форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Нет соединений по VPN каналу"	+/–
Сообщение от SLSit10 (ok) on 21-Янв-14, 10:07
B]Уважаемые эксперты, нужна помощь в настройки VPN туннеля между двумя маршрутизаторамы Cisco, из статей в интернете попробовал настроит самостоятельно, но ничего не получается. Напишу подробнее, есть провайдер который на RouterA дал ip address 10.145.10.62 (шлюз 40) 255.255.255.240 (local-192.168.98.1) а на RouterB 10.145.151.61 (шлюз 1) 255.255.255.0 (local-192.168.99.1), а настраиваю так: Настройка RouterА Создаю политику ISAKMP с приоритетом 1 и вхожу в режим конфигурации ISAKMP. Здесь устанавливаю общие параметры для установки туннеля. Указываю алгоритмы хэш-функции и шифрования. crypto isakmp policy 1 hash md5 encryption 3des authentication pre-share group 2 crypto isakmp key cisco123 address 10.145.151.7 Далее определяется список выполняемых операций для установки подлинности данных, конфиденциальности и сжатия. Беру протокол шифрования сетевого трафика ESP использует DES и MD5. crypto ipsec transform-set rtpset esp-des esp-md5-hmac Создаю расширенные списки контроля доступа acl 102. В него указываю подсет, трафик между которыми будем шифроваться. access-list 102 permit ip 192.168.98.0 0.0.0.255 192.168.99.0 0.0.0.255 Создаю крипто-карту для удаленного VPN – маршрутизатора B. Указываю соответствующие IP-адреса. crypto map rtp 2 ipsec-isakmp set peer 10.145.151.7 set transform-set rtpset match address 102 exit Теперь назначаю внешнему интерфейсу созданную крипто-карту rtp. И указываю максимальный размер сегмента MSS interface GigabitEthernet0/0 ip address 10.145.10.62 255.255.255.240 ip tcp adjust-mss 1400 crypto map rtp Настройка RouterB crypto isakmp policy 1 hash md5 encryption 3des authentication pre-share group 2 crypto isakmp key cisco123 address 10.145.10.62 crypto ipsec transform-set rtpset esp-des esp-md5-hmac access-list 101 permit ip 192.168.99.0 0.0.0.255 192.168.98.0 0.0.0.255 crypto map rtp 2 ipsec-isakmp set peer 10.145.10.62 set transform-set rtpset match address 101 interface GigabitEthernet0/0 ip address 10.145.151.7 255.255.255.0 ip tcp adjust-mss 1400 crypto map rtp и присваиваю обоим шлюз, но нет результатов.... может где-то я делаю ошибку... подскажите пожалуйста.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Нет соединений по VPN каналу"	+/–
Сообщение от GolDi (??) on 21-Янв-14, 10:12
>[оверквотинг удален] > crypto map rtp 2 ipsec-isakmp > set peer 10.145.10.62 > set transform-set rtpset > match address 101 > interface GigabitEthernet0/0 > ip address 10.145.151.7 255.255.255.0 > ip tcp adjust-mss 1400 > crypto map rtp > и присваиваю обоим шлюз, но нет результатов.... может где-то я делаю ошибку... > подскажите пожалуйста.   А NAT-а нет что-ли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нет соединений по VPN каналу"	+/–
Сообщение от alecx (ok) on 21-Янв-14, 10:16
sh cry ips sa sh ver ip route есть в нужные подсети? как проверяете что нет соединения?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Нет соединений по VPN каналу"	+/–
	Сообщение от alecx (ok) on 21-Янв-14, 10:17
	> sh cry ips sa > sh ver > ip route есть в нужные подсети? > как проверяете что нет соединения? И полный конфиг внешних и внутренних интерфейсов
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Нет соединений по VPN каналу"	+/–
	Сообщение от SLSit10 (ok) on 21-Янв-14, 10:25
	>> sh cry ips sa >> sh ver >> ip route есть в нужные подсети? >> как проверяете что нет соединения? > И полный конфиг внешних и внутренних интерфейсов RouterA# Building configuration... Current configuration : 2038 bytes ! ! Last configuration change at 13:10:55 UTC Thu Jan 16 2014 ! NVRAM config last updated at 13:10:57 UTC Thu Jan 16 2014 ! NVRAM config last updated at 13:10:57 UTC Thu Jan 16 2014 version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterA ! boot-start-marker boot-end-marker ! enable secret 5 $1$1mLF$C4F6G.PgOaWxFybnMFMh11 ! no aaa new-model ! no ipv6 cef ! ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! license udi pid CISCO1941/K9 sn FGL1714224W license boot module c1900 technology-package securityk9 license boot module c1900 technology-package datak9 ! redundancy ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco123 address 10.145.151.61 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto map rtp 2 ipsec-isakmp set peer 10.145.151.61 set transform-set rtpset match address 102 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 10.145.10.62 255.255.255.240 ip tcp adjust-mss 1400 duplex auto speed auto crypto map rtp ! interface GigabitEthernet0/1 ip address 192.168.98.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0/0 no ip address ! interface GigabitEthernet0/0/1 no ip address ! interface GigabitEthernet0/0/2 no ip address ! interface GigabitEthernet0/0/3 no ip address ! interface Vlan1 no ip address ! ip default-gateway 10.145.10.40 ip forward-protocol nd ! no ip http server no ip http secure-server ! access-list 102 permit ip 192.168.98.0 0.0.0.255 192.168.99.0 0.0.0.255 ! control-plane ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end RouterB# Building configuration... Current configuration : 2056 bytes ! ! Last configuration change at 04:46:56 UTC Fri Jan 17 2014 ! NVRAM config last updated at 04:48:13 UTC Fri Jan 17 2014 ! NVRAM config last updated at 04:48:13 UTC Fri Jan 17 2014 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterB ! boot-start-marker boot-end-marker ! ! enable secret 4 daKYKG/09tp/TYVbvxlDi8/85nzz5u/yaMu4xzSWSiA ! no aaa new-model ! ! no ipv6 cef ip source-route ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO1941/K9 sn FGL163712DS license boot module c1900 technology-package securityk9 license boot module c1900 technology-package datak9 ! redundancy ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key cisco123 address 10.145.10.62 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto map rtp 2 ipsec-isakmp set peer 10.145.10.62 set transform-set rtpset match address 101 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 10.145.151.61 255.255.255.0 ip tcp adjust-mss 1400 duplex auto speed auto crypto map rtp ! interface GigabitEthernet0/1 ip address 192.168.99.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0/0 no ip address ! interface GigabitEthernet0/0/1 no ip address ! interface GigabitEthernet0/0/2 no ip address ! interface GigabitEthernet0/0/3 no ip address ! interface Vlan1 no ip address ! ip default-gateway 10.145.151.1 ip forward-protocol nd ! no ip http server no ip http secure-server ! ! access-list 101 permit ip 192.168.99.0 0.0.0.255 192.168.98.0 0.0.0.255 ! control-plane ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Нет соединений по VPN каналу"	+/–
	Сообщение от alecx (ok) on 21-Янв-14, 10:29
	ip default-gateway 10.145.151.1 - мимо кассы ip routing ip route 0.0.0.0 0.0.0.0 10.145.151.1 ip route 192.168.99.0 0.0.0.255 10.145.10.62 на первом аналогично. и сделайте: sh cry ips sa sh ver
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Нет соединений по VPN каналу"	+/–
	Сообщение от SLSit10 (ok) on 21-Янв-14, 15:01
	RouterA# interface: GigabitEthernet0/0     Crypto map tag: rtp, local addr 10.145.10.62    protected vrf: (none)    local  ident (addr/mask/prot/port): (192.168.98.0/255.255.255.0/0/0)    remote ident (addr/mask/prot/port): (192.168.99.0/255.255.255.0/0/0)    current_peer 10.145.151.61 port 500      PERMIT, flags={origin_is_acl,}     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0     #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: 10.145.10.62, remote crypto endpt.: 10.145.151.61      path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0      current outbound spi: 0x0(0)      PFS (Y/N): N, DH group: none      inbound esp sas:      inbound ah sas:      inbound pcp sas:      outbound esp sas:      outbound ah sas:      outbound pcp sas: RouterB# interface: GigabitEthernet0/0     Crypto map tag: rtp, local addr 10.145.151.61    protected vrf: (none)    local  ident (addr/mask/prot/port): (192.168.99.0/255.255.255.0/0/0)    remote ident (addr/mask/prot/port): (192.168.98.0/255.255.255.0/0/0)    current_peer 10.145.10.62 port 500      PERMIT, flags={origin_is_acl,}     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0     #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: 10.145.151.61, remote crypto endpt.: 10.145.10.62      path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0      current outbound spi: 0x0(0)      PFS (Y/N): N, DH group: none      inbound esp sas:      inbound ah sas:      inbound pcp sas:      outbound esp sas:      outbound ah sas:      outbound pcp sas:
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Нет соединений по VPN каналу"	+/–
	Сообщение от alecx (ok) on 21-Янв-14, 16:30
	Счетчики #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 с двух сторон говорят о том, что в туннель не попадает траффик. Это обычно связанно с неправильным ACL или маршрутизацией. 1. Проверьте ACL. 2. Пропишите маршруты. 3. Добавьте в crypto map с каждой стороны:      set pfs group2
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Нет соединений по VPN каналу"	+/–
	Сообщение от SLSit10 (ok) on 21-Янв-14, 16:55
	> Счетчики > #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 > #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 > с двух сторон говорят о том, что в туннель не попадает траффик. > Это обычно связанно с неправильным ACL или маршрутизацией. > 1. Проверьте ACL. > 2. Пропишите маршруты. > 3. Добавьте в crypto map с каждой стороны: >      set pfs group2 в ACL-е вроде все норм, добавил в crypto map с каждой стороны: set pfs group2, пинг со стороны RouterA проходит до шлюза RouterB, но RouterB не видет своего шлюза
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Нет соединений по VPN каналу"	+/–
	Сообщение от бен Бецалель on 22-Янв-14, 06:26
	сделайте gre туннель между цысками и зашифруйте ipsec профилем удобнее и понятнее в настройке и отладке
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Нет соединений по VPN каналу"	+/–
	Сообщение от SLSit10 (ok) on 22-Янв-14, 13:06
	> сделайте gre туннель между цысками > и зашифруйте ipsec профилем > удобнее и понятнее в настройке и отладке Можно по точнее? просто я пока новичок в этом  деле, а в форумах по разному советуют, иду то по одной пути, то по другой, и в конце запутался... есть ли конкретные советы? или конкретные настройки VPN между двумя Cisco маршрутизаторами.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Нет соединений по VPN каналу"	+/–
	Сообщение от SLSit10 (ok) on 24-Янв-14, 12:55
	Значит тут ответов не жди....
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Нет соединений по VPN каналу"	+1 +/–
	Сообщение от Merridius (ok) on 24-Янв-14, 13:24
	> Значит тут ответов не жди.... Потому что сначала нужно не по форумам ходить, а с документацией ознакомиться. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and... Изучайте, что не понятно спрашивайте.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Нет соединений по VPN каналу"	+/–
	Сообщение от inte (ok) on 27-Янв-14, 17:13
	>[оверквотинг удален] >> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 >> с двух сторон говорят о том, что в туннель не попадает траффик. >> Это обычно связанно с неправильным ACL или маршрутизацией. >> 1. Проверьте ACL. >> 2. Пропишите маршруты. >> 3. Добавьте в crypto map с каждой стороны: >>      set pfs group2 > в ACL-е вроде все норм, добавил в crypto map с каждой стороны: > set pfs group2, пинг со стороны RouterA проходит до шлюза RouterB, > но RouterB не видет своего шлюза И все таки похоже на проблемы с ACL и маршрутами. Что значит с RouterB не видит шлюза ? вывод ping 10.145.151.1    с routerB Ещё сбросьте счетчики acl clear access-list counters И делайте пинг в сторону вашей сети 192.168.99.0 с routerB смотрите show access-list меняется ли количество вхождений по правилу (mathes) - должно меняться ! Далее включить debug crypto isakmp, debug crypto ipsec. Не забыть про команду terminal monitor, сам про неё все время забываю. Вывод сюда.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема