The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"GRE+IP sec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"GRE+IP sec"  +/
Сообщение от kastet email(ok) on 15-Сен-09, 19:45 
Добрый вечер, столкнулся с проблемой :)
был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках.
как понять в чем проблема?
офис1

router1#sh run
Building configuration...

Current configuration : 2436 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
no ip subnet-zero
no ip source-route
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
username admin privilege 15 secret 5 ххххххххххххххххххххххх
!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.153.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.153.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.152.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link
ip address 81.94.143.хх 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.0.230 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.143.хх
ip route 192.168.1.0 255.255.255.0 Tunnel0
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
no scheduler allocate
end

офис2


router2#sh run
Building configuration...

Current configuration : 1984 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
no service dhcp
!
hostname router2
!
boot-start-marker
boot-end-marker
!
enable secret 5 хххххххххххххххххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
!
!
ip cef
no ip domain lookup
!
!
!
username admin privilege 15 password 7 ххххххххххххххххххххххх

!
!
!
crypto isakmp policy 30
hash md5
authentication pre-share
crypto isakmp key superpassword address 81.94.143.хх no-xauth
!
!
crypto ipsec transform-set TSZT esp-des esp-md5-hmac
mode transport
!
crypto map CM 10 ipsec-isakmp
set peer 81.94.143.хх
set transform-set TSZT
match address 101
!
!
!
interface Tunnel0
ip address 192.168.100.2 255.255.255.252
ip mtu 1400
ip virtual-reassembly
tunnel source FastEthernet4
tunnel destination 81.94.143.хх
tunnel path-mtu-discovery
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Link Astel telecom
ip address 81.94.153.хх 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
crypto map CM
!
interface Vlan1
description Link LAN
ip address 192.168.1.231 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1352
!
no ip classless
ip route 0.0.0.0 0.0.0.0 81.94.153.хх
ip route 192.168.0.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
access-list 101 permit gre host 81.94.153.хх host 81.94.143.хх
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end


заранее спасибо за любой ответ

пс раньше провайдер  был через выделеную линию а теперь черз адсл модем.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • GRE+IP sec, bmonk, 08:00 , 16-Сен-09, (1)  
  • GRE+IP sec, Stell, 10:16 , 16-Сен-09, (2)  
    • GRE+IP sec, mario, 10:31 , 16-Сен-09, (3)  
    • GRE+IP sec, Stell, 10:48 , 16-Сен-09, (4)  
    • GRE+IP sec, kastet, 11:35 , 16-Сен-09, (5)  
      • GRE+IP sec, Stell, 13:25 , 16-Сен-09, (6)  
        • GRE+IP sec, Stell, 13:31 , 16-Сен-09, (7)  
      • GRE+IP sec, bmonk, 13:15 , 17-Сен-09, (8)  

Сообщения по теме [Сортировка по времени | RSS]


1. "GRE+IP sec"  +/
Сообщение от bmonk (ok) on 16-Сен-09, 08:00 
>пс раньше провайдер  был через выделеную линию а теперь черз адсл
>модем.

а дебаг что говорит?
конфиг вроде нормальный

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "GRE+IP sec"  +/
Сообщение от Stell email(??) on 16-Сен-09, 10:16 
Router1:
>crypto isakmp key superpassword address 81.94.153.хх no-xauth
>
>crypto map CM 10 ipsec-isakmp
> set peer 81.94.153.хх

...
>
>interface Tunnel0
>...
> tunnel destination 81.94.152.хх
> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх

Адрес в tunnel destination - это реальный конфиг, или опечатка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "GRE+IP sec"  +/
Сообщение от mario email(ok) on 16-Сен-09, 10:31 
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?

перепутали айпи походу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "GRE+IP sec"  +/
Сообщение от Stell email(??) on 16-Сен-09, 10:48 
А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:

crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac
mode transport

crypto ipsec profile GREIPSEC
set transform-set aes-sha-transport

interface Tunnel3
tunnel source xxx
tunnel destination xxx
tunnel protection ipsec profile GREIPSEC

Суть та же, а конфиг компактнее и нагляднее.
Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "GRE+IP sec"  +/
Сообщение от kastet email(ok) on 16-Сен-09, 11:35 
>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?

Спасибо большое, реальная опечатка)) Только работать не стало после этого:)
От пинга ответы идут не понятные


router1#ping 192.168.1.231

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)

Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "GRE+IP sec"  +/
Сообщение от Stell email(??) on 16-Сен-09, 13:25 
> no ip classless

А вот это вам зачем?!

sh crypto isakmp sa
sh crypto ipsec sa

debug ip icmp
debug crypto isakmp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "GRE+IP sec"  +/
Сообщение от Stell email(??) on 16-Сен-09, 13:31 
> no ip subnet-zero

Это тоже абсолютно лишнее!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "GRE+IP sec"  +/
Сообщение от bmonk (ok) on 17-Сен-09, 13:15 

>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда
>пакеты уходят...

debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру