forum.opennet.ru - "GRE+IP sec" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"GRE+IP sec"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GRE+IP sec"		+/–
Сообщение от kastet (ok) on 15-Сен-09, 19:45
Добрый вечер, столкнулся с проблемой :) был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках. как понять в чем проблема? офис1 router1#sh run Building configuration... Current configuration : 2436 bytes ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers no service dhcp ! hostname router1 ! boot-start-marker boot-end-marker ! logging buffered 51200 debugging logging console critical enable secret 5 хххххххххххххххххххххххххххх ! no aaa new-model ! resource policy ! clock timezone PCTime 3 no ip subnet-zero no ip source-route ! ! ip cef ip tcp synwait-time 10 no ip bootp server no ip domain lookup ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! username admin privilege 15 secret 5 ххххххххххххххххххххххх ! ! ! crypto isakmp policy 30 hash md5 authentication pre-share crypto isakmp key superpassword address 81.94.153.хх no-xauth ! ! crypto ipsec transform-set TSZT esp-des esp-md5-hmac mode transport ! crypto map CM 10 ipsec-isakmp set peer 81.94.153.хх set transform-set TSZT match address 101 ! ! ! interface Tunnel0 ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip virtual-reassembly tunnel source FastEthernet4 tunnel destination 81.94.152.хх tunnel path-mtu-discovery ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description Link ip address 81.94.143.хх 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly ip route-cache flow duplex auto speed auto crypto map CM ! interface Vlan1 description Link LAN ip address 192.168.0.230 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow ip tcp adjust-mss 1352 ! no ip classless ip route 0.0.0.0 0.0.0.0 81.94.143.хх ip route 192.168.1.0 255.255.255.0 Tunnel0 ! no ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! logging trap debugging access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх no cdp run ! control-plane ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 login local no modem enable transport output telnet line aux 0 login local transport output telnet line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 no scheduler allocate end офис2 router2#sh run Building configuration... Current configuration : 1984 bytes ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers no service dhcp ! hostname router2 ! boot-start-marker boot-end-marker ! enable secret 5 хххххххххххххххххххххххххххх ! no aaa new-model ! resource policy ! clock timezone PCTime 3 ip subnet-zero ! ! ip cef no ip domain lookup ! ! ! username admin privilege 15 password 7 ххххххххххххххххххххххх ! ! ! crypto isakmp policy 30 hash md5 authentication pre-share crypto isakmp key superpassword address 81.94.143.хх no-xauth ! ! crypto ipsec transform-set TSZT esp-des esp-md5-hmac mode transport ! crypto map CM 10 ipsec-isakmp set peer 81.94.143.хх set transform-set TSZT match address 101 ! ! ! interface Tunnel0 ip address 192.168.100.2 255.255.255.252 ip mtu 1400 ip virtual-reassembly tunnel source FastEthernet4 tunnel destination 81.94.143.хх tunnel path-mtu-discovery ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description Link Astel telecom ip address 81.94.153.хх 255.255.255.248 ip virtual-reassembly duplex auto speed auto crypto map CM ! interface Vlan1 description Link LAN ip address 192.168.1.231 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1352 ! no ip classless ip route 0.0.0.0 0.0.0.0 81.94.153.хх ip route 192.168.0.0 255.255.255.0 Tunnel0 ! no ip http server no ip http secure-server ! access-list 101 permit gre host 81.94.153.хх host 81.94.143.хх ! control-plane ! ! line con 0 login local no modem enable transport output telnet line aux 0 login local transport output telnet line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end заранее спасибо за любой ответ пс раньше провайдер был через выделеную линию а теперь черз адсл модем.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

GRE+IP sec, bmonk, 08:00 , 16-Сен-09, (1)
GRE+IP sec, Stell, 10:16 , 16-Сен-09, (2)

GRE+IP sec, mario, 10:31 , 16-Сен-09, (3)
GRE+IP sec, Stell, 10:48 , 16-Сен-09, (4)
GRE+IP sec, kastet, 11:35 , 16-Сен-09, (5)

GRE+IP sec, Stell, 13:25 , 16-Сен-09, (6)

GRE+IP sec, Stell, 13:31 , 16-Сен-09, (7)

GRE+IP sec, bmonk, 13:15 , 17-Сен-09, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "GRE+IP sec" +/–

Сообщение от bmonk (ok) on 16-Сен-09, 08:00

>пс раньше провайдер был через выделеную линию а теперь черз адсл
>модем.
а дебаг что говорит?
конфиг вроде нормальный

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "GRE+IP sec" +/–

Сообщение от Stell (??) on 16-Сен-09, 10:16

Router1:
>crypto isakmp key superpassword address 81.94.153.хх no-xauth
>
>crypto map CM 10 ipsec-isakmp
> set peer 81.94.153.хх
...
>
>interface Tunnel0
>...
> tunnel destination 81.94.152.хх
> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
Адрес в tunnel destination - это реальный конфиг, или опечатка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "GRE+IP sec" +/–

Сообщение от mario (ok) on 16-Сен-09, 10:31

>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?
перепутали айпи походу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "GRE+IP sec" +/–

Сообщение от Stell (??) on 16-Сен-09, 10:48

А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:
crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac
mode transport
crypto ipsec profile GREIPSEC
set transform-set aes-sha-transport
interface Tunnel3
tunnel source xxx
tunnel destination xxx
tunnel protection ipsec profile GREIPSEC
Суть та же, а конфиг компактнее и нагляднее.
Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "GRE+IP sec" +/–

Сообщение от kastet (ok) on 16-Сен-09, 11:35

>[оверквотинг удален]
>> set peer 81.94.153.хх
>
>...
>>
>>interface Tunnel0
>>...
>> tunnel destination 81.94.152.хх
>> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх
>
>Адрес в tunnel destination - это реальный конфиг, или опечатка?
Спасибо большое, реальная опечатка)) Только работать не стало после этого:)
От пинга ответы идут не понятные

router1#ping 192.168.1.231
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "GRE+IP sec" +/–

Сообщение от Stell (??) on 16-Сен-09, 13:25

> no ip classless
А вот это вам зачем?!
sh crypto isakmp sa
sh crypto ipsec sa
debug ip icmp
debug crypto isakmp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "GRE+IP sec" +/–

Сообщение от Stell (??) on 16-Сен-09, 13:31

> no ip subnet-zero
Это тоже абсолютно лишнее!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "GRE+IP sec" +/–

Сообщение от bmonk (ok) on 17-Сен-09, 13:15

>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда
>пакеты уходят...
debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "GRE+IP sec"		+/–
Сообщение от bmonk (ok) on 16-Сен-09, 08:00
>пс раньше провайдер был через выделеную линию а теперь черз адсл >модем. а дебаг что говорит? конфиг вроде нормальный
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "GRE+IP sec"		+/–
Сообщение от Stell (??) on 16-Сен-09, 10:16
Router1: >crypto isakmp key superpassword address 81.94.153.хх no-xauth > >crypto map CM 10 ipsec-isakmp > set peer 81.94.153.хх ... > >interface Tunnel0 >... > tunnel destination 81.94.152.хх > access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх Адрес в tunnel destination - это реальный конфиг, или опечатка?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "GRE+IP sec"		+/–
	Сообщение от mario (ok) on 16-Сен-09, 10:31
	>[оверквотинг удален] >> set peer 81.94.153.хх > >... >> >>interface Tunnel0 >>... >> tunnel destination 81.94.152.хх >> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх > >Адрес в tunnel destination - это реальный конфиг, или опечатка? перепутали айпи походу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "GRE+IP sec"		+/–
	Сообщение от Stell (??) on 16-Сен-09, 10:48
	А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом: crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac mode transport crypto ipsec profile GREIPSEC set transform-set aes-sha-transport interface Tunnel3 tunnel source xxx tunnel destination xxx tunnel protection ipsec profile GREIPSEC Суть та же, а конфиг компактнее и нагляднее. Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "GRE+IP sec"		+/–
	Сообщение от kastet (ok) on 16-Сен-09, 11:35
	>[оверквотинг удален] >> set peer 81.94.153.хх > >... >> >>interface Tunnel0 >>... >> tunnel destination 81.94.152.хх >> access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх > >Адрес в tunnel destination - это реальный конфиг, или опечатка? Спасибо большое, реальная опечатка)) Только работать не стало после этого:) От пинга ответы идут не понятные router1#ping 192.168.1.231 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds: UUUUU Success rate is 0 percent (0/5) Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "GRE+IP sec"		+/–
	Сообщение от Stell (??) on 16-Сен-09, 13:25
	> no ip classless А вот это вам зачем?! sh crypto isakmp sa sh crypto ipsec sa debug ip icmp debug crypto isakmp
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "GRE+IP sec"		+/–
	Сообщение от Stell (??) on 16-Сен-09, 13:31
	> no ip subnet-zero Это тоже абсолютно лишнее!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "GRE+IP sec"		+/–
	Сообщение от bmonk (ok) on 17-Сен-09, 13:15
	>Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда >пакеты уходят... debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору