The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не поднимается IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не поднимается IPSec"  +/
Сообщение от apex (ok) on 15-Июн-09, 13:35 
Здравствуйте!
Подскажите, не поднимается IPSec между маршрутизаторами. Все команды проходят, пинг есть, а трафик не шифруется.
R1-GG#show crypto ipsec sa
interface: FastEthernet1
    Crypto map tag: MAP, local addr 10.10.1.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.255/0/0)
   current_peer 10.10.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.10.1.1, remote crypto endpt.: 10.10.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:

Вот конфиг основной циски:
R1-GG#sh run
Building configuration...
Current configuration : 2109 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1-GG
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1
enable password 7 759384340569
!
no aaa new-model
!
dot11 syslog
!
ip cef
!
ip domain name cisco.com
!
multilink bundle-name authenticated
isdn switch-type basic-net3
!
username 1t privilege 15 password 7 011
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86000
crypto isakmp key 5 address 10.10.1.2
!
crypto ipsec transform-set TRAN esp-des esp-md5-hmac
!
crypto map MAP local-address FastEthernet1
crypto map MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set TRAN
match address 101
!
archive
log config
  hidekeys
!
ip ssh version 2
!
interface FastEthernet0
ip address 172.16.1.250 255.255.0.0
speed auto
full-duplex
!
interface FastEthernet1
ip address 10.10.1.1 255.255.255.0
speed auto
full-duplex
crypto map MAP
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn switch-type basic-net3
isdn point-to-point-setup
!
interface FastEthernet2
switchport access vlan 20
!
interface FastEthernet3
switchport access vlan 30

interface Vlan1
no ip address
shutdown
!
interface Vlan20
ip address 10.10.2.1 255.255.255.0
!
interface Vlan30
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.0.254
ip route 192.168.1.0 255.255.255.0 10.10.1.2
ip route 192.168.3.0 255.255.255.0 10.10.2.2
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 172.16.0.0 host 192.168.1.0
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password 7 1302
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end

Вот конфиг циски филиала:
R1-AA#sh run
Building configuration...
Current configuration : 1720 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1-AA
!
boot-start-marker
boot-end-marker
!
enable password 7 01
!
no aaa new-model
!
dot11 syslog
!

ip cef
!

ip domain name cisco.com
!
multilink bundle-name authenticated
!
username 1t privilege 15 password 7 121
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 86000
crypto isakmp key 5 address 10.10.1.1
!
crypto ipsec transform-set TRAN esp-des esp-md5-hmac
!
crypto map MAP local-address FastEthernet1
crypto map MAP 10 ipsec-isakmp
set peer 10.10.1.1
set transform-set TRAN
match address 101
!
archive
log config
  hidekeys
!
ip ssh version 2
!
interface FastEthernet0
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1
ip address 10.10.1.2 255.255.255.0
duplex auto
speed auto
crypto map MAP
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
switchport access vlan 20
interface Vlan1
no ip address
!
interface Vlan20
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.0.254
ip route 172.16.0.0 255.255.0.0 10.10.1.1
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 192.168.1.0 host 172.16.0.0
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
end

Подскажите, что упустил из виду или настроил не так. Спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не поднимается IPSec"  +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 14:00 
access-list 101 permit ip host 172.16.0.0 host 192.168.1.0

access-list 101 permit ip host 192.168.1.0 host 172.16.0.0

ГЫ....
подумайте что написали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 15-Июн-09, 14:30 
>access-list 101 permit ip host 172.16.0.0 host 192.168.1.0
>
>access-list 101 permit ip host 192.168.1.0 host 172.16.0.0
>
>ГЫ....
>подумайте что написали.

Подумал - нужно было сделать ограничение по IP адресам (в основном офисе несколько сеток и не всем нужно видить филиал). Не все же гуру в цисках. ACL убирал, все равно итог такой же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не поднимается IPSec"  +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 14:37 
нихрена не подумали.
192.168.1.0 - чей это адрес?
172.16.0.0  - а это чей?
адреса реальные пишите, кому и куда положено, столько и правил в этот ACL
ну или сети пишите с маской, без host

и вот это вот не надо
ip route 172.16.0.0 255.255.0.0 10.10.1.1
и на другой стороне не надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 15-Июн-09, 15:02 
>нихрена не подумали.
>192.168.1.0 - чей это адрес?
>172.16.0.0  - а это чей?
>адреса реальные пишите, кому и куда положено, столько и правил в этот
>ACL
>ну или сети пишите с маской, без host
>
>и вот это вот не надо
>ip route 172.16.0.0 255.255.0.0 10.10.1.1
>и на другой стороне не надо

Спасибо конечно за доходчивость.
ip route нужен для маршрутизации между интернетом и филиалом. Циска раздается через DHCP как шлюз.
ACL переписал (делаю это всего 3 раз), затем просто исключил.
Но все равно получается вот так:
protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 10.10.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.10.1.1, remote crypto endpt.: 10.10.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1
     current outbound spi: 0x0(0)

Если у Вас есть направление моей ошибке, подскажите. Может все-таки ACL здесь не причем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не поднимается IPSec"  +1 +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 15:09 
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
на другой стороне наоборот
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

ip route не нужен, если вы хотите совет - получите, а не спорьте.

у Вас есть mach address 101
и так завернется все то что указано в 101 ACL

no ip route 192.168.1.0 255.255.255.0 10.10.1.2

no ip route 172.16.0.0 255.255.0.0 10.10.1.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не поднимается IPSec"  +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 15:13 
потом попробуйте из одной сети пингануть другую, с компа комп, а не с рутера
и посмотрите вывод
sh cry isa sa

вы должны увидеть поднятое соединение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 15-Июн-09, 16:27 
>[оверквотинг удален]
>
>ip route не нужен, если вы хотите совет - получите, а не
>спорьте.
>
>у Вас есть mach address 101
>и так завернется все то что указано в 101 ACL
>
>no ip route 192.168.1.0 255.255.255.0 10.10.1.2
>
>no ip route 172.16.0.0 255.255.0.0 10.10.1.1

Не я не спорю. Возможно это такая манера общения. Я просто объяснил зачем они были нужны. ACL написал. Маршруты удалил. Пинг пропал. Совсем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не поднимается IPSec"  +1 +/
Сообщение от zzzzzak (ok) on 15-Июн-09, 15:16 
192.168.1.0, 172.16.0.0  - в моем понимании это подсети, а ты пишешь хосты.

напиши 101 акл вот так:

access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

А если трафик надо фильтровать - то делай это на крипто мапе:
set ip access-group <ИМЯ АКЦЕСС-ЛИСТА> in

и еще маршруты я б написал не через некст-хоп, а через интерфейс вот так:

ip route 192.168.1.0 255.255.255.0 FastEthernet1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 15-Июн-09, 16:31 
>[оверквотинг удален]
>access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
>
>А если трафик надо фильтровать - то делай это на крипто мапе:
>
>set ip access-group <ИМЯ АКЦЕСС-ЛИСТА> in
>
>и еще маршруты я б написал не через некст-хоп, а через интерфейс
>вот так:
>
>ip route 192.168.1.0 255.255.255.0 FastEthernet1

Спасибо ACL уже подправил.
Маршруты пробую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не поднимается IPSec"  +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 18:13 
ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
автоматом заворот идет по 101 листу.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не поднимается IPSec"  +/
Сообщение от apex2009 (ok) on 15-Июн-09, 19:01 
>ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
>
>автоматом заворот идет по 101 листу.

Удалил маршруты, совсем. Пропал пинг между хостами.
Т.е. делал пинг от одного хоста к другому, а не с циски.
Просто пробовал варианты с маршрутами.
Сейчас циски без маршрутов. Пинга нет, что делать не знаю???


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не поднимается IPSec"  +/
Сообщение от zzzzzak (??) on 15-Июн-09, 23:13 
>ну я ж сказал - НЕ НУЖНЫ МАРШРУТЫ, что вы за люди,а?
>
>автоматом заворот идет по 101 листу.

shadow_alone, люди мы внимательные. посмотри на маршрут по умолчанию, он все пакеты будет туда и направлять, и 101 акцесс лист не поможет, я полагаю, хотя... интерфейсы находятся в одной подсети. Но в любом случае, маршрты данные дело не подпортят.

Для траблшутинга совет:
sh cry ses
sh cry ses det

sh access-list 101 - обязятельно посмотри, есть ли попадания в строчки листа.

И, может есть смысл в трасформ-сете алгоритм шифрования поставить тройной des: esp-3des?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не поднимается IPSec"  +/
Сообщение от shadow_alone (ok) on 15-Июн-09, 23:36 
может вы и люди внимательные.... НО.... дальше не буду даж говорить, буду выражать свой гнев.
Слава Богу здесь есть люди которые не дадут соврать, может даж CCIE есть, а то я не дорос малость, да и не стремлюсь, возраст не тот.
Но ЕСЛИ Я ГОВОРЮ что МАРШРУТЫ НЕ НУЖНЫ, то так оно и есть.
выше я уже говорил, что по ACL всё заворачивается в ipsec.
А если кто-то еще в чем-то сомневается, то я срать хотел на "кого-то".

Вы сами подумайте какую чушь вы порете... хосты в одной подсети
10.10.1.1-2 255.255.255.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 16-Июн-09, 10:14 
Слишком, эмоционально. Я конечно же не CCIE и даже не ICND. Но приходится юзать т.к. просто не кому. Вот попробовал сделать вот так:

                           GRE over IPSEC

Роутер A:

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp key 123 address 10.10.1.2
!
crypto ipsec transform-set some_set esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile some_profile
set transform-set some_set
!
interface Tunnel0
ip address 10.10.1.1 255.255.255.0
ip mtu 1500
tunnel source 10.10.1.1
tunnel destination 10.10.1.2
tunnel protection ipsec profile some_profile
ip access-group 101 in
!
access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

Роутер B:

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp key 123 address 10.10.1.1
!
crypto ipsec transform-set some_set esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile some_profile
set transform-set some_set
!
interface Tunnel0
ip address 10.10.1.2 255.255.255.0
ip mtu 1500
tunnel source 10.10.1.2
tunnel destination 10.10.1.1
tunnel protection ipsec profile some_profile
ip access-group 101 in
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

Без ip route не работает. Пинга между хостами нет. Не заворачивается в ACL. С ip route ходит, но не шифруется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не поднимается IPSec"  +1 +/
Сообщение от shadow_alone (ok) on 16-Июн-09, 10:25 
если GRE, это совсем другое дело, обязательно route нужно, ибо поднимается интерфейс.
с GRE я описывал уже такое подключение - http://wiki.dodex.org/?p=431
здесь Вам еще надо

access-list 101 permit gre host 10.10.1.2 host 10.10.1.1

попытаюсь еще раз без эмоций:
когда мы имеем match address 101, то все что будет соответствовать 101 ACL будет шифроваться, а значит заворачиваться - то есть route не нужен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Не поднимается IPSec"  +/
Сообщение от apex (ok) on 16-Июн-09, 12:16 
Спасибо за помощь, статья очень интересная.
Сделал как в статье, до шифрования пинги шли, после ходить перестали.
Скорей всего, что-то я не догоняю. (Наверно с ACL, что то не так).
Сделал вот так:
R - A
interface Tunnel10
tunnel source FastEthernet1
tunnel destination 10.10.1.2
ip unnumbered FastEthernet1
!
ip route 192.168.1.0 255.255.255.0 Tunnel10
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.1.2
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1
tunnel source FastEthernet1
tunnel destination 10.10.1.2
!
interface FastEthernet1
ip address 10.10.1.2 255.255.255.0
crypto map cr_outside
!
ip route 192.168.1.0 255.255.255.0 Tunnel10
!
access-list 110 permit gre host 10.10.1.1 host 10.10.1.2
!

R – B
interface Tunnel10
tunnel source FastEthernet1
tunnel destination 10.10.1.1
ip unnumbered FastEthernet1
!
ip route 172.16.0.0 255.255.0.0 Tunnel10
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.1.1
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.1.1
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1
tunnel source FastEthernet1
tunnel destination 10.10.1.1
!
interface FastEthernet1
ip address 10.10.1.1 255.255.255.0
crypto map cr_outside
!
ip route 172.16.0.0 255.255.0.0 Tunnel10
!
access-list 110 permit gre host 10.10.1.2 host 10.10.1.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру