forum.opennet.ru - "site to site IPSEC VPN работает в одну сторону" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"site to site IPSEC VPN работает в одну сторону"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"site to site IPSEC VPN работает в одну сторону"	+/–
Сообщение от Nightly (ok) on 12-Окт-12, 12:10
Доброго дня. Просьба помочь советом, мой мозг уже не в состоянии что то понять )) При попытке пропинговать хост Компании Б туннель не поднимается, в дебагах тишина. Когда со стороны Компании Б пингуют хост из нашей локальной сети - все сразу начинает работать. Нужные сети (компании Б) в таблице маршрутизации появляются. Доступ к хостам нужных подсетей регулируется ACL 106. Есть такая схема: internet Компания А <======================> Компания Б \| \| \| <=================> \| site to site ipsec VPN С моей стороны (Компания А), стоит Cisco 3660 (C3660-IK9S-M), Version 12.3(14)T7. Настройки следующие: crypto isakmp policy 10 encr 3des authentication pre-share group 5 crypto isakmp key @@@@@@@@ address 92.xx.xx.xx crypto isakmp keepalive 30 periodic no crypto isakmp ccm ! ! crypto ipsec transform-set Sxxxxx esp-3des esp-md5-hmac ! crypto map Sxxxxxx 10 ipsec-isakmp set peer 92.xx.xx.xx set transform-set Sxxxxxx set pfs group2 match address 106 reverse-route # Сабинтерфейс который смотрит на провайдера interface FastEthernet0/0.XXX description Inet encapsulation dot1Q 325 ip address 88.xx.xx.xx 255.255.255.252 ip access-group 102 in ip access-group 103 out no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress no snmp trap link-status no cdp enable crypto map Sxxxxxx # ACL 102 IN 160 permit udp host 92.xx.xx.xx eq isakmp host xx.xx.xx.xx 170 permit udp host 92.xx.xx.xx eq non500-isakmp host 88.xx.xx.xx 180 permit esp host 92.xx.xx.xx host 88.xx.xx.xx # ACL 103 OUT 10 permit udp host 88.xx.xx.xx eq isakmp host 92.xx.xx.xx 20 permit udp host 88.xx.xx.xx eq non500-isakmp host 92.xx.xx.xx 30 permit esp host 88.xx.xx.xx host 92.xx.xx.xx # ACL 106 10 permit ip host 10.9.38.49 host 10.75.x.xx 20 permit ip host 10.9.38.49 host 10.75.x.xx 30 permit ip host 10.9.38.49 host 10.75.x.xx 40 permit ip host 10.9.38.49 host 10.75.x.xx
Ответить \| Правка \| Cообщить модератору

Оглавление

site to site IPSEC VPN работает в одну сторону, GolDi, 13:46 , 12-Окт-12, (1)

site to site IPSEC VPN работает в одну сторону, Nightly, 14:54 , 12-Окт-12, (3)

site to site IPSEC VPN работает в одну сторону, McS555, 14:25 , 12-Окт-12, (2)

site to site IPSEC VPN работает в одну сторону, Nightly, 15:02 , 12-Окт-12, (4)

site to site IPSEC VPN работает в одну сторону, Nightly, 15:05 , 12-Окт-12, (5)

site to site IPSEC VPN работает в одну сторону, McS555, 15:26 , 12-Окт-12, (6)

site to site IPSEC VPN работает в одну сторону, Nightly, 15:50 , 12-Окт-12, (9)

site to site IPSEC VPN работает в одну сторону, McS555, 15:28 , 12-Окт-12, (7)

site to site IPSEC VPN работает в одну сторону, Nightly, 15:49 , 12-Окт-12, (8)

site to site IPSEC VPN работает в одну сторону, Nightly, 16:04 , 12-Окт-12, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от GolDi (??) on 12-Окт-12, 13:46

>[оверквотинг удален]
> 180 permit esp host 92.xx.xx.xx host 88.xx.xx.xx
> # ACL 103 OUT
> 10 permit udp host 88.xx.xx.xx eq isakmp host 92.xx.xx.xx
> 20 permit udp host 88.xx.xx.xx eq non500-isakmp host 92.xx.xx.xx
> 30 permit esp host 88.xx.xx.xx host 92.xx.xx.xx
> # ACL 106
> 10 permit ip host 10.9.38.49 host 10.75.x.xx
> 20 permit ip host 10.9.38.49 host 10.75.x.xx
> 30 permit ip host 10.9.38.49 host 10.75.x.xx
> 40 permit ip host 10.9.38.49 host 10.75.x.xx
Так мне кажется в соответствии с вашими натсройками так и должно работать.
Удалите reverse-route  и пропишите маршруты в удалённую сеть статикой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 14:54

> Так мне кажется в соответствии с вашими натсройками так и должно работать.
> Удалите reverse-route  и пропишите маршруты в удалённую сеть статикой.
Так то и странно что все работало.
А потом как всегда: никто ничего не менял, а не работает. ((

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от McS555 (ok) on 12-Окт-12, 14:25

> Доброго дня.
> Просьба помочь советом, мой мозг уже не в состоянии что то понять
сделай нормальный
sho run
(без белых ip)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 15:02

> сделай нормальный
> sho run
> (без белых ip)
Весь sh run не вижу смысла выкладывать здесь, ибо очень длинная простыня получиться.
В посте кусок конфига со всеми  настройками относящимися к реализации site-to -site  IPSEC VPN

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 15:05

На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. Пока к сожалению не могу выложить конфиг удаленной стороны

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от McS555 (ok) on 12-Окт-12, 15:26

> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности.
> Пока к сожалению не могу выложить конфиг удаленной стороны
свой!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 15:50

>> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности.
>> Пока к сожалению не могу выложить конфиг удаленной стороны
> свой!
)))) да понятно что свой. но не стоит исключать что причина трабла на противоположной стороне, хоть по их утверждениям они ничего не изменяли в конфиге...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от McS555 (ok) on 12-Окт-12, 15:28

> Весь sh run не вижу смысла
Ну... ок

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 15:49

>> Весь sh run не вижу смысла
> Ну... ок
Если есть вопросы касательно конфига постараюсь ответить.
Кстати, после замены IOS в конфиге появилась строчка : resource policy.
Она никаким образом не могла повлиять?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "site to site IPSEC VPN работает в одну сторону" +/–

Сообщение от Nightly (ok) on 12-Окт-12, 16:04

>>> Весь sh run не вижу смысла
>> Ну... ок
> Если есть вопросы касательно конфига постараюсь ответить.
> Кстати, после замены IOS в конфиге появилась строчка : resource policy.
> Она никаким образом не могла повлиять?
ИХОХОО!!! ПРОБЛЕМА РЕШЕНА!!  оказывается в старом IOS команда reverse-route подразумевала собой reverse-route static. Вновой версии софта надо ее было прописать явно, как: reverse-route static.
Все заработало моментально!!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "site to site IPSEC VPN работает в одну сторону"	+/–
Сообщение от GolDi (??) on 12-Окт-12, 13:46
>[оверквотинг удален] > 180 permit esp host 92.xx.xx.xx host 88.xx.xx.xx > # ACL 103 OUT > 10 permit udp host 88.xx.xx.xx eq isakmp host 92.xx.xx.xx > 20 permit udp host 88.xx.xx.xx eq non500-isakmp host 92.xx.xx.xx > 30 permit esp host 88.xx.xx.xx host 92.xx.xx.xx > # ACL 106 > 10 permit ip host 10.9.38.49 host 10.75.x.xx > 20 permit ip host 10.9.38.49 host 10.75.x.xx > 30 permit ip host 10.9.38.49 host 10.75.x.xx > 40 permit ip host 10.9.38.49 host 10.75.x.xx Так мне кажется в соответствии с вашими натсройками так и должно работать. Удалите reverse-route и пропишите маршруты в удалённую сеть статикой.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 14:54
	> Так мне кажется в соответствии с вашими натсройками так и должно работать. > Удалите reverse-route и пропишите маршруты в удалённую сеть статикой. Так то и странно что все работало. А потом как всегда: никто ничего не менял, а не работает. ((
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "site to site IPSEC VPN работает в одну сторону"	+/–
Сообщение от McS555 (ok) on 12-Окт-12, 14:25
> Доброго дня. > Просьба помочь советом, мой мозг уже не в состоянии что то понять сделай нормальный sho run (без белых ip)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 15:02
	> сделай нормальный > sho run > (без белых ip) Весь sh run не вижу смысла выкладывать здесь, ибо очень длинная простыня получиться. В посте кусок конфига со всеми настройками относящимися к реализации site-to -site IPSEC VPN
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 15:05
	На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. Пока к сожалению не могу выложить конфиг удаленной стороны
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от McS555 (ok) on 12-Окт-12, 15:26
	> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. > Пока к сожалению не могу выложить конфиг удаленной стороны свой!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 15:50
	>> На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. >> Пока к сожалению не могу выложить конфиг удаленной стороны > свой! )))) да понятно что свой. но не стоит исключать что причина трабла на противоположной стороне, хоть по их утверждениям они ничего не изменяли в конфиге...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	7. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от McS555 (ok) on 12-Окт-12, 15:28
	> Весь sh run не вижу смысла Ну... ок
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 15:49
	>> Весь sh run не вижу смысла > Ну... ок Если есть вопросы касательно конфига постараюсь ответить. Кстати, после замены IOS в конфиге появилась строчка : resource policy. Она никаким образом не могла повлиять?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "site to site IPSEC VPN работает в одну сторону"	+/–
	Сообщение от Nightly (ok) on 12-Окт-12, 16:04
	>>> Весь sh run не вижу смысла >> Ну... ок > Если есть вопросы касательно конфига постараюсь ответить. > Кстати, после замены IOS в конфиге появилась строчка : resource policy. > Она никаким образом не могла повлиять? ИХОХОО!!! ПРОБЛЕМА РЕШЕНА!! оказывается в старом IOS команда reverse-route подразумевала собой reverse-route static. Вновой версии софта надо ее было прописать явно, как: reverse-route static. Все заработало моментально!!
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору