форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Не поднимается VPN интерфейс IPsec"	+/–
Сообщение от Vachutu (ok) on 22-Дек-15, 16:12
Коллеги столкнулся со следующей проблемой =)) Залил на роутеры нормальные иосы (с шифрованием и всем остальным ;-) )настроил впн, но он не работает, интерфейсы down, пакеты не идут. Делал все по статье с хабра http://linkmeup.ru/blog/50.html В итоге у меня: R1#sh crypto session Crypto session current status Interface: FastEthernet4 Session status: DOWN Peer: 250.0.0.1 port 500 IPSEC FLOW: permit ip host 192.168.1.1 host 10.99.99.254 Active SAs: 0, origin: crypto map ===================================================================== R1#show crypto ipsec sa interface: FastEthernet4 Crypto map tag: MAP1, local addr 251.0.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (10.99.99.254/255.255.255.255/0/0) current_peer 250.0.0.1 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 251.0.0.1, remote crypto endpt.: 250.0.0.1 plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Если пытаюсь завернуть трафик в тунель, ничего не выходит, пингов нет: R1#ping 10.99.99.254 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.99.99.254, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 Подскажите как поднять сессию, что ни так? Добавлено через 16 минут Настройки NAT с обеих сторон: ip access-list extended NAT permit ip 192.168.1.0 0.0.0.255 any и соответственно: ip access-list extended NAT permit ip 10.99.99.0 0.0.0.255 any Добавлено через 5 часов 44 минуты Парни думаю затык в NAT, есть у кого какие нибудь соображения? Выкладываю конфиг с одной стороны, с другой то же самое с учетом противоположной стороны тунеля: R1#sh runn R1#sh running-config Building configuration... Current configuration : 2908 bytes ! ! Last configuration change at 12:16:12 UTC Wed Dec 16 2015 by fatera ! version 15.5 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname R1 ! boot-start-marker boot system flash:c890-universalk9-mz.155-2.T1.bin boot-end-marker ! ! enable secret 4 cisco ! no aaa new-model ethernet lmi ce bsd-client server url https://cloudsso.cisco.com/as/token.oauth2 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ip domain name R1 ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip cef no ipv6 cef ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! cts logging verbose license udi pid CISCO891-K9 sn FCZ174291T5 ! ! username R1 privilege 15 password 7 CISCO ! redundancy ! ! ! ! no cdp run ! ! ! crypto isakmp policy 1 encr aes authentication pre-share crypto isakmp key CISCO address 113.33.107.11 ! ! crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac mode tunnel ! ! ! crypto map MAP1 10 ipsec-isakmp set peer 113.33.107.11 set transform-set AES128-SHA match address 101 ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address ! interface FastEthernet5 no ip address ! interface FastEthernet6 no ip address ! interface FastEthernet7 no ip address ! interface FastEthernet8 ip address 10.99.99.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto vlan-id dot1q 455 exit-vlan-config ! ! interface GigabitEthernet0 ip address 22.33.62.26 255.255.255.224 ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map MAP1 ! interface Vlan1 no ip address ! interface Async1 no ip address encapsulation slip ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list NAT interface GigabitEthernet0 overload ip nat inside source static tcp 10.99.99.1 3389 62.33.234.26 4441 extendable ip nat inside source static tcp 10.99.99.2 3389 62.33.234.26 4442 extendable ip nat inside source static tcp 10.99.99.3 3389 62.33.234.26 4443 extendable ip route 0.0.0.0 0.0.0.0 62.33.234.1 ip route 10.99.99.0 255.255.255.0 192.168.1.1 ! ip access-list extended NAT permit ip 10.99.99.0 0.0.0.255 any ! ! ! access-list 101 permit ip host 10.99.99.254 host 192.168.1.1 ! control-plane ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! ! ! ! ! ! ! ! line con 0 password 7 CISCO login line 1 modem InOut speed 115200 flowcontrol hardware line aux 0 line vty 0 4 login local transport input ssh ! ! end
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Не поднимается VPN интерфейс IPsec"	+/–
Сообщение от crash (ok) on 22-Дек-15, 18:30
> Crypto map tag: MAP1, local addr 251.0.0.1 это что за адрес? Рисуйте схему и показывайте все конфиги. И уберите из ната трафик, который должен идти в туннель
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 24-Дек-15, 15:59
	>> Crypto map tag: MAP1, local addr 251.0.0.1 > это что за адрес? Рисуйте схему и показывайте все конфиги. И уберите > из ната трафик, который должен идти в туннель Что за адрес хз, может ты понимаешь от куда он взялся??))) Я его не указывал. Схема проста две циски, за ними две локальные сети, циски между собой через инет должны поднять впн тунель. Как убрать из ната трафик который должен идти в тунель? Можно поподробнее об этом? Какие еще конфиги показать??? Побольше конкретики пожалуйста))
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от eRIC (ok) on 24-Дек-15, 16:57
	> Что за адрес хз, может ты понимаешь от куда он взялся??))) Я > его не указывал. Схема проста две циски, за ними две локальные > сети, циски между собой через инет должны поднять впн тунель. Как > убрать из ната трафик который должен идти в тунель? Можно поподробнее > об этом? Какие еще конфиги показать??? Побольше конкретики пожалуйста)) >R1#show crypto ipsec sa до ipsec'а вам далеко, нужно сперва первую фазу isakmp проверять. R1#show crypto isakmp sa >ip route 10.99.99.0 255.255.255.0 192.168.1.1 why?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от crash (ok) on 25-Дек-15, 07:52
	>>> Crypto map tag: MAP1, local addr 251.0.0.1 >> это что за адрес? Рисуйте схему и показывайте все конфиги. И уберите >> из ната трафик, который должен идти в туннель > Побольше конкретики пожалуйста)) так конкретики надо побольше от вас. Убрать из ната трафик, это запретить его в access-list'e который вы используете в NAT. Про вашу хитрую маршрутизацию вам уже написали, но вы оказывается все и без нас знаете
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 27-Дек-15, 23:39
	>>>> Crypto map tag: MAP1, local addr 251.0.0.1 >>> это что за адрес? Рисуйте схему и показывайте все конфиги. И уберите >>> из ната трафик, который должен идти в туннель >> Побольше конкретики пожалуйста)) > так конкретики надо побольше от вас. Убрать из ната трафик, это запретить > его в access-list'e который вы используете в NAT. Про вашу хитрую > маршрутизацию вам уже написали, но вы оказывается все и без нас > знаете Да, благодарю за ваш комментарий! Благодаря ему я разобрался и поднял тунель. Просто не нужно грубить и строить из себя хз что. Понятное дело когда не получается пробуешь все подряд, кто этого не делает? Или тут все такие опуппенные специалисты что все запиливают с первого раза с закрытыми глазами??? Да ну нафик, так не бывает.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	14. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от crash (ok) on 28-Дек-15, 10:30
	>>>>> Crypto map tag: MAP1, local addr 251.0.0.1 >>>> это что за адрес? Рисуйте схему и показывайте все конфиги. И уберите >>>> из ната трафик, который должен идти в туннель >>> Побольше конкретики пожалуйста)) >> так конкретики надо побольше от вас. Убрать из ната трафик, это запретить >> его в access-list'e который вы используете в NAT. Про вашу хитрую >> маршрутизацию вам уже написали, но вы оказывается все и без нас >> знаете > Да, благодарю за ваш комментарий! Благодаря ему я разобрался и поднял тунель. > Просто не нужно грубить и строить из себя хз что. ни в одном поем сообщение не было грубости и какой-то стройки. Были только вопросы, чтобы понять, что же у вас. Если это грубость, то может вам вообще противопоказано писать на форуме?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Не поднимается VPN интерфейс IPsec"	+/–
Сообщение от ShyLion (ok) on 23-Дек-15, 06:55
> interface FastEthernet8 > ip address 10.99.99.254 255.255.255.0 > ! > interface GigabitEthernet0 > ip address 22.33.62.26 255.255.255.224 > ! > ip route 0.0.0.0 0.0.0.0 62.33.234.1 > ip route 10.99.99.0 255.255.255.0 192.168.1.1 > ! Кто в лес, кто по дрова. Че это за дурацкие маршруты в упсляндию?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от ShyLion (ok) on 23-Дек-15, 07:03
	Ну и между IOS роутерами лучше делать тунельные интерфейсы, так сильно проще, наглядней и можно протоколы маршрутизации гонять. crypto isakmp policy 1 encr aes authentication pre-share group 2 ! crypto ipsec transform-set TUNNELS esp-aes ! crypto ipsec profile TUNNELS set transform-set TUNNELS ! crypto isakmp key 0 muhosransk_key_78234hdx3209r address y.y.y.y ! interface tunnel1 ip address 1.2.3.1 255.255.255.252 tunnel source x.x.x.x tunnel destination y.y.y.y tunnel protection ipsec profile NHRP tunnel mode ipsec ipv4 ! interface fas4 ip address x.x.x.x .... ! никаких криптомапов пилить не надо, они автоматом создаются.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 24-Дек-15, 16:01
	>[оверквотинг удален] >  tunnel source x.x.x.x >  tunnel destination y.y.y.y >  tunnel protection ipsec profile NHRP >  tunnel mode ipsec ipv4 > ! > interface fas4 >  ip address x.x.x.x .... > ! > > никаких криптомапов пилить не надо, они автоматом создаются. Ну может они и создаются автоматически но они указаны корректно, по идее должно работать...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 24-Дек-15, 16:01
	>[оверквотинг удален] >> ip address 10.99.99.254 255.255.255.0 >> ! >> interface GigabitEthernet0 >> ip address 22.33.62.26 255.255.255.224 >> ! >> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >> ! > Кто в лес, кто по дрова. Че это за дурацкие маршруты в > упсляндию? Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже не можешь понять куда эти маршруты?? =))))
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от ShyLion (ok) on 25-Дек-15, 06:45
	>[оверквотинг удален] >>> interface GigabitEthernet0 >>> ip address 22.33.62.26 255.255.255.224 >>> ! >>> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >>> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >>> ! >> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >> упсляндию? > Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже > не можешь понять куда эти маршруты?? =)))) Ооо, сам себе специалст... ок, умываю руки.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 27-Дек-15, 23:36
	>[оверквотинг удален] >>>> ip address 22.33.62.26 255.255.255.224 >>>> ! >>>> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >>>> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >>>> ! >>> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >>> упсляндию? >> Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже >> не можешь понять куда эти маршруты?? =)))) > Ооо, сам себе специалст... ок, умываю руки. Умывай, умывай Кевин Митник....
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Del on 28-Дек-15, 09:32
	>[оверквотинг удален] >>> interface GigabitEthernet0 >>> ip address 22.33.62.26 255.255.255.224 >>> ! >>> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >>> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >>> ! >> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >> упсляндию? > Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже > не можешь понять куда эти маршруты?? =)))) Маршрут: ip route 0.0.0.0 0.0.0.0 62.33.234.1 Что то в конфиге не нашел каких-то упоминаний про сеть 62.33.234... Он через какой интерфейс должен уходить?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	13. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Del on 28-Дек-15, 09:35
	>[оверквотинг удален] >>>> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >>>> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >>>> ! >>> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >>> упсляндию? >> Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже >> не можешь понять куда эти маршруты?? =)))) > Маршрут: ip route 0.0.0.0 0.0.0.0 62.33.234.1 > Что то в конфиге не нашел каких-то упоминаний про сеть 62.33.234... > Он через какой интерфейс должен уходить? И вот этот маршрут: ip route 10.99.99.0 255.255.255.0 192.168.1.1 Для каких целей прописан?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 28-Дек-15, 15:47
	>[оверквотинг удален] >>>> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >>>> упсляндию? >>> Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже >>> не можешь понять куда эти маршруты?? =)))) >> Маршрут: ip route 0.0.0.0 0.0.0.0 62.33.234.1 >> Что то в конфиге не нашел каких-то упоминаний про сеть 62.33.234... >> Он через какой интерфейс должен уходить? > И вот этот маршрут: > ip route 10.99.99.0 255.255.255.0 192.168.1.1 > Для каких целей прописан? Это я уже не знал что предпринять что бы запустить трафик в тунель))) Разобрался, просто трафик уходил на нат и не попадал в тунель, запретил на нате ip route 10.99.99.0 255.255.255.0 192.168.1.1 (симетрично с обех сторон), убрал эту гадость > ip route 10.99.99.0 255.255.255.0 192.168.1.1 и все заработало. Благодарю!
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Не поднимается VPN интерфейс IPsec"	+/–
	Сообщение от Vachutu (ok) on 28-Дек-15, 15:45
	>[оверквотинг удален] >>>> ip route 0.0.0.0 0.0.0.0 62.33.234.1 >>>> ip route 10.99.99.0 255.255.255.0 192.168.1.1 >>>> ! >>> Кто в лес, кто по дрова. Че это за дурацкие маршруты в >>> упсляндию? >> Маршруты вполне нормальные и стандартные, аргументы есть какие то? Или ты даже >> не можешь понять куда эти маршруты?? =)))) > Маршрут: ip route 0.0.0.0 0.0.0.0 62.33.234.1 > Что то в конфиге не нашел каких-то упоминаний про сеть 62.33.234... > Он через какой интерфейс должен уходить? Сети от балды придуманы видимо запутался)) Благодарю за помощь, вопрос решен)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема