форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация при поднятом IPSEC "	+/–
Сообщение от varlis (ok) on 21-Июн-11, 10:24
Всем привет. Никак не могу разобраться, как происходит муршрутизация в crypto map. Допустим есть две Cisco , между ними IPSec туннель. Crypto map. За центральной cisco-й есть сети 192.168.15; 192.168.100. За филиальной cisco-й есть сетка 192.168.2. так вот из сетки 192.168.2.0 видны хосты и 15-ой и 100-ой сетей. При этом если набирать на филиальной cisco show ip route то информации по этим сетям нет. Gateway of last resort is 212.212.212.212 to network 0.0.0.0 212.212.212.212/28 is subnetted, 1 subnets C 212.212.212.0 is directly connected, FastEthernet4 C 192.168.2.0/24 is directly connected, Vlan1 S* 0.0.0.0/0 [1/0] via 212.212.212.212 За центральной ciscoй появилась новая сеть к примеру 10.1.1.0 Никак не могу разобраться как мне к ней организовать доступ. Подскажите пжл!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Маршрутизация при поднятом IPSEC "	+1 +/–
Сообщение от Rez (ok) on 21-Июн-11, 13:03
>[оверквотинг удален] > При этом если набирать на филиальной cisco show ip route то информации > по этим сетям нет. > Gateway of last resort is 212.212.212.212 to network 0.0.0.0 > 212.212.212.212/28 is subnetted, 1 subnets > C 212.212.212.0 is directly connected, FastEthernet4 > C 192.168.2.0/24 is directly connected, Vlan1 > S* 0.0.0.0/0 [1/0] via 212.212.212.212 > За центральной ciscoй появилась новая сеть к примеру 10.1.1.0 Никак не могу > разобраться как мне к ней организовать доступ. > Подскажите пжл! Добрый день. если у вас настроен Plain IPsec, то весь интересный трафик прописывается в ACL, например для цетрального офиса: crypto map MAP 1 ipsec-isakmp set peer 1.0.0.1 set transform-set VPN_SET match address 101 ! access-list 101 remark Crypto map access-list 101 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ! ну и для филиала список доступа должен быть настроен зеркально. при этом если используется NAT то надо этот трафик исключить из трансляции.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 15:12
	>[оверквотинг удален] >  set transform-set VPN_SET >  match address 101 > ! > access-list 101 remark Crypto map > access-list 101 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255 > access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255 > access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255 > ! > ну и для филиала список доступа должен быть настроен зеркально. при этом > если используется NAT то надо этот трафик исключить из трансляции. СПАСИБО! Сейчас попробую. правда у меня вот что: Филиальная cisco show crypto map Crypto Map "NAME" 10 ipsec-isakmp         Description: VPN-Moscow         Peer = XXXX         Peer = YYYY         Extended IP access list 150             access-list 150 permit ip 192.168.2.0 0.0.0.255 192.168.15.0 0.0.0.255             access-list 150 permit ip 192.168.2.0 0.0.0.255 192.168.100.0 0.0.0.255             access-list 150 permit ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15         Current peer: YYYY         Security association lifetime: 4608000 kilobytes/3600 seconds         PFS (Y/N): N         Transform sets...         Interfaces using crypto map NAME:                 FastEthernet4 NAT ip nat inside source list 105 interface FastEthernet4 overload access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 access-list 105 deny   tcp host 192.168.2.100 eq 3389 any access-list 105 permit ip 192.168.2.0 0.0.0.255 any Что такое: access-list 101 """REMARK""" Crypto map На центральной сиске есть аксессы наоборот. правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто политически). Перегружать наверно не надо же?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 15:29
	>>[оверквотинг удален] >>  И кстати пришла в голову неприятная мысль - из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28 В то же время этот хост натится центральной сиской и снимать нат с него думаю, критично. это "агат" - VOIP шлюз.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Маршрутизация при поднятом IPSEC "	+1 +/–
	Сообщение от Rez (ok) on 21-Июн-11, 15:36
	>>>[оверквотинг удален] >>>  И кстати пришла в голову неприятная мысль - > из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28 > В то же время этот хост натится центральной сиской и снимать нат > с него думаю, критично. > это "агат" - VOIP шлюз. хост должен быть доступен через туннель или через интернет? если через тунель, то поправьте ACL для IPsec, что бы была доступна сеть 10.1.1.0\28 если через инет, то можно воспользоваться портмапингом.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 15:46
	>>>>[оверквотинг удален] >>>>  И кстати пришла в голову неприятная мысль - >> из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28 >> В то же время этот хост натится центральной сиской и снимать нат >> с него думаю, критично. >> это "агат" - VOIP шлюз. > хост должен быть доступен через туннель или через интернет? > если через тунель, то поправьте ACL для IPsec, что бы была доступна > сеть 10.1.1.0\28 > если через инет, то можно воспользоваться портмапингом. Хост должен бть доступен и через интернет (нат на public ip) и через ipsec.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Маршрутизация при поднятом IPSEC "	+1 +/–
	Сообщение от Rez (ok) on 21-Июн-11, 15:52
	>[оверквотинг удален] >>> из филиала нужно поручено организовать доступ до хоста 10.1.1.6/28 >>> В то же время этот хост натится центральной сиской и снимать нат >>> с него думаю, критично. >>> это "агат" - VOIP шлюз. >> хост должен быть доступен через туннель или через интернет? >> если через тунель, то поправьте ACL для IPsec, что бы была доступна >> сеть 10.1.1.0\28 >> если через инет, то можно воспользоваться портмапингом. > Хост должен бть доступен и через интернет (нат на public ip) и > через ipsec. что бы был доступен из инета. можно сделать портмапинг ip nat inside source static tcp 10.1.1.6 номер_порта внешний_ip номер_порта extendable тогда при обращении к внешний_ip номер_порта запрос будет пересылаться на 10.1.1.6 номер_порта.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	4. "Маршрутизация при поднятом IPSEC "	+1 +/–
	Сообщение от Rez (ok) on 21-Июн-11, 15:33
	>[оверквотинг удален] > NAT > ip nat inside source list 105 interface FastEthernet4 overload > access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 > access-list 105 deny   tcp host 192.168.2.100 eq 3389 any > access-list 105 permit ip 192.168.2.0 0.0.0.255 any > Что такое: access-list 101 """REMARK""" Crypto map > На центральной сиске есть аксессы наоборот. > правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто > политически). > Перегружать наверно не надо же? remark Crypto map - это просто пометка. в список доступа 105 надо добавить строку access-list 105 deny   ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15 чтобы исключить шифрованый трафик в подсеть 10.1.1.0 эту строку надо добавить перед access-list 105 permit ip 192.168.2.0 0.0.0.255 any раутер перегружать не надо.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 16:07
	>[оверквотинг удален] >> На центральной сиске есть аксессы наоборот. >> правда не уверен насчет ната. сейчас посмотрю. (просто это не так просто >> политически). >> Перегружать наверно не надо же? > remark Crypto map - это просто пометка. > в список доступа 105 надо добавить строку > access-list 105 deny   ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.15 > чтобы исключить шифрованый трафик в подсеть 10.1.1.0 > эту строку надо добавить перед access-list 105 permit ip 192.168.2.0 0.0.0.255 any > раутер перегружать не надо. Добавил -не помогает (. Локальный интерфейс уентральной циски к примеру 10.1.1.1- не пингую. 10.1.1.6 тоже вот crypto map центральной циски Crypto Map "NAME" 80 ipsec-isakmp         Description: KL...         Peer = XXXX         Extended IP access list 117             access-list 117 permit ip 192.168.15.0 0.0.0.255 192.168.2.0 0.0.0.255             access-list 117 permit ip 192.168.100.0 0.0.0.255 192.168.2.0 0.0.0.255             access-list 117 permit ip 10.1.1.0 0.0.0.15 192.168.2.0 0.0.0.255         Current peer: XXXX         Security association lifetime: 4608000 kilobytes/3600 seconds         PFS (Y/N): N         Transform sets={                 name,         }
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от Николай_kv on 21-Июн-11, 16:41
	приведите полный конфиг на стороне ГО и отделения что показывает sh cryp sess det
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 17:41
	> приведите полный конфиг на стороне ГО и отделения > что показывает sh cryp sess det Филиал sh cryp sess det Interface: FastEthernet4 Uptime: 05:02:11 Session status: UP-ACTIVE     Peer: ..187.82 port 500 fvrf: (none) ivrf: (none)       Phase1_id: ...187.82       Desc: (none)   IKE SA: local ...62.3/500 remote ...187.82/500 Active           Capabilities:(none) connid:2035 lifetime:23:25:23   IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 192.168.100.0/255.255.255.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 1423077 drop 0 life (KB/Sec) 4525038/3027         Outbound: #pkts enc'ed 1632244 drop 7 life (KB/Sec) 4525021/3027   IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 10.1.1.0/255.255.255.240         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 35 drop 0 life (KB/Sec) 4492831/1523         Outbound: #pkts enc'ed 65 drop 1 life (KB/Sec) 4492831/1523   IPSEC FLOW: permit ip 192.168.2.0/255.255.255.0 192.168.15.0/255.255.255.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 486873 drop 0 life (KB/Sec) 4588794/3114         Outbound: #pkts enc'ed 900447 drop 24 life (KB/Sec) 4588790/3114 Г О: Interface: FastEthernet0/0.2 Session status: UP-ACTIVE     Peer: ...62.3 port 500 fvrf: (none) ivrf: (none)       Phase1_id: ...62.3       Desc: (none)   IKE SA: local ..187.82/500 remote ..62.3/500 Active           Capabilities:(none) connid:1509 lifetime:23:12:35   IPSEC FLOW: permit ip 192.168.100.0/255.255.255.0 192.168.2.0/255.255.255.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 388058 drop 2 life (KB/Sec) 4384501/2259         Outbound: #pkts enc'ed 344437 drop 2 life (KB/Sec) 4384557/2259   IPSEC FLOW: permit ip 10.1.1.0/255.255.255.240 192.168.2.0/255.255.255.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 84 drop 0 life (KB/Sec) 4586629/755         Outbound: #pkts enc'ed 53 drop 1 life (KB/Sec) 4586630/755   IPSEC FLOW: permit ip 192.168.15.0/255.255.255.0 192.168.2.0/255.255.255.0         Active SAs: 2, origin: crypto map         Inbound:  #pkts dec'ed 631818 drop 0 life (KB/Sec) 4530096/2346         Outbound: #pkts enc'ed 327297 drop 4 life (KB/Sec) 4530372/2346 Огромное спасибо за ценные советы. подключил в ГО ноутбук, дал ему 10.1.1.9 -с хоста из филиала из сетки 192.168.2.0 пингуется, пингуется и локальный интерфейс головной циски 10.1.1.1 Однако не пингуется этот VOIP шлюз - 10.1.1.6 Сейчас конфиг ГО выложу
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 18:15
	>> приведите полный конфиг на стороне ГО и отделения >> что показывает sh cryp sess det > Искренне Благодарю Вас, товарищи за ценные советы. Я человек новый в компании - говорят разбирайся, при этом спросить не у кого. Тот кто делал все эти конфигурации... из хистори. копаю дальше и вот что обнаружил: gw#show ip nat translations | include 10.1.1.6 udp  1.1.187.85:1025    10.1.1.6:5060         2.2.224.32:5060    2.2.128.224.32:5060 udp  1.1.187.85:1025    10.1.1.6:5060         2.2.176.20:5060    2.2.176.20:5060 udp ...187.85:9000    10.1.1.6:9000         ...224.32:7024    ...224.32:7024 udp ...187.85:9001    10.1.1.6:9001         ...224.32:7025    ...224.32:7025 и т д. далее conf: ... ip nat pool voip2 1.1.187.85 1.1.187.85 netmask 255.255.255.248 далее ... ip nat inside source route-map WC_VoipServiceT_NAT pool voip2 overload и далее route-map WC_VoipServiceT_NAT permit 10 match ip address 195 match interface FastEthernet0/0.2 ... Standard IP access list 10     10 permit 10.1.1.3 Extended IP access list 195     10 permit ip host 10.1.1.6 any (58 matches) interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 1.1.187.82 255.255.255.248 ip access-group 103 in ip access-group 104 out ip flow ingress ip nat outside ip virtual-reassembly drop-fragments no snmp trap link-status crypto map c-capital Ну вот не знаю нужно ли еще приводить аксессы 103 и 104. в них есть access-list 103 permit icmp any any access-list 104 permit icmp any any Вот не совсем понял про route map. Поделитесь плиз опытом куда копать дальше?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Маршрутизация при поднятом IPSEC "	+/–
	Сообщение от varlis (ok) on 21-Июн-11, 18:14
	что-то заглючило
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Маршрутизация при поднятом IPSEC  Новые факторы"	+/–
Сообщение от varlis (ok) on 21-Июн-11, 18:11
Благодарю Вас, товарищи за ценные советы. Я человек новый в компании - говорят разбирайся, при этом спросить не у кого. Тот кто делал все эти конфигурации... из хистори. копаю дальше и вот что обнаружил: gw#show ip nat translations | include 10.1.1.6 udp  1.1.187.85:1025    10.1.1.6:5060         2.2.224.32:5060    2.2.128.224.32:5060 udp  1.1.187.85:1025    10.1.1.6:5060         2.2.176.20:5060    2.2.176.20:5060 udp ...187.85:9000    10.1.1.6:9000         ...224.32:7024    ...224.32:7024 udp ...187.85:9001    10.1.1.6:9001         ...224.32:7025    ...224.32:7025 и т д. далее conf: ... ip nat pool voip2 1.1.187.85 1.1.187.85 netmask 255.255.255.248 далее ... ip nat inside source route-map WC_VoipServiceT_NAT pool voip2 overload и далее route-map WC_VoipServiceT_NAT permit 10 match ip address 195 match interface FastEthernet0/0.2 ... Standard IP access list 10     10 permit 10.1.1.3 Extended IP access list 195     10 permit ip host 10.1.1.6 any (58 matches) interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 1.1.187.82 255.255.255.248 ip access-group 103 in ip access-group 104 out ip flow ingress ip nat outside ip virtual-reassembly drop-fragments no snmp trap link-status crypto map c-capital Ну вот не знаю нужно ли еще приводить аксессы 103 и 104. в них есть access-list 103 permit icmp any any access-list 104 permit icmp any any Вот не совсем понял про route map. Поделитесь плиз опытом куда копать дальше?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Маршрутизация при поднятом IPSEC  Новые факторы"	+1 +/–
	Сообщение от Rez (ok) on 22-Июн-11, 07:14
	>[оверквотинг удален] >  ip nat outside >  ip virtual-reassembly drop-fragments >  no snmp trap link-status >  crypto map c-capital > Ну вот не знаю нужно ли еще приводить аксессы 103 и 104. > в них есть > access-list 103 permit icmp any any > access-list 104 permit icmp any any > Вот не совсем понял про route map. Поделитесь плиз опытом куда копать > дальше? Выкладывайте конфиги раутеров. по разнообразным кусам очень тяжело помогать.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Маршрутизация при поднятом IPSEC  Новые факторы"	+/–
	Сообщение от varlis (ok) on 22-Июн-11, 10:27
	>[оверквотинг удален] >>  ip virtual-reassembly drop-fragments >>  no snmp trap link-status >>  crypto map c-capital >> Ну вот не знаю нужно ли еще приводить аксессы 103 и 104. >> в них есть >> access-list 103 permit icmp any any >> access-list 104 permit icmp any any >> Вот не совсем понял про route map. Поделитесь плиз опытом куда копать >> дальше? > Выкладывайте конфиги раутеров. по разнообразным кусам очень тяжело помогать. Огромное спасибо за помощь. привел access-list 195 в формат: 9 deny ip host 10.1.1.6 192.168.2.0 0.0.0.255 10 permit ip host 10.1.1.6 any Заработало. Вот еще исчерпывающая статья может кому поможет : http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема