The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec тyннели и маршрутизация"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 10:06 
Добрый день. Настроил ipsec туннель на циско 871, но есть проблема, вижу только 1 сторону.
вот конфиги:

crypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 10.2.4.66
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 10.2.4.66
set transform-set myset
match address 101
!
archive
log config
  hidekeys
!
!        
!
!
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
ip address 10.128.14.2 255.255.255.252
speed auto
half-duplex
no cdp enable
crypto map myvpn
!
interface Vlan1
ip address 192.168.111.73 255.255.255.0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.128.14.1
ip route 10.2.4.66 255.255.255.254 10.128.14.1
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
access-list 101 permit ip 192.168.111.0 0.0.0.255 192.168.63.0 0.0.0.255
access-list 175 permit ip 192.168.111.0 0.0.0.255 any

и вторая:

ypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 10.128.14.2
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 10.128.14.2
set transform-set myset
match address 101
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
ip address 10.2.4.66 255.255.255.252
duplex auto
speed auto
no cdp enable
crypto map myvpn
!
interface Vlan1
ip address 192.168.63.100 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.2.4.65
ip route 10.128.14.2 255.255.255.254 10.2.4.65
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
access-list 101 permit ip 192.168.63.0 0.0.0.255 192.168.111.0 0.0.0.255
access-list 175 permit ip 192.168.63.0 0.0.0.255 any

как я понял проблема в маршрутизации, но как только не пытался настроить толку ноль.
собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.

Не могу понять в чем может быть проблема. Буду очень признателен за помощь :)

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 11:13 
Привет, я конечно спец не большой но все же :)

ip route 10.2.4.66 255.255.255.254 10.128.14.1
ip route 10.128.14.2 255.255.255.254 10.2.4.65
убери до этих правил пакеты не доходят.

ip nat inside source list 175 interface FastEthernet4 overload - на данный момент у тебя работать не будет.

И самы главный вопрос:
смотри у тебя трафик рулиться по дефаулту сюда
ip route 0.0.0.0 0.0.0.0 10.2.4.65
и сюда
ip route 0.0.0.0 0.0.0.0 10.128.14.1

есть третий маршрутизатор между ними который разруливает эти сетки или цыцки соединены шнурком напрямую? Если напрямую у тебя разные сети => никакой трафик бегать не будет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 11:36 
>[оверквотинг удален]
>ip nat inside source list 175 interface FastEthernet4 overload - на данный
>момент у тебя работать не будет.
>
>И самы главный вопрос:
>смотри у тебя трафик рулиться по дефаулту сюда
>ip route 0.0.0.0 0.0.0.0 10.2.4.65
>и сюда
>ip route 0.0.0.0 0.0.0.0 10.128.14.1
>
>есть третий маршрутизатор между ними который разруливает эти сетки или цыцки соединены шнурком напрямую? Если напрямую у тебя разные сети => никакой трафик бегать не будет

циски соединены точка-точка.
нет, третьего маршрута нет. Но как то же все таки с одной сети я вижу другую... тем более для этого я специально туннель и делал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 11:59 

>циски соединены точка-точка.
>нет, третьего маршрута нет. Но как то же все таки с одной
>сети я вижу другую... тем более для этого я специально туннель и делал.

Я не могу сказать как ты можешь видеть :) Я могу сказать что надо исправить
На первой циске
исправь
interface FastEthernet4
ip address 10.2.4.66 255.255.255.252
и
ip route 0.0.0.0 0.0.0.0 10.2.4.65

на второй исправь
crypto isakmp key ciscokey address 10.2.4.65

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 12:18 
>[оверквотинг удален]
>что надо исправить
>На первой циске
>исправь
>interface FastEthernet4
>ip address 10.2.4.66 255.255.255.252

>ip route 0.0.0.0 0.0.0.0 10.2.4.65
>
>на второй исправь
>crypto isakmp key ciscokey address 10.2.4.65

а зачем это то править:
crypto isakmp key ciscokey address 10.2.4.65 ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 12:19 
>[оверквотинг удален]
>>interface FastEthernet4
>>ip address 10.2.4.66 255.255.255.252
>>и
>>ip route 0.0.0.0 0.0.0.0 10.2.4.65
>>
>>на второй исправь
>>crypto isakmp key ciscokey address 10.2.4.65
>
>а зачем это то править:
>crypto isakmp key ciscokey address 10.2.4.65 ?

потому что 10.128.14.2 существовать уже не будет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 12:20 
>[оверквотинг удален]
>>>и
>>>ip route 0.0.0.0 0.0.0.0 10.2.4.65
>>>
>>>на второй исправь
>>>crypto isakmp key ciscokey address 10.2.4.65
>>
>>а зачем это то править:
>>crypto isakmp key ciscokey address 10.2.4.65 ?
>
>потому что 10.128.14.2 существовать уже не будет

что то я вас понять не могу. 10,2,4,65 это модем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 12:43 
Тут опечатка
interface FastEthernet4
ip address 10.2.4.65 255.255.255.252 -тут 65
и
ip route 0.0.0.0 0.0.0.0 10.2.4.66

на второй исправь
crypto isakmp key ciscokey address 10.2.4.65
про модем я первый раз слышу - по схеме я так понял циски соединены между собой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 12:47 
>Тут опечатка
>interface FastEthernet4
>ip address 10.2.4.65 255.255.255.252 -тут 65

>ip route 0.0.0.0 0.0.0.0 10.2.4.66
>
>на второй исправь
>crypto isakmp key ciscokey address 10.2.4.65
>про модем я первый раз слышу - по схеме я так понял
>циски соединены между собой.

нет, получается так lan1<-->cisco1<-->modem<-->modem<-->cisco2<-->lan2

получается так из лан2 я вижу лан1, но из лан1 не вижу лан2, вижу только ip который прописан на циске.
это получается лан2:
#ping 192.168.63.12 source 192.168.111.73      

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.63.12, timeout is 2 seconds:
Packet sent with a source address of 192.168.111.73
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms

и из лан1:

#ping 192.168.111.2 source 192.168.63.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.111.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.63.100
.....
Success rate is 0 percent (0/5)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 12:57 
покажи что покажет одна и вторая циска по командам
sh crypto session detail
sh access-lists

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 13:04 
>покажи что покажет одна и вторая циска по командам
>sh crypto session detail
>sh access-lists

первая:
#sh crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection    
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: FastEthernet4
Uptime: 03:10:28
Session status: UP-ACTIVE    
Peer: 10.128.14.2 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 10.128.14.2
      Desc: (none)
  IKE SA: local 10.2.4.66/500 remote 10.128.14.2/500 Active
          Capabilities:(none) connid:2002 lifetime:20:41:35
  IPSEC FLOW: permit ip 192.168.111.0/255.255.255.0 192.168.63.0/255.255.255.0
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
  IPSEC FLOW: permit ip 192.168.63.0/255.255.255.0 192.168.111.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 1722 drop 0 life (KB/Sec) 4574293/2547
        Outbound: #pkts enc'ed 2118 drop 1 life (KB/Sec) 4574294/2547

sh access-lists
Extended IP access list 101
    10 permit ip 192.168.63.0 0.0.0.255 192.168.111.0 0.0.0.255 (7810 matches)
Extended IP access list 175
    10 permit ip 192.168.63.0 0.0.0.255 any

вторая:

#sh crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection    
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: FastEthernet4
Uptime: 03:10:03
Session status: UP-ACTIVE    
Peer: 10.2.4.66 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 10.2.4.66
      Desc: (none)
  IKE SA: local 10.128.14.2/500 remote 10.2.4.66/500 Active
          Capabilities:(none) connid:2003 lifetime:20:42:01
  IPSEC FLOW: permit ip 192.168.111.0/255.255.255.0 192.168.63.0/255.255.255.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 2113 drop 1 life (KB/Sec) 4425128/2572
        Outbound: #pkts enc'ed 1720 drop 0 life (KB/Sec) 4425128/2572

sh access-lists
Extended IP access list 101
    10 permit ip 192.168.111.0 0.0.0.255 192.168.63.0 0.0.0.255 (7812 matches)
Extended IP access list 175
    10 permit ip 192.168.111.0 0.0.0.255 any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 13:21 
Хм тунели выстраиваються интересный трафик криптуеться. А что такое 192.168.111.2?
и еще
ping 192.168.111.73 source 192.168.63.100 - проходит?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 13:24 
>Хм тунели выстраиваються интересный трафик криптуеться. А что такое 192.168.111.2?

это машинка из той подсети

>и еще
>ping 192.168.111.73 source 192.168.63.100 - проходит?

ага, проходит.

меня тут смутила, что на первой циски IPSEC FLOW в двух экземплярах, а на второй, только 1


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 13:37 
>[оверквотинг удален]
>
>это машинка из той подсети
>
>>и еще
>>ping 192.168.111.73 source 192.168.63.100 - проходит?
>
>ага, проходит.
>
>меня тут смутила, что на первой циски IPSEC FLOW в двух экземплярах,
>а на второй, только 1

две записи говорят о том что в аксес листе прикрученом в криптокарту есть 2 правила. Но по sh access-list в листе одна запись. перегрузи ка эту циску.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 13:45 
>[оверквотинг удален]
>>>ping 192.168.111.73 source 192.168.63.100 - проходит?
>>
>>ага, проходит.
>>
>>меня тут смутила, что на первой циски IPSEC FLOW в двух экземплярах,
>>а на второй, только 1
>
>две записи говорят о том что в аксес листе прикрученом в криптокарту
>есть 2 правила. Но по sh access-list в листе одна запись.
>перегрузи ка эту циску.

перезагрузил, осталось одно IPSEC FLOW, но остальное без изменений :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 13:47 
>[оверквотинг удален]
>>>ага, проходит.
>>>
>>>меня тут смутила, что на первой циски IPSEC FLOW в двух экземплярах,
>>>а на второй, только 1
>>
>>две записи говорят о том что в аксес листе прикрученом в криптокарту
>>есть 2 правила. Но по sh access-list в листе одна запись.
>>перегрузи ка эту циску.
>
>перезагрузил, осталось одно IPSEC FLOW, но остальное без изменений :(

так что бы не засорять форум мой ICQ 476-561-877

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 14:03 
>[оверквотинг удален]
>>>>меня тут смутила, что на первой циски IPSEC FLOW в двух экземплярах,
>>>>а на второй, только 1
>>>
>>>две записи говорят о том что в аксес листе прикрученом в криптокарту
>>>есть 2 правила. Но по sh access-list в листе одна запись.
>>>перегрузи ка эту циску.
>>
>>перезагрузил, осталось одно IPSEC FLOW, но остальное без изменений :(
>
>так что бы не засорять форум мой ICQ 476-561-877

ок, написал...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 15:48 
>[оверквотинг удален]
>!
>access-list 101 permit ip 192.168.63.0 0.0.0.255 192.168.111.0 0.0.0.255
>access-list 175 permit ip 192.168.63.0 0.0.0.255 any
>
>как я понял проблема в маршрутизации, но как только не пытался настроить
>толку ноль.
>собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.
>
>Не могу понять в чем может быть проблема. Буду очень признателен за
>помощь :)

Вы с NAT-ом как-то определитесь.
На первой надо сделать чтобы не натились пакеты которые идут в туннель,
а на второй я вообще не понял где настройки NAT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 15:50 
>[оверквотинг удален]
>>толку ноль.
>>собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.
>>
>>Не могу понять в чем может быть проблема. Буду очень признателен за
>>помощь :)
>
>Вы с NAT-ом как-то определитесь.
>На первой надо сделать чтобы не натились пакеты которые идут в туннель,
>
>а на второй я вообще не понял где настройки NAT

ну мне нат в принципе не нужен, как я понял. получается надо убрать эту строчку:
ip nat inside source list 175 interface FastEthernet4 overload
?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:04 
>[оверквотинг удален]
>>
>>Вы с NAT-ом как-то определитесь.
>>На первой надо сделать чтобы не натились пакеты которые идут в туннель,
>>
>>а на второй я вообще не понял где настройки NAT
>
>ну мне нат в принципе не нужен, как я понял. получается надо
>убрать эту строчку:
>ip nat inside source list 175 interface FastEthernet4 overload
>?

Если NAT не нужен, тогда
уберите шифрование, и проверь доступны ли внутренние сети с обоих сторон.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 16:06 
>[оверквотинг удален]
>>
>>ну мне нат в принципе не нужен, как я понял. получается надо
>>убрать эту строчку:
>>ip nat inside source list 175 interface FastEthernet4 overload
>>?
>
> Если NAT не нужен, тогда
> уберите шифрование, и проверь доступны ли внутренние сети с обоих сторон.
>
>

а можно поподробней? я просто в этом не разбираюсь, зачем тут нужен нат?
и вообще, в чем может быть проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:09 
>[оверквотинг удален]
>>>?
>>
>> Если NAT не нужен, тогда
>> уберите шифрование, и проверь доступны ли внутренние сети с обоих сторон.
>>
>>
>
>а можно поподробней? я просто в этом не разбираюсь, зачем тут нужен
>нат?
>и вообще, в чем может быть проблема?

Проблема в маршрутизации, по вашей схеме без NAT-а модемы должны
знать где искать ваши внутренние сети.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 16:10 
>[оверквотинг удален]
>>> уберите шифрование, и проверь доступны ли внутренние сети с обоих сторон.
>>>
>>>
>>
>>а можно поподробней? я просто в этом не разбираюсь, зачем тут нужен
>>нат?
>>и вообще, в чем может быть проблема?
>
> Проблема в маршрутизации, по вашей схеме без NAT-а модемы должны
>знать где искать ваши внутренние сети.

ок, а как тогда убрать шифрование?
и почему одна сторона видит другую, а та нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:14 
>[оверквотинг удален]
>>>
>>>а можно поподробней? я просто в этом не разбираюсь, зачем тут нужен
>>>нат?
>>>и вообще, в чем может быть проблема?
>>
>> Проблема в маршрутизации, по вашей схеме без NAT-а модемы должны
>>знать где искать ваши внутренние сети.
>
>ок, а как тогда убрать шифрование?
>и почему одна сторона видит другую, а та нет?

Снимите crypto map с ethernet-ов, уберите всё что связано с NAT
и проверьте доступность одной внктренней сети из другой, и наоборот.
А потом примените шифрование

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 16:21 
>[оверквотинг удален]
>>>
>>> Проблема в маршрутизации, по вашей схеме без NAT-а модемы должны
>>>знать где искать ваши внутренние сети.
>>
>>ок, а как тогда убрать шифрование?
>>и почему одна сторона видит другую, а та нет?
>
>Снимите crypto map с ethernet-ов, уберите всё что связано с NAT
>и проверьте доступность одной внктренней сети из другой, и наоборот.
>А потом примените шифрование

убираю crypto map и все падает, кроме внешних интерфейсов ничего не видно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:30 
>[оверквотинг удален]
>>>
>>>ок, а как тогда убрать шифрование?
>>>и почему одна сторона видит другую, а та нет?
>>
>>Снимите crypto map с ethernet-ов, уберите всё что связано с NAT
>>и проверьте доступность одной внктренней сети из другой, и наоборот.
>>А потом примените шифрование
>
>убираю crypto map и все падает, кроме внешних интерфейсов ничего не видно...
>

покажите настройки routing-а на модемах

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 16:32 
>[оверквотинг удален]
>>>>и почему одна сторона видит другую, а та нет?
>>>
>>>Снимите crypto map с ethernet-ов, уберите всё что связано с NAT
>>>и проверьте доступность одной внктренней сети из другой, и наоборот.
>>>А потом примените шифрование
>>
>>убираю crypto map и все падает, кроме внешних интерфейсов ничего не видно...
>>
>
> покажите настройки routing-а на модемах

у меня к ним доступа нет.
проблемы в модемах что ли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:43 
>[оверквотинг удален]
>>>>и проверьте доступность одной внктренней сети из другой, и наоборот.
>>>>А потом примените шифрование
>>>
>>>убираю crypto map и все падает, кроме внешних интерфейсов ничего не видно...
>>>
>>
>> покажите настройки routing-а на модемах
>
>у меня к ним доступа нет.
>проблемы в модемах что ли?

   Надо tunnel-и настраивать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 16:44 
>[оверквотинг удален]
>>>>убираю crypto map и все падает, кроме внешних интерфейсов ничего не видно...
>>>>
>>>
>>> покажите настройки routing-а на модемах
>>
>>у меня к ним доступа нет.
>>проблемы в модемах что ли?
>
>   Надо tunnel-и настраивать.
>

блин.
у вас случаем нет манчика, как это можно сделать? :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:56 
>[оверквотинг удален]
>>>> покажите настройки routing-а на модемах
>>>
>>>у меня к ним доступа нет.
>>>проблемы в модемах что ли?
>>
>>   Надо tunnel-и настраивать.
>>
>
>блин.
>у вас случаем нет манчика, как это можно сделать? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 21-Июл-09, 16:57 
>[оверквотинг удален]
>>>>> покажите настройки routing-а на модемах
>>>>
>>>>у меня к ним доступа нет.
>>>>проблемы в модемах что ли?
>>>
>>>   Надо tunnel-и настраивать.
>>>
>>
>>блин.
>>у вас случаем нет манчика, как это можно сделать? :)

Ищите на форуме, здесь теория
http://www.ciscolab.ru/2006/12/04/gre_tunnel_conf.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 21-Июл-09, 17:05 
>[оверквотинг удален]
>>>>>проблемы в модемах что ли?
>>>>
>>>>   Надо tunnel-и настраивать.
>>>>
>>>
>>>блин.
>>>у вас случаем нет манчика, как это можно сделать? :)
>
>Ищите на форуме, здесь теория
>http://www.ciscolab.ru/2006/12/04/gre_tunnel_conf.html

постараюсь разобраться...
но мне все таки интересно, почему в одну сторону пакеты ходят, а в другую нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "IPSec тyннели и маршрутизация"  +/
Сообщение от Николай (??) on 21-Июл-09, 17:40 
2 Aidaho чего в аську не написал? - сижу читаю улыбаюсь
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 22-Июл-09, 07:19 
>2 Aidaho чего в аську не написал? - сижу читаю улыбаюсь

написал... но ответа не было....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "IPSec тyннели и маршрутизация"  +/
Сообщение от pavel2084 (ok) on 21-Июл-09, 17:00 
>[оверквотинг удален]
>>>>> покажите настройки routing-а на модемах
>>>>
>>>>у меня к ним доступа нет.
>>>>проблемы в модемах что ли?
>>>
>>>   Надо tunnel-и настраивать.
>>>
>>
>>блин.
>>у вас случаем нет манчика, как это можно сделать? :)

http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...

Настраивайте VTI, и IPSec есть и мультикасты ходить будут, т.е. можно будет динамику поднять.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 22-Июл-09, 08:58 
>[оверквотинг удален]
>!
>access-list 101 permit ip 192.168.63.0 0.0.0.255 192.168.111.0 0.0.0.255
>access-list 175 permit ip 192.168.63.0 0.0.0.255 any
>
>как я понял проблема в маршрутизации, но как только не пытался настроить
>толку ноль.
>собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.
>
>Не могу понять в чем может быть проблема. Буду очень признателен за
>помощь :)

Разобрался... проблема была в том, что с той стороны не прописали маршруты...
Вот из-за такой мелочи, столько проблем...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 22-Июл-09, 10:37 
>[оверквотинг удален]
>>как я понял проблема в маршрутизации, но как только не пытался настроить
>>толку ноль.
>>собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.
>>
>>Не могу понять в чем может быть проблема. Буду очень признателен за
>>помощь :)
>
>Разобрался... проблема была в том, что с той стороны не прописали маршруты...
>
>Вот из-за такой мелочи, столько проблем...

Ничего себе мелочь :))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 22-Июл-09, 10:48 
>[оверквотинг удален]
>>>собственно с 111-ей подсети я вижу 63-ю, но на оборот тишина.
>>>
>>>Не могу понять в чем может быть проблема. Буду очень признателен за
>>>помощь :)
>>
>>Разобрался... проблема была в том, что с той стороны не прописали маршруты...
>>
>>Вот из-за такой мелочи, столько проблем...
>
>Ничего себе мелочь :))))

ну я то думал, что у них все настроено, по этому во внимание не брал...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "IPSec тyннели и маршрутизация"  +/
Сообщение от GolDi (??) on 22-Июл-09, 11:12 
>[оверквотинг удален]
>>>>помощь :)
>>>
>>>Разобрался... проблема была в том, что с той стороны не прописали маршруты...
>>>
>>>Вот из-за такой мелочи, столько проблем...
>>
>>Ничего себе мелочь :))))
>
>ну я то думал, что у них все настроено, по этому во
>внимание не брал...

что же вы не убедились в доступности сетей,а сразу начали настраивать шифрование?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "IPSec тyннели и маршрутизация"  +/
Сообщение от Aidaho (ok) on 22-Июл-09, 11:18 
>[оверквотинг удален]
>>>>
>>>>Вот из-за такой мелочи, столько проблем...
>>>
>>>Ничего себе мелочь :))))
>>
>>ну я то думал, что у них все настроено, по этому во
>>внимание не брал...
>
> что же вы не убедились в доступности сетей,а сразу начали настраивать
>шифрование?

Это первый опыт в настройки циски, думал в начале туннель настроить надо, а там уже смотреть с доступом и всем остальным...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру