forum.opennet.ru

Составление сообщения

Исходное сообщение

"CSR1000v за линуксовым натом - получение public ip"
Отправлено zanswer CCNA RS and S, 10-Сен-17 09:38

>[оверквотинг удален]
> Sep  9 18:51:11.424: Tunnel1: Maximum interface MTU over-ridden to 10132..
> Success rate is 0 percent (0/5)
> vgw#sh deb
> IOSXE Conditional Debug Configs:
> Conditional Debug Global State: Stop
> IOSXE Packet Tracing Configs:
> Generic IP:
>   ICMP packet debugging is on
> General-purpose tunnel:
>   Tunnel Interface Event debugging is on
Хорошо, раз туннель поднялся, значит мы можем говорить о том, что три ниже следующих условия соблюдены:
"There is no route, which includes the default route, to the tunnel destination address.
The interface that anchors the tunnel source is down.
The route to the tunnel destination address is through the tunnel itself, which results in recursion."
Поскольку по умолчанию point-to-point GRE туннель не выполняет отправку GRE Keepalives, то определить, что сервер назначения не получает GRE пакеты, не возможно, ввиду отсутствия механизма подтверждения доставки в GRE протоколе.
Из выше представленной вами информации, мы можем сделать вывод, что имеем проблему на NAT маршрутизаторе, который не выполняет функции трансляции для GRE протокола или они выполняются не верно.
Поэтому теперь наша цель ваш NAT маршрутизатор, мы должны определить причину, которая ведёт к следствию, нарушению функции NAT трансляций для GRE пакетов. Поскольку вы используете Linux, то мы можем предположить, что не был активирован ALG для GRE, поскольку трансляция GRE пакетов без помощи дополнительных помощников не возможна.
Я не смог сходу найти документацию по GRE ALG, по крайней мере в объёме позволившем бы мне предложить правила для NAT. Но, вот, что удалось найти, это модули требуемые для отслеживания и трансляции GRE протокола:
nf_conntrack_proto_gre
nf_nat_proto_gre
Поскольку у GRE нет в заголовке таких полей, как SRC/DST порт, то в связи с этим, PAT трансляция затруднена. Судя по исходным кодам модулей, они используют не обязательное поле GRE Key для определения, какому потоку принадлежит полученный GRE пакет или CallID в случае PPTP GRE.
Собственно говоря, осталось только написать требуемые правила для трансляции GRE пакетов, на CSR1000V и удалённом маршрутизаторе дополнительно необходимо добавить команды для установления GRE Key в заголовки пакетов:
conf t
int tun 0
tunnel key 1
end
wr

Исходное сообщение
"CSR1000v за линуксовым натом - получение public ip" Отправлено zanswer CCNA RS and S, 10-Сен-17 09:38
>[оверквотинг удален] > Sep 9 18:51:11.424: Tunnel1: Maximum interface MTU over-ridden to 10132.. > Success rate is 0 percent (0/5) > vgw#sh deb > IOSXE Conditional Debug Configs: > Conditional Debug Global State: Stop > IOSXE Packet Tracing Configs: > Generic IP: > ICMP packet debugging is on > General-purpose tunnel: > Tunnel Interface Event debugging is on Хорошо, раз туннель поднялся, значит мы можем говорить о том, что три ниже следующих условия соблюдены: "There is no route, which includes the default route, to the tunnel destination address. The interface that anchors the tunnel source is down. The route to the tunnel destination address is through the tunnel itself, which results in recursion." Поскольку по умолчанию point-to-point GRE туннель не выполняет отправку GRE Keepalives, то определить, что сервер назначения не получает GRE пакеты, не возможно, ввиду отсутствия механизма подтверждения доставки в GRE протоколе. Из выше представленной вами информации, мы можем сделать вывод, что имеем проблему на NAT маршрутизаторе, который не выполняет функции трансляции для GRE протокола или они выполняются не верно. Поэтому теперь наша цель ваш NAT маршрутизатор, мы должны определить причину, которая ведёт к следствию, нарушению функции NAT трансляций для GRE пакетов. Поскольку вы используете Linux, то мы можем предположить, что не был активирован ALG для GRE, поскольку трансляция GRE пакетов без помощи дополнительных помощников не возможна. Я не смог сходу найти документацию по GRE ALG, по крайней мере в объёме позволившем бы мне предложить правила для NAT. Но, вот, что удалось найти, это модули требуемые для отслеживания и трансляции GRE протокола: nf_conntrack_proto_gre nf_nat_proto_gre Поскольку у GRE нет в заголовке таких полей, как SRC/DST порт, то в связи с этим, PAT трансляция затруднена. Судя по исходным кодам модулей, они используют не обязательное поле GRE Key для определения, какому потоку принадлежит полученный GRE пакет или CallID в случае PPTP GRE. Собственно говоря, осталось только написать требуемые правила для трансляции GRE пакетов, на CSR1000V и удалённом маршрутизаторе дополнительно необходимо добавить команды для установления GRE Key в заголовки пакетов: conf t int tun 0 tunnel key 1 end wr

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>> Sep  9 18:51:11.424: Tunnel1: Maximum interface MTU over-ridden to 10132..
>> Success rate is 0 percent (0/5) 
>> vgw#sh deb 
>> IOSXE Conditional Debug Configs: 
>> Conditional Debug Global State: Stop 
>> IOSXE Packet Tracing Configs: 
>> Generic IP: 
>>   ICMP packet debugging is on 
>> General-purpose tunnel: 
>>   Tunnel Interface Event debugging is on

> Хорошо, раз туннель поднялся, значит мы можем говорить о том, что три 
> ниже следующих условия соблюдены:

> "There is no route, which includes the default route, to the tunnel 
> destination address.
> The interface that anchors the tunnel source is down.
> The route to the tunnel destination address is through the tunnel itself, 
> which results in recursion."

> Поскольку по умолчанию point-to-point GRE туннель не выполняет отправку GRE Keepalives, 
> то определить, что сервер назначения не получает GRE пакеты, не возможно, 
> ввиду отсутствия механизма подтверждения доставки в GRE протоколе.

> Из выше представленной вами информации, мы можем сделать вывод, что имеем проблему 
> на NAT маршрутизаторе, который не выполняет функции трансляции для GRE протокола 
> или они выполняются не верно.

> Поэтому теперь наша цель ваш NAT маршрутизатор, мы должны определить причину, которая 
> ведёт к следствию, нарушению функции NAT трансляций для GRE пакетов. Поскольку 
> вы используете Linux, то мы можем предположить, что не был активирован 
> ALG для GRE, поскольку трансляция GRE пакетов без помощи дополнительных помощников 
> не возможна.

> Я не смог сходу найти документацию по GRE ALG, по крайней мере 
> в объёме позволившем бы мне предложить правила для NAT. Но, вот, 
> что удалось найти, это модули требуемые для отслеживания и трансляции GRE 
> протокола:

> nf_conntrack_proto_gre 
> nf_nat_proto_gre

> Поскольку у GRE нет в заголовке таких полей, как SRC/DST порт, то 
> в связи с этим, PAT трансляция затруднена. Судя по исходным кодам 
> модулей, они используют не обязательное поле GRE Key для определения, какому 
> потоку принадлежит полученный GRE пакет или CallID в случае PPTP GRE.

> Собственно говоря, осталось только написать требуемые правила для трансляции GRE пакетов, 
> на CSR1000V и удалённом маршрутизаторе дополнительно необходимо добавить команды для установления 
> GRE Key в заголовки пакетов:

> conf t 
> int tun 0 
> tunnel key 1 
> end 
> wr

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру