forum.opennet.ru - "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"	+/–
Сообщение от star117 (ok) on 14-Фев-14, 10:30
Доброго дня всем! Нужно соединить две офисные сети посредством сабжевых устройств. Что и сделано. Однако трафик между ними ходит непонятно куда. Схема: 10.11.12.0/24 <-> yy1.yy1.yy1.146 <-> INTERNET <-> yy.yy.yy.yy <-> 192.168.10.0/24 Cisco 3825 DLink DFL-260E Канал поднимается. Пингую с 192.168.10.100 машину 10.11.12.127, что показывает сниффер на 10.11.12.127: 192.168.10.100 10.11.12.127 ICMP 98 Echo (ping) request 10.11.12.127 192.168.10.100 ICMP 98 Echo (ping) reply то есть пинг до машины 10.11.12.127 доходит и отправляется на Cisco 3825, а вот она в свою очередь пакет куда-то не туда отправляет. То есть нет маршрута... Конфигурация DLink'а проверена, с другим DLink'ом вместо циски она работает. Вопрос: что я сделал не так? или что не сделал? Прошу помощи! Вот конфиг: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname main-gw ! boot-start-marker boot-end-marker ! logging message-counter syslog ! aaa new-model ! ! ! ! aaa session-id common ! dot11 syslog ip source-route ip cef ! ! ! ! ip domain name xxxxx.ru ip name-server xx.xx.xx.xx no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! username userrr privilege 15 secret 5 eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee archive log config hidekeys ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key cONNEcTOr address yy.yy.yy.yy no-xauth ! ! crypto ipsec transform-set COT esp-des esp-md5-hmac ! crypto map DFL260E 10 ipsec-isakmp set peer yy.yy.yy.yy set security-association lifetime seconds 28800 set transform-set COT set pfs group2 match address KTI_ADDRESS ! ! ! ip ssh version 2 ! ! ! ! interface GigabitEthernet0/0 no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/0.55 description Inet encapsulation dot1Q 55 ip address yy1.yy1.yy1.146 255.255.255.252 ip nat outside ip virtual-reassembly no cdp enable crypto map DFL260E ! interface GigabitEthernet0/1 no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1.1 description LAN encapsulation dot1Q 1 native ip address 10.11.12.2 255.255.0.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 yy1.yy1.yy1.145 ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55 no ip http server no ip http secure-server ! ! ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload ! ip access-list extended KTI_ADDRESS permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 ip access-list extended LAN_INET deny ip 192.168.10.0 0.0.0.255 any permit ip 10.11.12.0 0.0.0.255 any ! logging trap debugging logging 10.11.12.127 ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 20 0 privilege level 15 logging synchronous transport input ssh line vty 5 15 exec-timeout 5 0 logging synchronous transport input ssh ! scheduler allocate 20000 1000 end
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec между Cisco 3825 и DLink DFL-260E трафик теряется, Merridius, 12:00 , 14-Фев-14, (1)

IPSec между Cisco 3825 и DLink DFL-260E трафик теряется, star117, 12:42 , 14-Фев-14, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется" +/–

Сообщение от Merridius (ok) on 14-Фев-14, 12:00

> ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload
> !
> ip access-list extended KTI_ADDRESS
>  permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
> ip access-list extended LAN_INET
>  deny   ip 192.168.10.0 0.0.0.255 any
>  permit ip 10.11.12.0 0.0.0.255 any
У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.
Нат перенастройте примерно так:
access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 10 permit 10.11.12.0 0.0.0.255
route-map NAT deny 10
match ip address 100
route-map NAT permit 20
match ip address 10
ip nat inside source route-map NAT interface GigabitEthernet0/0.55 overload

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется" +/–

Сообщение от star117 (ok) on 14-Фев-14, 12:42

>[оверквотинг удален]
>>  deny   ip 192.168.10.0 0.0.0.255 any
>>  permit ip 10.11.12.0 0.0.0.255 any
> У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.
> Нат перенастройте примерно так:
> access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
> access-list 10 permit 10.11.12.0 0.0.0.255
> route-map NAT deny 10
>  match ip address 100
> route-map NAT permit 20
>  match ip address 10
СПАСИБО!!! Заработало!
Еще могу добавить, что у меня была ошибка!
ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55 - так не работает, нужно указывать просто IP шлюза своего.
Кстати попробовал отключить NAT на интерфейсах, убрать ip nat inside ... и трафик пошёл сразу.
Но это так, может кому-то пригодится в понимании процессов :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"	+/–
Сообщение от Merridius (ok) on 14-Фев-14, 12:00
> ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload > ! > ip access-list extended KTI_ADDRESS > permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 > ip access-list extended LAN_INET > deny ip 192.168.10.0 0.0.0.255 any > permit ip 10.11.12.0 0.0.0.255 any У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят. Нат перенастройте примерно так: access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 10 permit 10.11.12.0 0.0.0.255 route-map NAT deny 10 match ip address 100 route-map NAT permit 20 match ip address 10 ip nat inside source route-map NAT interface GigabitEthernet0/0.55 overload
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"	+/–
	Сообщение от star117 (ok) on 14-Фев-14, 12:42
	>[оверквотинг удален] >> deny ip 192.168.10.0 0.0.0.255 any >> permit ip 10.11.12.0 0.0.0.255 any > У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят. > Нат перенастройте примерно так: > access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 > access-list 10 permit 10.11.12.0 0.0.0.255 > route-map NAT deny 10 > match ip address 100 > route-map NAT permit 20 > match ip address 10 СПАСИБО!!! Заработало! Еще могу добавить, что у меня была ошибка! ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55 - так не работает, нужно указывать просто IP шлюза своего. Кстати попробовал отключить NAT на интерфейсах, убрать ip nat inside ... и трафик пошёл сразу. Но это так, может кому-то пригодится в понимании процессов :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору