The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"  +/
Сообщение от star117 email(ok) on 14-Фев-14, 10:30 
Доброго дня всем!
Нужно соединить две офисные сети посредством сабжевых устройств. Что и сделано.
Однако трафик между ними ходит непонятно куда.
Схема:

10.11.12.0/24  <-> yy1.yy1.yy1.146  <->  INTERNET  <-> yy.yy.yy.yy <-> 192.168.10.0/24
                      Cisco 3825                       DLink DFL-260E

Канал поднимается.
Пингую с 192.168.10.100 машину 10.11.12.127, что показывает сниффер на 10.11.12.127:
192.168.10.100 10.11.12.127 ICMP 98 Echo (ping) request
10.11.12.127 192.168.10.100 ICMP 98 Echo (ping) reply
то есть пинг до машины 10.11.12.127 доходит и отправляется на Cisco 3825, а вот она в свою очередь пакет куда-то не туда отправляет.
То есть нет маршрута...
Конфигурация DLink'а проверена, с другим DLink'ом вместо циски она работает.

Вопрос: что я сделал не так? или что не сделал? Прошу помощи!

Вот конфиг:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
!
!
aaa session-id common
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxxx.ru
ip name-server xx.xx.xx.xx
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username userrr privilege 15 secret 5 eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
archive
log config
  hidekeys
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key cONNEcTOr address yy.yy.yy.yy no-xauth
!
!
crypto ipsec transform-set COT esp-des esp-md5-hmac
!
crypto map DFL260E 10 ipsec-isakmp
set peer yy.yy.yy.yy
set security-association lifetime seconds 28800
set transform-set COT
set pfs group2
match address KTI_ADDRESS
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.55
description Inet
encapsulation dot1Q 55
ip address yy1.yy1.yy1.146 255.255.255.252
ip nat outside
ip virtual-reassembly
no cdp enable
crypto map DFL260E
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.12.2 255.255.0.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 yy1.yy1.yy1.145
ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55
no ip http server
no ip http secure-server
!
!
ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload
!
ip access-list extended KTI_ADDRESS
permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
ip access-list extended LAN_INET
deny   ip 192.168.10.0 0.0.0.255 any
permit ip 10.11.12.0 0.0.0.255 any
!
logging trap debugging
logging 10.11.12.127
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
transport input ssh
line vty 5 15
exec-timeout 5 0
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
end

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"  +/
Сообщение от Merridius (ok) on 14-Фев-14, 12:00 

> ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload
> !
> ip access-list extended KTI_ADDRESS
>  permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
> ip access-list extended LAN_INET
>  deny   ip 192.168.10.0 0.0.0.255 any
>  permit ip 10.11.12.0 0.0.0.255 any

У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.

Нат перенастройте примерно так:

access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 10 permit 10.11.12.0 0.0.0.255

route-map NAT deny 10
match ip address 100
route-map NAT permit 20
match ip address 10

ip nat inside source route-map NAT interface GigabitEthernet0/0.55 overload

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec между Cisco 3825 и DLink DFL-260E трафик теряется"  +/
Сообщение от star117 email(ok) on 14-Фев-14, 12:42 
>[оверквотинг удален]
>>  deny   ip 192.168.10.0 0.0.0.255 any
>>  permit ip 10.11.12.0 0.0.0.255 any
> У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.
> Нат перенастройте примерно так:
> access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255
> access-list 10 permit 10.11.12.0 0.0.0.255
> route-map NAT deny 10
>  match ip address 100
> route-map NAT permit 20
>  match ip address 10

СПАСИБО!!! Заработало!

Еще могу добавить, что у меня была ошибка!
ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55 - так не работает, нужно указывать просто IP шлюза своего.

Кстати попробовал отключить NAT на интерфейсах, убрать ip nat inside ... и трафик пошёл сразу.
Но это так, может кому-то пригодится в понимании процессов :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру