допускает предварительную обработку пакета nat. Т.е. пакет в итоге попадает в IPSEC как пришел на интерфейс.
Хотя есть access-list который не пускает IPSEc пакеты в NAT.
ip nat inside source list 180 interface FastEthernet0/1 overload
f0/1 - внешний интерфейс.
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 permit ip 192.168.20.0 0.0.0.255 any
access-list 180 permit ip 192.168.19.0 0.0.0.255 any
Без 140-го картинка была  неточной.
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "MTU GRE over IPSEC"
Сообщение от Basil (??) on 13-Окт-08, 10:38
>[оверквотинг удален] >route-map nonat permit 10 !----- обсолютно дикий роут-мап > match ip address 140 > set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop >в никуда! > >И как только накладываю этот route-map >telnet mail.server 25 - есть подключение. > >Может кто сможет объяснить почему оно работает? >Всю бошку уже сломал.А то как-то хочется без шаманства знаетели..... sh ip ro 172.16.20.2 покажите плз
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "MTU GRE over IPSEC"
	Сообщение от rakshas (??) on 13-Окт-08, 11:30
	>[оверквотинг удален] >> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop >>в никуда! >> >>И как только накладываю этот route-map >>telnet mail.server 25 - есть подключение. >> >>Может кто сможет объяснить почему оно работает? >>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели..... > >sh ip ro 172.16.20.2 покажите плз sh ip route 172.16.20.2 Routing entry for 172.16.20.0/24 Known via "connected", distance 0, metric 0 (connected, via interface) Routing Descriptor Blocks: * directly connected, via Loopback0 Route metric is 0, traffic share count is 1 Собсвенно я могу поменять этот адрес на любой другой. т.е. если выставлю на loopback 1.1.1.1/24 но на роут-мап 1.1.1.2 например. От адреса данное решение не зависит...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "MTU GRE over IPSEC"
	Сообщение от rakshas (??) on 14-Окт-08, 02:00
	>[оверквотинг удален] >> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop >>в никуда! >> >>И как только накладываю этот route-map >>telnet mail.server 25 - есть подключение. >> >>Может кто сможет объяснить почему оно работает? >>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели..... > >sh ip ro 172.16.20.2 покажите плз От че эта! Сам спросил. сам ответил :-) Use a policy map to prevent NAT through the VPN by routing the VPN traffic through the loopback adapter.... От только каким местом пока не понял. Копаем дальше....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "MTU GRE over IPSEC"
	Сообщение от GolDi (??) on 15-Окт-08, 13:22
	>[оверквотинг удален] >> >>sh ip ro 172.16.20.2 покажите плз > >От че эта! Сам спросил. сам ответил :-) > >Use a policy map to prevent NAT through the VPN by routing >the VPN >traffic through the loopback adapter.... > >От только каким местом пока не понял. Копаем дальше.... А у вас случайно на loopback-е не стоит ip nat outside ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "MTU GRE over IPSEC"
	Сообщение от rakshas (??) on 15-Окт-08, 18:52
	>[оверквотинг удален] >>От че эта! Сам спросил. сам ответил :-) >> >>Use a policy map to prevent NAT through the VPN by routing >>the VPN >>traffic through the loopback adapter.... >> >>От только каким местом пока не понял. Копаем дальше.... > > А у вас случайно на loopback-е не стоит > ip nat outside ? Нет. interface Loopback0 ip address 172.16.20.1 255.255.255.0 В общем почитав - это route-map каким-то местом не допускает предварительную обработку пакета nat. Т.е. пакет в итоге попадает в IPSEC как пришел на интерфейс. Хотя есть access-list который не пускает IPSEc пакеты в NAT. ip nat inside source list 180 interface FastEthernet0/1 overload f0/1 - внешний интерфейс. access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255 access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255 access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255 access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255 access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255 access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255 access-list 180 permit ip 192.168.20.0 0.0.0.255 any access-list 180 permit ip 192.168.19.0 0.0.0.255 any Без 140-го картинка была неточной. access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255 access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255 access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255 access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255 access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255 access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]