The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не поднимается IPSEC после смены провайдера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Не поднимается IPSEC после смены провайдера"  +/
Сообщение от Nniko email(ok) on 02-Ноя-12, 16:16 
Доброго времени суток.
Ситуация следующая:
сторона А - cisco 2811 (выделенная линия, статический IP)
сторона Б - cisco 1841 (PPPoE-сессия, IP-постоянный(2.2.2.2) , прилетает по DHCP)
между ними был поднят IPSEC-GRE тунель. Все работало прекрасно.
На стороне А поменяли провайдера. Вместо выделенной линии теперь имеем тоже PPPoE сессию (IP 1.1.1.1).
Поменял настройки в обоих конфигах. Инет есть, GRE-тунель есть и работает, но когда подключаешь на интерфейсы dialer - crypto map - связи нет.
Не пойму где засада.

конфиг 2811:
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ****** address 2.2.2.2
!
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
!
!
crypto map cr_outside 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel1
ip address 192.168.68.1 255.255.255.0
ip access-group firewall-spdn in
ip mtu 1400
tunnel source Dialer0
tunnel destination 2.2.2.2
!
interface Dialer0
ip address negotiated
ip access-group firewall in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname РРРРРРРРРРР
ppp chap password SSSSSSSSSSS
crypto map cr_outside
!
ip access-list extended firewall
permit tcp any eq domain any
permit udp any eq domain any
permit esp host 2.2.2.2 host 1.1.1.1
permit gre host 2.2.2.2 host 1.1.1.1
permit udp host 2.2.2.2 eq isakmp host 1.1.1.1
permit icmp any any
permit udp any eq ntp any eq ntp
permit tcp any any eq 1723
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 4090
permit tcp any any eq 8080
permit udp any any eq 8080
permit udp any any eq 4090
permit tcp any any eq 33333
permit udp any any eq 33333
deny   ip any any
!
access-list 110 permit gre host 1.1.1.1 host 2.2.2.2

конфиг 1841:

!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ****** address 1.1.1.1
!
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set ts-aes-sha
match address 110
!
interface Tunnel2
ip address 192.168.68.2 255.255.255.0
ip mtu 1400
tunnel source Dialer0
tunnel destination 1.1.1.1
!
interface Dialer0
ip address negotiated
ip access-group firewall in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username USER password 7 3135135135213213521
crypto map cr_outside
!
ip access-list extended firewall
permit tcp any eq domain any
permit udp any eq domain any
permit gre host 1.1.1.1 host 2.2.2.2
permit udp host 1.1.1.1 eq isakmp host 2.2.2.2
permit esp host 1.1.1.1 host 2.2.2.2
permit icmp any any
permit udp any eq ntp any eq ntp
deny   ip any any
!
access-list 110 permit gre host 2.2.2.2 host 1.1.1.1


логи:
2811
#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst        src        state          conn-id slot status
2.2.2.2    1.1.1.1    MM_NO_STATE          0    0 ACTIVE
2.2.2.2    1.1.1.1    MM_NO_STATE          0    0 ACTIVE (deleted)

1841
#sh crypto isakmp sa
dst        src        state          conn-id slot status
1.1.1.1    2.2.2.2    MM_NO_STATE          0    0 ACTIVE
1.1.1.1    2.2.2.2    MM_NO_STATE          0    0 ACTIVE (deleted)
2.2.2.2    1.1.1.1    MM_SA_SETUP          8    0 ACTIVE
2.2.2.2    1.1.1.1    MM_NO_STATE          7    0 ACTIVE (deleted)


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не поднимается IPSEC после смены провайдера"  +/
Сообщение от McS555 (ok) on 05-Ноя-12, 12:26 
Убери на время все "лишнее".

Например ip access-group firewall in

и дебаг включи

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не поднимается IPSEC после смены провайдера"  +/
Сообщение от Nniko email(ok) on 06-Ноя-12, 10:22 
> Убери на время все "лишнее".
> Например ip access-group firewall in
> и дебаг включи

странно, но это помогло)
убрал на 2811 на Dialer0
ip access-group firewall in

и сразу же заработало, причем тут же добавил эту строчку обратно и все по прежнему работает.
Мистика какая-то.

Спасибо за подсказку.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не поднимается IPSEC после смены провайдера"  +/
Сообщение от McS555 (ok) on 06-Ноя-12, 11:31 
>> Убери на время все "лишнее".
>> Например ip access-group firewall in
>> и дебаг включи
> странно, но это помогло)
> убрал на 2811 на Dialer0
> ip access-group firewall in
> и сразу же заработало, причем тут же добавил эту строчку обратно и
> все по прежнему работает.
> Мистика какая-то.
> Спасибо за подсказку.

А ты сделай clear cry isakmp , и наверное опять ничего работать не будет!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не поднимается IPSEC после смены провайдера"  +/
Сообщение от Nniko email(ok) on 06-Ноя-12, 15:45 
>[оверквотинг удален]
>>> и дебаг включи
>> странно, но это помогло)
>> убрал на 2811 на Dialer0
>> ip access-group firewall in
>> и сразу же заработало, причем тут же добавил эту строчку обратно и
>> все по прежнему работает.
>> Мистика какая-то.
>> Спасибо за подсказку.
> А ты сделай clear cry isakmp , и наверное опять ничего работать
> не будет!

нашел свою ошибку. В ACL firewall неверно написал ip-адрес, поменял местами 2 цифры внутри и не заметил.
Все работает). Всем спасибо.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру