The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT + IPSec проблема"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 22-Май-10, 16:58 
Добрый день.

Возникла проблема с подключение cisco3825 и cisco870. Соединение между ними есть, туннель вроде устанавливается, пакеты не бегают. Гляньте свежим взглядом. Заранее спасибо.

Схема подключения

LAN 192.168.100.144/28---Cisco870----INET----Cisco3825-----LAN 10.0.0.0/8
                                                 |_________LAN 172.30.0.0/16

Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.

sh ver c870-advsecurityk9-mz.124-15.T12.bin
sh ver c3825-advipservicesk9-mz.124-9.T6.bin

Cisco3825

crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ************** address ***** no-xauth

crypto ipsec transform-set APT24_AES-SHA esp-aes esp-sha-hmac

crypto map APT24 29 ipsec-isakmp
description tunnel_to_
set peer **********
set transform-set APT24_AES-SHA
match address APT24PL-1

ip nat inside source list al interface GigabitEthernet0/1.40 overload

ip access-list extended APT24PL-1
permit ip 10.0.0.0 0.0.0.255 192.168.100.144 0.0.0.15
permit ip 172.16.0.0 0.0.15.255 192.168.100.144 0.0.0.15
permit ip 192.168.0.0 0.0.255.255 192.168.100.144 0.0.0.15
deny   ip any any

ip access-list extended al
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any host **************
deny   ip any any

Cisco 870

crypto isakmp policy 20
encr aes
authentication pre-share
group 2  
lifetime 28800
crypto isakmp key ***** address ********* no-xauth

crypto ipsec transform-set VPNSET_AES_SHA esp-aes esp-sha-hmac

crypto map APT24MAP 20 ipsec-isakmp
description tunnel_to_cisco
set peer ************
set transform-set VPNSET_AES_SHA
match address IPSEC_TRAFFIC

ip nat inside source list NONAT interface FastEthernet4 overload
!
ip access-list extended IPSEC_TRAFFIC
permit ip 192.168.100.144 0.0.0.15 10.0.0.0 0.255.255.255
permit ip 192.168.100.144 0.0.0.15 172.16.0.0 0.15.255.255
permit ip 192.168.100.144 0.0.0.15 192.168.0.0 0.0.255.255
ip access-list extended NONAT
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 192.168.100.144 0.0.0.15 any


Crypto map висят на правильных интерфейсах.
В дебаге видно что соединение установлено
*May 22 12:27:43.980: ISAKMP (0:1012): received packet from ******* dport 500 sport 500 Global (R) QM_IDLE      
*May 22 12:27:43.980: ISAKMP:(1012):deleting node -864327888 error FALSE reason "QM done (await)"
*May 22 12:27:43.980: ISAKMP:(1012):Node -864327888, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*May 22 12:27:43.980: ISAKMP:(1012):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
*May 22 12:27:43.980: IPSEC(key_engine): got a queue event with 1 KMI message(s)
HeadOffice#
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): enable SA with spi 1489368869/50

sh cry isakmp sa с обоих сторон
показывает наличие активного соединения

sh cry ipsec sa с обоих сторон показывают инкапсулюцию/декапсуляцию пакетов.

Самое главное НО - пакеты не бегают.

Если есть идеи - welcome.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT + IPSec проблема"  +/
Сообщение от Valery12 (ok) on 24-Май-10, 08:00 
>[оверквотинг удален]
>          
>          
>          
>    |_________LAN 172.30.0.0/16
>
>Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.
>
>
>
>Если есть идеи - welcome.

Покажите как настроена маршрутизация


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 24-Май-10, 19:39 
>
>Покажите как настроена маршрутизация

явные маршруты в подсети VPN НЕ прописаны. так как vpn-трафик генерируется по требованию.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 25-Май-10, 16:57 

>Покажите как настроена маршрутизация

sh ip ro 192.168.100.144
% Subnet not in table

#sh ip ro 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0, candidate default path
  Redistributing via eigrp 10
  Advertised by eigrp 10
  Routing Descriptor Blocks:
  * 192.168.3.1
      Route metric is 0, traffic share count is 1

Это выход на маршрут по умолчанию на ISA2006

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "NAT + IPSec проблема"  +/
Сообщение от Pve1 (ok) on 24-Май-10, 09:44 
Маршруты то вы и не показали... где они?
ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией.
Намного проще, наглядней и удобнее...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 25-Май-10, 17:02 
>Маршруты то вы и не показали... где они?
>ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией.
>Намного проще, наглядней и удобнее...

traceroute с моего компа

sudo traceroute 192.168.100.145
traceroute to 192.168.100.145 (192.168.100.145), 30 hops max, 60 byte packets
1  ciscod01.office (10.1.11.1)  0.548 ms  0.582 ms  0.620 ms
2  vishnu.office (192.168.253.2)  1.047 ms  1.029 ms  1.018 ms
3  * * *
4  * * *

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 25-Май-10, 18:04 
Вопрос решен.

Поскольку маршрут по умолчанию уходил на ISA-сервер, маршрут в подсеть 192.168.100.144/28 пришлось прописать таки.

В моей ситуации канал подключенный в Интернет не являлся маршрутом по умолчанию => все пакеты шли на ISA и там рубались. Объяснение довольно сумбурное, но более/менее понятно для меня.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "NAT + IPSec проблема"  +/
Сообщение от sh_ email(ok) on 24-Май-10, 12:14 
Уберите явное "deny   ip any any" на 3825.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "NAT + IPSec проблема"  +/
Сообщение от Евгений (??) on 24-Май-10, 19:42 
>Уберите явное "deny   ip any any" на 3825.

А смысл его убирать? По любому в конце acl есть deny. а так я хоть посмотрю число отказов на создание впн-трафика.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру