The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема поднятия gre туннеля между двумя 7206 цисками"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ email(ok) on 09-Апр-09, 07:16 
Добрый день всем!
В общем, казалось бы тривиальная задача - поднять gre туннель, ан нет, не вышло.

Оборудование:
С моей стороны cisco7206vxr с интерфейсами:

Se 1/0:0 смотрящий на провайдера:
interface Serial1/0:0
description COMCOR
bandwidth 2000
ip address 66.115.77.5 255.255.255.252
ip access-group 128 in
ip access-group provout out
ip verify unicast reverse-path
ip nat outside

Fa0/1 смотрящий в сторону DMZ:
interface FastEthernet0/1
description DMZ
ip address 77.105.70.1 255.255.255.240
ip access-group dmzin in
ip accounting output-packets
ip nat inside
no ip mroute-cache
ip policy route-map prov-map
duplex auto
speed 100

Fa0/0 смотрящий в сторону локалки с адресом допустим
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip access-group lanin in
ip accounting output-packets
ip nat inside
no ip mroute-cache
ip policy route-map prov-map
duplex auto
speed 100

Tun0 смотрящий в работающий туннель
interface Tunnel0
ip address 10.3.2.9 255.255.255.192
no ip redirects
ip accounting output-packets
ip mtu 1416
ip nat outside
ip nhrp authentication ocsic
ip nhrp map 10.3.2.1 63.140.109.248
ip nhrp map multicast 63.140.109.248
ip nhrp network-id 24
ip nhrp nhs 10.3.2.1
tunnel source 66.115.77.5
tunnel destination 63.140.109.248
tunnel key 54321
tunnel protection ipsec profile gre1 shared

Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
Маршрутизация:

ip route 0.0.0.0 0.0.0.0 66.115.77.5
ip route 66.115.77.5 255.255.255.255 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0

поднят наттинг для дмз и локалки:
ip nat pool prov-space 66.115.77.5 66.115.77.5 netmask 255.255.255.252
ip nat inside source list remclient interface Tunnel0 overload
ip nat inside source route-map prov-map pool prov-space overload

Что у сторонней организации на интерфейсах остальных, не знаю, но клянутся что везде тоже все разрешено.

Поднимаю интерфейс с их рекомендациями:
interface Tunnel1
ip address 10.11.0.2 255.255.255.252
tunnel source Serial1/0:0
tunnel destination 212.88.1.166

Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.

Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета (даже с указанием source). Мои локальные пингуются, мои дмз пингуются а инет - нет. При этом из локалки и дмз все отлично пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой туннель, и почему не могу пинговать внешние айпишники...

Помогите кто чем может :)

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от ilya (ok) on 09-Апр-09, 07:38 

>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.

все это как? все IP или все включая IP и GRE? т.е. acl пропускает gre-трафик?

>
>Маршрутизация:
>
>ip route 66.115.77.5 255.255.255.255 Serial1/0:0

а это зачем?
>[оверквотинг удален]
> tunnel source Serial1/0:0
> tunnel destination 212.88.1.166
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...

ну попробуйте правило ната поменять на
ip nat inside source route-map... interface ... overload

>Помогите кто чем может :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 10:20 
>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
>
>все это как? все IP или все включая IP и GRE? т.е.
>acl пропускает gre-трафик?

Ну явно там не запрещен, думаете дать пермит gre спецом?

>>Маршрутизация:
>>
>>ip route 66.115.77.5 255.255.255.255 Serial1/0:0
>а это зачем?

убрал. действительно глупость. но проблем это не решило.

>[оверквотинг удален]
>> tunnel destination 212.88.1.166
>>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>>инет - нет. При этом из локалки и дмз все отлично
>>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>>туннель, и почему не могу пинговать внешние айпишники...
>
>ну попробуйте правило ната поменять на
>ip nat inside source route-map... interface ... overload

а вот тут поподробнее, если не сложно... у меня по идее они и так вродь в таком виде. по крайней мере те что существуют...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от ilya (ok) on 09-Апр-09, 13:23 
>>>Аксесслисты на всех трех интерфейсах исходящее разрешают всё, входящее блокируют некоторые злые
>>>порты типа rpc, mstsc, sql, и т.д. icmp никак не блокируется.
>>
>>все это как? все IP или все включая IP и GRE? т.е.
>>acl пропускает gre-трафик?
>
>Ну явно там не запрещен, думаете дать пермит gre спецом?

обязательно
acl permit gre ....
и для проверки сделайте простейшие тунели.
tunn0
ip add
tunn src...
tunn dst...


>
>а вот тут поподробнее, если не сложно... у меня по идее они
>и так вродь в таком виде. по крайней мере те что
>существуют...

примерно так
ip nat inside source list 130 interface FastEthernet0/1 overload
на циске куча примеров - смотрите там.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 13:45 
>обязательно
>acl permit gre ....

добавил по всем acl - permit gre any any

>и для проверки сделайте простейшие тунели.
>tunn0
>ip add
>tunn src...
>tunn dst...

а он такой и есть изначально:
interface Tunnel1
ip address 10.11.0.2 255.255.255.252
tunnel source Serial1/0:0
tunnel destination 212.88.1.166

>>а вот тут поподробнее, если не сложно... у меня по идее они
>>и так вродь в таком виде. по крайней мере те что
>>существуют...
>
>примерно так
>ip nat inside source list 130 interface FastEthernet0/1 overload
>на циске куча примеров - смотрите там.

до ната еще дожить надо... пока я не вижу даже вторую сторону связующей сети тунеля.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от ilya (ok) on 09-Апр-09, 14:04 
>[оверквотинг удален]
>>>а вот тут поподробнее, если не сложно... у меня по идее они
>>>и так вродь в таком виде. по крайней мере те что
>>>существуют...
>>
>>примерно так
>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>на циске куча примеров - смотрите там.
>
>до ната еще дожить надо... пока я не вижу даже вторую сторону
>связующей сети тунеля.

ну так снимите нат с интерфейса сериал  - посмотрите видно или нет.
поправьте нат.
или покажите что за роутмапа с асл у вас используется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 14:13 
>[оверквотинг удален]
>>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>>на циске куча примеров - смотрите там.
>>
>>до ната еще дожить надо... пока я не вижу даже вторую сторону
>>связующей сети тунеля.
>
>ну так снимите нат с интерфейса сериал  - посмотрите видно или
>нет.
>поправьте нат.
>или покажите что за роутмапа с асл у вас используется.

нат с сериала снять к сожалению не могу. ибо на него натятся локалка и дмз. всё предприятие и ЦОД с внешними сервисами. ронять низя...

вот роутмап:
route-map prov-map permit 20
match ip address allowinet
match interface Serial1/0:0
set default interface Serial1/0:0

вот acl который к роутмапу привязан:
ip access-list standard allowinet
permit 192.168.1.10
permit 192.168.1.11
permit 192.168.1.15
permit 192.168.1.12
permit 192.168.1.13
permit 192.168.1.14
permit 192.168.100.100
permit 192.168.1.7
permit 192.168.1.18
permit 192.168.1.20
permit 192.168.1.230

вот правила ната:
ip nat pool prov-space 66.115.77.5 66.115.77.5 netmask 255.255.255.252
ip nat inside source route-map prov-map pool prov-space overload

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34 
>[оверквотинг удален]
>>>ip nat inside source list 130 interface FastEthernet0/1 overload
>>>на циске куча примеров - смотрите там.
>>
>>до ната еще дожить надо... пока я не вижу даже вторую сторону
>>связующей сети тунеля.
>
>ну так снимите нат с интерфейса сериал  - посмотрите видно или
>нет.
>поправьте нат.
>или покажите что за роутмапа с асл у вас используется.

в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.

достаточно просто поднять тунель:

interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166

и даже в acl не пришлось ничего править.

спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от lumenous (ok) on 09-Апр-09, 07:46 
>[оверквотинг удален]
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...
>
>Помогите кто чем может :)

Неплохо бы было увидеть конфиг акцесслистов  "128" и "provout".
Попробуйте вообще без них.
Еще не понятно зачем вам вот это?
ip route 66.115.77.5 255.255.255.255 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1

Они же у вас "connected", работать будет без статических маршрутов.
Что говорит ping и tracert 212.88.1.166 ?
А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 10:15 
>Неплохо бы было увидеть конфиг акцесслистов  "128" и "provout".
>Попробуйте вообще без них.

128 длинный на почти тысячу правил. вкратце (все правила касательно Fa0/1):
access-list 128 permit udp any host 77.105.70.1 eq isakmp log-input
access-list 128 permit esp any host 77.105.70.1 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 69 log-input
access-list 128 deny   udp any host 77.105.70.1 eq tftp log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 135 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 135 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 137 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-ns log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 138 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-dgm log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 139 log-input
access-list 128 deny   udp any host 77.105.70.1 eq netbios-ss log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 445 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 445 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 500 log-input
access-list 128 deny   udp any host 77.105.70.1 eq isakmp log-input
access-list 128 deny   tcp any host 77.105.70.1 eq exec log-input
access-list 128 deny   udp any host 77.105.70.1 eq biff log-input
access-list 128 deny   tcp any host 77.105.70.1 eq login log-input
access-list 128 deny   udp any host 77.105.70.1 eq who log-input
access-list 128 deny   tcp any host 77.105.70.1 eq cmd log-input
access-list 128 deny   udp any host 77.105.70.1 eq syslog log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 612 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 612 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 613 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 613 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1025 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1025 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1433 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1433 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 1434 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 1434 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 2745 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 2745 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3127 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3127 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3306 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3306 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 3389 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 3389 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 4015 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 4015 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 4444 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 4444 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 5000 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 5000 log-input
access-list 128 deny   tcp any host 77.105.70.1 eq 6129 log-input
access-list 128 deny   udp any host 77.105.70.1 eq 6129 log-input
далее правила относящиеся к хостам в дмз из пула
и в конце
access-list 128 permit ip any any

вот provout:
ip access-list extended provout
deny   tcp any any eq 1433 log-input
deny   udp any any eq 1433 log-input
deny   tcp any any eq 1434 log-input
deny   udp any any eq 1434 log-input
permit ip any any

>Еще не понятно зачем вам вот это?
>ip route 66.115.77.5 255.255.255.255 Serial1/0:0
>ip route 77.105.70.0 255.255.255.240 FastEthernet0/1

согласен, глупость. исправил на
ip route 0.0.0.0 0.0.0.0 Serial1/0:0

>Они же у вас "connected", работать будет без статических маршрутов.

не, как минимум ip route 0.0.0.0 0.0.0.0 Serial1/0:0 нужен, иначе ничего не будет выпускаться вообще в инет из дмз и локалки.

>Что говорит ping и tracert 212.88.1.166 ?

из циски - ..... 0/5 не зависимо от source.

трейс умирает на нулевом хопе хопе.
Type escape sequence to abort.
Tracing the route to name.domain.ru (212.88.1.166)

  1  *  *  *
  2  *  *  *
ну и так далее...

из локалки и дмз - прекрасно пингуется и трейсится.

>А вместо этого "tunnel source Serial1/0:0" наверно лучше будет "tunnel source 66.115.77.5"

пробовал и так тоже - никакой разницы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от chocholl (??) on 09-Апр-09, 10:12 
если с криптомапами все нормально...
то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из сети DMZ.

>[оверквотинг удален]
>
>Пробую пингануть связующий адрес с их стороны 10.11.0.1 - не пингуется.
>
>Плюс еще одна интересная вещь: с моенй циски нельзя пропинговать адреса интернета
>(даже с указанием source). Мои локальные пингуются, мои дмз пингуются а
>инет - нет. При этом из локалки и дмз все отлично
>пингуется. Сижу ломаю голову над двумя почему? Почему не поднимается простой
>туннель, и почему не могу пинговать внешние айпишники...
>
>Помогите кто чем может :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 10:24 
>если с криптомапами все нормально...
>то на тунельном интерфейсе сделайт соурс FastEthernet0/1 или любой свободный адрес из
>сети DMZ.

Попробовал (криптополиси подняты только для Tun0, Tun1 пока пробую без криптографии поднять, потом как подымется буду уже закрывать):
interface Tunnel1
ip address 10.11.0.2 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 212.88.1.166

результаты те же:
c7206vxr#ping 10.11.0.2
Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

c7206vxr#ping 10.11.0.1
Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от chocholl (??) on 09-Апр-09, 10:35 
вы оставьте только один тунель, для простоты.

а внешние адреса тунеля с ваших адресов доступны?

>[оверквотинг удален]
>результаты те же:
>c7206vxr#ping 10.11.0.2
>Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
>!!!!!
>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
>
>c7206vxr#ping 10.11.0.1
>Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
>.....
>Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 10:44 
>вы оставьте только один тунель, для простоты.

ща попробую...


>[оверквотинг удален]
>>результаты те же:
>>c7206vxr#ping 10.11.0.2
>>Sending 5, 100-byte ICMP Echos to 10.11.0.2, timeout is 2 seconds:
>>!!!!!
>>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
>>
>>c7206vxr#ping 10.11.0.1
>>Sending 5, 100-byte ICMP Echos to 10.11.0.1, timeout is 2 seconds:
>>.....
>>Success rate is 0 percent (0/5)

Если пингуюсь с хоста находящегося в локальной сети за интерфейсом Fa0/0 то доступен:
Пинг с моего компа - 192.168.1.100 (для принимающей стороны адресом соурса будет 66.115.77.5)

Обмен пакетами с 212.88.1.166 по 32 байт:

Ответ от 212.88.1.166: число байт=32 время=11мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=12мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=9мс TTL=246
Ответ от 212.88.1.166: число байт=32 время=13мс TTL=246

Статистика Ping для 212.88.1.166:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 9мсек, Максимальное = 13 мсек, Среднее = 11 мсек

Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там адрес соурса будет маршрутизируемый адрес из пула дмз, а у них PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас только мой 66.115.77.5

но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно как и мой 66.115.77.5 доступен для них.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от lumenous (ok) on 09-Апр-09, 11:10 
>[оверквотинг удален]
>    Минимальное = 9мсек, Максимальное = 13 мсек, Среднее
>= 11 мсек
>
>Если пингуюсь с хоста, находящегося в дмз - то нет, ибо там
>адрес соурса будет маршрутизируемый адрес из пула дмз, а у них
>PIX снаружи закрывает пинги туда всем кроме разрешенных. а разрешен сейчас
>только мой 66.115.77.5
>
>но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно
>как и мой 66.115.77.5 доступен для них.

То что вы пингуете с компа еще ни о чем не говорит. Скорее всего он у вас через существующий тунель уходит и на той стороне уже доходит до 212.88.1.166.
Давайте будем последовательны.
Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему надо именно в этом. Видимо поэтому тунель у вас и не поднимается.
Наберите sh ip route 212.88.1.166.
Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у вас должен быть тунель%

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 12:41 
>>но суть в этом такова что для 66.115.77.5 внешний айпишник доступен. Равно
>>как и мой 66.115.77.5 доступен для них.
>
>То что вы пингуете с компа еще ни о чем не говорит.
>Скорее всего он у вас через существующий тунель уходит и на
>той стороне уже доходит до 212.88.1.166.

по умолчанию уходит через
ip route 0.0.0.0 0.0.0.0 Serial1/0:0

>Давайте будем последовательны.
>Если у вас нету пинга до 212.88.1.166 с циски, то искать проблему
>надо именно в этом. Видимо поэтому тунель у вас и не
>поднимается.

В принципе с циски нету пинга никуда кроме моей локалки, моей дмз и всех интерфейсов самой циски... Можно начать с этой проблемы. Честно говоря пока не понимаю почему не могу пропинговать любой рабочий IP в интернете.

>Наберите sh ip route 212.88.1.166.

c7206vxr#sh ip route 212.88.1.166
% Network not in table

>Попробуйте жестко прописать роут ip route 212.88.1.166 255.255.255.255 %ип, через который у
>вас должен быть тунель%

я пробовал вот так
ip route 212.88.1.166 255.255.255.255 Tunnel1
пробовал еще вот так
ip route 212.88.1.166 255.255.255.255 66.115.77.5
пробовал и так
ip route 212.88.1.166 255.255.255.255 Serial1/0:0

никаких изменений... пинга по прежнему нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от lumenous (ok) on 09-Апр-09, 13:16 
>[оверквотинг удален]
>>вас должен быть тунель%
>
>я пробовал вот так
>ip route 212.88.1.166 255.255.255.255 Tunnel1
>пробовал еще вот так
>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>пробовал и так
>ip route 212.88.1.166 255.255.255.255 Serial1/0:0
>
>никаких изменений... пинга по прежнему нет.

ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 13:42 
>[оверквотинг удален]
>>я пробовал вот так
>>ip route 212.88.1.166 255.255.255.255 Tunnel1
>>пробовал еще вот так
>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>>пробовал и так
>>ip route 212.88.1.166 255.255.255.255 Serial1/0:0
>>
>>никаких изменений... пинга по прежнему нет.
>
>ip route 212.88.1.166 255.255.255.255 66.115.77.6 вот так надо

а я так и попробовал, отписал выше, просто опечатался ибо не копипастил а писал от руки:
>>ip route 212.88.1.166 255.255.255.255 66.115.77.5

считать ip route 212.88.1.166 255.255.255.255 66.115.77.6

в общем не помогло тоже. по прежнему не вижу пинга.

думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете из самой циски... может где какой маршрут забыл? ведь хосты из сетей за циской нормально инет видят...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от lumenous (ok) on 09-Апр-09, 13:48 
>[оверквотинг удален]
>а писал от руки:
>>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>
>считать ip route 212.88.1.166 255.255.255.255 66.115.77.6
>
>в общем не помогло тоже. по прежнему не вижу пинга.
>
>думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете
>из самой циски... может где какой маршрут забыл? ведь хосты из
>сетей за циской нормально инет видят...

Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть надо на 66.115.77.6? наверняка да, отлично.

Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 14:07 
>>а писал от руки:
>>>>ip route 212.88.1.166 255.255.255.255 66.115.77.5
>>считать ip route 212.88.1.166 255.255.255.255 66.115.77.6
>>в общем не помогло тоже. по прежнему не вижу пинга.
>>думаю тут проблема глобальнее. я не могу пингануть вообще ничего в интернете
>>из самой циски... может где какой маршрут забыл? ведь хосты из
>>сетей за циской нормально инет видят...
>Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть
>надо на 66.115.77.6? наверняка да, отлично.

видит
c7206vxr#sh ip route 212.8.1.166
Routing entry for 212.8.1.166/32
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 66.115.77.6
      Route metric is 0, traffic share count is 1


>Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на
>хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166
>

пингуется только мой Serial1/0:0
c7206vxr#ping 66.115.77.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

а вот циска провайдера уже не пингуется (тогда как из локалки или дмз я это пингую отлично)
c7206vxr#ping 66.115.77.6

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 66.115.77.5, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Такое чувство что я где то и правда накривил с маршрутизацией... но вот где. у меня всего то маршрутов ща вот:

ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
ip route 212.8.1.166 255.255.255.255 66.115.77.6

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34 
>Вместе с тем маршрутом наберите sh ip route 212.88.1.166. Видит, что смотреть
>надо на 66.115.77.6? наверняка да, отлично.
>
>Попингуйте с циски 66.115.77.6. Если пинг есть, то надо смотреть уже на
>хосте 66.115.77.6 маршрутизацию. Возможно там нет маршрута на  ип 212.8.1.166
>

в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.

достаточно просто поднять тунель:

interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166

и даже в acl не пришлось ничего править.

спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 10:46 
>вы оставьте только один тунель, для простоты.

убрал tun0
не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от chocholl (??) on 09-Апр-09, 13:27 
теперь добейтесь нормальной связности между адресами тунелей.
либо это аксес листы, либо маршрутизация покривилась.


>>вы оставьте только один тунель, для простоты.
>
>убрал tun0
>не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 13:49 
>теперь добейтесь нормальной связности между адресами тунелей.
>либо это аксес листы, либо маршрутизация покривилась.

Это и пытаюсь сделать с самого утра. в аксесслистах уже подобавлял allow по всему что можно, gre , ip...
маршрутизацию лишнюю поубирал осталось вот что:

ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 77.105.70.0 255.255.255.240 FastEthernet0/1
ip route 172.16.0.0 255.255.0.0 Tunnel0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0

и добавил по совету здешних гуру еще маршрут:
ip route 212.88.1.166 255.255.255.255 Serial1/0:0
а так же пробовал
ip route 212.88.1.166 255.255.255.255 Tunnel0

не помогает.
тут еще нюанс что изнутри моей циски не пингуется вообще ничего в инете... ни один хост. даже циска провайдера с той стороны канала в инет, тогда как в локалке и в дмз пинги идут наружу нормально.
скорее всего проблема где то здесь... только где.

>>>вы оставьте только один тунель, для простоты.
>>
>>убрал tun0
>>не помогло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Проблема поднятия gre туннеля между двумя 7206 цисками"  
Сообщение от _RAW_ (ok) on 09-Апр-09, 15:34 
>теперь добейтесь нормальной связности между адресами тунелей.
>либо это аксес листы, либо маршрутизация покривилась.
>
>
>>>вы оставьте только один тунель, для простоты.
>>
>>убрал tun0
>>не помогло...

в общем заработало. оно и раньше работало, просто скорее всего где то транзакция повисла какая нить. по этому пингов не было никуда.
ребутнул железно циску - все заработало.

достаточно просто поднять тунель:

interface Tunnel1
bandwidth 2000
ip address 10.11.0.2 255.255.255.252
ip mtu 1500
tunnel source Serial1/0:0
tunnel destination 212.8.1.166

и даже в acl не пришлось ничего править.

спасибо за советы и поддержку %)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру