The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VPN работает но show crypto ничего не показывает "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"VPN работает но show crypto ничего не показывает "  
Сообщение от fet (ok) on 15-Янв-09, 13:36 
VPN по Ipsec запустился удаленный офис работает с базой,но как на 1 так и на 2 циске команда show crypto ipsec sa interface tunnel 1 показывает :

interface: Tunnel1
    Crypto map tag: myvpn, local addr. 154.154.154.154

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/47/0)
   current_peer: 122.122.122.122:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 154.154.154.154, remote crypto endpt.: 122.122.122.122
     path mtu 1514, media mtu 1514
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Как-бы не активный VPN? Кто-нить знает в чем засада???
Спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN работает но show crypto ничего не показывает "  
Сообщение от gagner (ok) on 15-Янв-09, 17:08 
я предпочитаю смотреть VPN по sh cry se [remote peer]  
по show crypto ipsec sa interface на активные сессии выводится несколько pgdn херни, которая по информативности ничем не отличается от sh cry se.  ))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN работает но show crypto ничего не показывает "  
Сообщение от Eduard_k (ok) on 16-Янв-09, 16:23 
>я предпочитаю смотреть VPN по sh cry se [remote peer]
>по show crypto ipsec sa interface на активные сессии выводится несколько pgdn
>херни, которая по информативности ничем не отличается от sh cry se.
> ))

не матчится ничего. покажите конфик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN работает но show crypto ничего не показывает "  
Сообщение от fet (ok) on 23-Янв-09, 18:13 
>я предпочитаю смотреть VPN по sh cry se [remote peer]
>по show crypto ipsec sa interface на активные сессии выводится несколько pgdn
>херни, которая по информативности ничем не отличается от sh cry se.
> ))

CISCO831#show crypto session    
Crypto session current status

Interface: Tunnel1
Session status: DOWN
Peer: 122.122.122.122/500
  IPSEC FLOW: permit 47 host 192.168.0.1 host 192.168.1.1
        Active SAs: 0, origin: crypto map
  IPSEC FLOW: permit 47 host 192.168.0.1 host 192.168.1.1
        Active SAs: 0, origin: crypto map

CISCO831#show interfaces tunnel 1
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Interface is unnumbered. Using address of Ethernet1 (154.154.154.154)
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 154.154.154.154 (Ethernet1), destination 122.122.122.122
  Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
  Tunnel TTL 255
  Checksumming of packets enabled,  fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input 00:00:02, output 00:05:20, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     3537380 packets input, 1135348181 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3892213 packets output, 744086129 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

CISCO831#ping 192.168.1.100   (Это внутр.ип сервера в европе а пинг из алмааты)  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 168/175/180 ms

Типа все работает но sh cry se показывает DOWN- какие мысли???

Это конфиг-они эдинтичны(почти-сам понимаешь)

CISCO831#show configuration
Using 4912 out of 131072 bytes
!
! Last configuration change at 19:59:45 GMT Wed Jan 21 2009 by fet
! NVRAM config last updated at 19:59:54 GMT Wed Jan 21 2009 by fet
!
version 12.3
no service pad
service tcp-keepalives-in
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname CISCO831!
boot-start-marker
boot-end-marker
!
no logging console
!
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 192.168.0.1 192.168.0.10
ip dhcp excluded-address 192.168.0.100 192.168.0.254
!
ip dhcp pool DHCP-LAN
   import all
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 212.19.149.226 212.19.149.227
   lease 14
!
!
ip domain name CISCO831.kz
ip name-server 212.19.149.226
ip name-server 212.19.149.227
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall ftp
ip inspect name firewall realaudio
ip inspect name firewall smtp
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall tftp
ip inspect name firewall rcmd
ip inspect name firewall http
ip ips po max-events 100
ip ssh version 2
no ftp-server write-enable
password encryption aes
!
!
!
!
class-map match-any www
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key 6 xxxxx address 122.122.122.122
!
!
crypto ipsec transform-set xxxxx-yyyyy esp-des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 122.122.122.122
set transform-set xxxxx-yyyyy
match address 111
!
!
!
interface Tunnel1
ip unnumbered Ethernet1
tunnel source Ethernet1
tunnel destination 122.122.122.122
tunnel checksum
crypto map myvpn
!
interface Null0
no ip unreachables
!
interface Ethernet0
description ***LAN Interface***
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 32 in
!
interface Ethernet1
description *** WAN Interface ***
ip address 154.154.154.154 255.255.255.252
ip access-group incoming in
ip mask-reply
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
no ip split-horizon
duplex auto
no cdp enable
crypto map myvpn
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 154.154.154.153
ip route 192.168.1.0 255.255.255.0 Tunnel1
no ip http server
no ip http secure-server
ip nat service fullrange tcp port 511
ip nat inside source list 102 interface Ethernet1 overload
ip nat inside source route-map nonat pool DHCP-LAN overload
!
!
ip access-list extended incoming
  permit tcp any any eq domain
permit udp any any eq domain
deny   icmp any any redirect
permit udp any any eq ntp
permit tcp any any eq pop3 smtp www 443
permit tcp any eq domain any
permit udp any eq domain any
permit icmp any any echo
permit icmp any any echo-reply
permit tcp any any eq www pop3 smtp
permit udp any eq ntp any
permit udp host 122.122.122.122 eq isakmp host 154.154.154.154 log
permit esp host 122.122.122.122 host 154.154.154.154 log
permit gre host 122.122.122.122 host 154.154.154.154 log
permit ip host 122.122.122.122 any log
deny   tcp any eq 5938 any eq 5938
deny   tcp any eq 12975 any log
permit tcp any any established log
deny   ip any any log
ip access-list extended ssh
   deny   ip any any log
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit gre host 192.168.0.1 host 192.168.1.1
no cdp run
route-map nonat permit 10
match ip address 102
!        
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN работает но show crypto ничего не показывает "  
Сообщение от fet (ok) on 23-Янв-09, 18:15 
>я предпочитаю смотреть VPN по sh cry se [remote peer]
>по show crypto ipsec sa interface на активные сессии выводится несколько pgdn
>херни, которая по информативности ничем не отличается от sh cry se.
> ))
>я предпочитаю смотреть VPN по sh cry se [remote peer]
>по show crypto ipsec sa interface на активные сессии выводится несколько pgdn
>херни, которая по информативности ничем не отличается от sh cry se.
> ))

CISCO831#show crypto session    
Crypto session current status

Interface: Tunnel1
Session status: DOWN
Peer: 122.122.122.122/500
  IPSEC FLOW: permit 47 host 192.168.0.1 host 192.168.1.1
        Active SAs: 0, origin: crypto map
  IPSEC FLOW: permit 47 host 192.168.0.1 host 192.168.1.1
        Active SAs: 0, origin: crypto map

CISCO831#show interfaces tunnel 1
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Interface is unnumbered. Using address of Ethernet1 (154.154.154.154)
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 154.154.154.154 (Ethernet1), destination 122.122.122.122
  Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
  Tunnel TTL 255
  Checksumming of packets enabled,  fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input 00:00:02, output 00:05:20, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     3537380 packets input, 1135348181 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3892213 packets output, 744086129 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

CISCO831#ping 192.168.1.100   (Это внутр.ип сервера в европе а пинг из алмааты)  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 168/175/180 ms

Типа все работает но sh cry se показывает DOWN- какие мысли???

Это конфиг-они эдинтичны(почти-сам понимаешь)

CISCO831#show configuration
Using 4912 out of 131072 bytes
!
! Last configuration change at 19:59:45 GMT Wed Jan 21 2009 by fet
! NVRAM config last updated at 19:59:54 GMT Wed Jan 21 2009 by fet
!
version 12.3
no service pad
service tcp-keepalives-in
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname CISCO831!
boot-start-marker
boot-end-marker
!
no logging console
!
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 192.168.0.1 192.168.0.10
ip dhcp excluded-address 192.168.0.100 192.168.0.254
!
ip dhcp pool DHCP-LAN
   import all
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 212.19.149.226 212.19.149.227
   lease 14
!
!
ip domain name CISCO831.kz
ip name-server 212.19.149.226
ip name-server 212.19.149.227
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall ftp
ip inspect name firewall realaudio
ip inspect name firewall smtp
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall tftp
ip inspect name firewall rcmd
ip inspect name firewall http
ip ips po max-events 100
ip ssh version 2
no ftp-server write-enable
password encryption aes
!
!
!
!
class-map match-any www
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key 6 xxxxx address 122.122.122.122
!
!
crypto ipsec transform-set xxxxx-yyyyy esp-des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 122.122.122.122
set transform-set xxxxx-yyyyy
match address 111
!
!
!
interface Tunnel1
ip unnumbered Ethernet1
tunnel source Ethernet1
tunnel destination 122.122.122.122
tunnel checksum
crypto map myvpn
!
interface Null0
no ip unreachables
!
interface Ethernet0
description ***LAN Interface***
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 32 in
!
interface Ethernet1
description *** WAN Interface ***
ip address 154.154.154.154 255.255.255.252
ip access-group incoming in
ip mask-reply
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
no ip split-horizon
duplex auto
no cdp enable
crypto map myvpn
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 154.154.154.153
ip route 192.168.1.0 255.255.255.0 Tunnel1
no ip http server
no ip http secure-server
ip nat service fullrange tcp port 511
ip nat inside source list 102 interface Ethernet1 overload
ip nat inside source route-map nonat pool DHCP-LAN overload
!
!
ip access-list extended incoming
  permit tcp any any eq domain
permit udp any any eq domain
deny   icmp any any redirect
permit udp any any eq ntp
permit tcp any any eq pop3 smtp www 443
permit tcp any eq domain any
permit udp any eq domain any
permit icmp any any echo
permit icmp any any echo-reply
permit tcp any any eq www pop3 smtp
permit udp any eq ntp any
permit udp host 122.122.122.122 eq isakmp host 154.154.154.154 log
permit esp host 122.122.122.122 host 154.154.154.154 log
permit gre host 122.122.122.122 host 154.154.154.154 log
permit ip host 122.122.122.122 any log
deny   tcp any eq 5938 any eq 5938
deny   tcp any eq 12975 any log
permit tcp any any established log
deny   ip any any log
ip access-list extended ssh
   deny   ip any any log
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit gre host 192.168.0.1 host 192.168.1.1
no cdp run
route-map nonat permit 10
match ip address 102
!        
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN работает но show crypto ничего не показывает "  
Сообщение от Eduard_k (ok) on 23-Янв-09, 18:30 
не, не так
надо
access-l 111 permit 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
либо
tunn protection ipsec profile использовать
либо crypto map на interface Ethernet1 вешать
вобщем выбирайте :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру