форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
Сообщение от msdie (ok) on 07-Июл-09, 11:07
Всем привет. Очень непонятный глюк случился, а решить очень надо.   Есть Cisco PIX Firewall Version 6.3(4) Inside Hosts:                Unlimited Throughput:                  Unlimited IKE peers:                   Unlimited Cisco поднимает ВПН до филиала, в филиале стоит D-link DI-804HV. На данный момент таким образом подключено 20 филиалов, все работает. При подключении 21-го филиала ВПН поднимается, но не идут пинги, не цепляется к серваку почта, не работает IP телефония, НО работает Radmin, работает корпоративная аська, работает файловый обмен. Все филиалы настроены аналогично друг другу, разница лишь в подсетях. Дело в циске, тестил из дома, таже фигня. Работают подсети с 201 по 220, дальше никак. Пробовал переводить филиал в 208 подсеть, все работает, вернул в 221 не работает. Еще смущает то, что впн подключений ровно 20, никих ограничений не может быть? access-list no_nat permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list no_nat permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list no_nat permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 … access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list my_acl permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list my_acl permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 … crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map mymap 18 ipsec-isakmp crypto map mymap 18 match address my_acl crypto map mymap 18 set pfs group2 crypto map mymap 18 set peer х.х.х.х crypto map mymap 18 set transform-set myset crypto map mymap interface outside isakmp enable outside isakmp key ******** address х.х.х.х netmask 255.255.255.0 isakmp identity address isakmp log 20000 isakmp policy 15 authentication pre-share isakmp policy 15 encryption 3des isakmp policy 15 hash md5 isakmp policy 15 group 2 isakmp policy 15 lifetime 86400 Для остальных все тоже, изменяется только имя аксес листа с подсетью, myset, mymap №. Может кто сталкивался?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
Сообщение от ilya (ok) on 07-Июл-09, 11:39
в acl no_nat подсеть 221 есть? и какой то странный у вас my_acl. ИМХо он должен быть access-list my_acl permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 зачем зеркальность с одной стороны? да и строка access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 перекрывает все следующие (icmp udp)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
	Сообщение от ilya (ok) on 07-Июл-09, 11:39
	>[оверквотинг удален] >и какой то странный у вас my_acl. >ИМХо он должен быть >access-list my_acl permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 >access-list my_acl permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 > >зачем зеркальность с одной стороны? >да и строка >access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 >access-list my_acl permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 >перекрывает все следующие (icmp udp) в смысле должен быть access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
	Сообщение от msdie (ok) on 07-Июл-09, 12:08
	>в acl no_nat подсеть 221 есть? > Да есть! >в смысле должен быть >access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 Оставил только его, пинги пошли. Тогда вопрос, те 20 филиалов почему работают?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
	Сообщение от ilya (ok) on 07-Июл-09, 12:17
	>>в acl no_nat подсеть 221 есть? >> > >Да есть! >>в смысле должен быть >>access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 > >Оставил только его, пинги пошли. Тогда вопрос, те 20 филиалов почему работают? > Т.е. проблема решилась? С указанными вами acl работать должно, просто смысловой нагрузки у остальных строчек нет т.к. они не сработают.  Почему именно не работало - трудно сказать. Нужно смотреть конфиги с двух сторон, строится ипсек или нет, если строится по почему не ходит трафик.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco pix, 20 vpn тунелей работает, начиная с 21-го нет пинг..."		+/–
	Сообщение от msdie (ok) on 07-Июл-09, 12:42
	>Т.е. проблема решилась? > >С указанными вами acl работать должно, просто смысловой нагрузки у остальных строчек >нет т.к. они не сработают.  Почему именно не работало - >трудно сказать. Нужно смотреть конфиги с двух сторон, строится ипсек или >нет, если строится по почему не ходит трафик. Пока трудно сказать, решилась ли проблема. Пинги пошли, но почта и IP телефон по прежнему работать не хотят, но это может быть дело и не в VPN, надо тестить на других филиалах. Большое спасибо за помощь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема