URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 384
[ Назад ]

Исходное сообщение
"IPSEC site-to-site (cisco and huawei)"

Отправлено DarK , 15-Дек-12 22:19 
Всем Привет
Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei))

cisco2811------->Internet------>Huawei Eudemon100

конфиг 2811
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key abcde address 10.155.11.88
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set eudemon esp-3des esp-sha-hmac
!
crypto map eudemon 1 ipsec-isakmp
description to_Eudemon
set peer 10.155.11.88
set security-association lifetime kilobytes 28800
set transform-set eudemon
match address 123

interface FastEthernet0/0
description WAN
ip address 10.10.10.10 255.255.255.224
load-interval 30
duplex auto
speed auto
crypto map eudemon

interface Loopback1
desc LAN
ip address 192.168.2.10 255.255.255.255

ip route 0.0.0.0 0.0.0.0 10.10.10.1

ip route 192.168.1.0 255.255.255.0 10.155.11.88

access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Eudemon config

ike proposal 1
encryption-algorithm 3des-cbc
dh group2
#
ike peer b
pre-shared-key abcde
ike-proposal 1
remote-address 10.10.10.10
#
ipsec proposal peer
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ipsec policy test 1 isakmp
security acl 3001
  ike-peer b
proposal peer
sa duration traffic-based 28800

#
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet1/0
ip address 10.155.11.88 255.255.255.240
ipsec policy test
#
interface NULL0                          
#
acl number 3001
description Ipsec
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip
acl number 3005
rule 10 permit ip
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
set priority 5
#
firewall zone dmz                        
set priority 50
#
firewall interzone local trust
packet-filter 3005 inbound
packet-filter 3005 outbound
session log enable
#
firewall interzone local untrust
packet-filter 3005 inbound
packet-filter 3005 outbound


ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
  ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
пакеты не проходят через туннель, хотя acl 3001 специально служит для того чтобы какой трафик направлять через туннель
ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования т.е. простая маршрутизация.
Где что не так есть ли тут кто знаком с Huawei-ом ????


Содержание

Сообщения в этом обсуждении
"IPSEC site-to-site (cisco and huawei)"
Отправлено spiegel , 15-Дек-12 23:19 
>[оверквотинг удален]
>  packet-filter 3005 inbound
>  packet-filter 3005 outbound
>  ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
>   ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
> туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
> чтобы какой трафик направлять через туннель
> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
> т.е. простая маршрутизация.
> Где что не так есть ли тут кто знаком с Huawei-ом ????

Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. Сделайте trace на обоих машинах. На циске не понятен маршрут:

> ip route 192.168.1.0 255.255.255.0 10.155.11.88

если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет пойдет через 10.10.10.1
  


"IPSEC site-to-site (cisco and huawei)"
Отправлено DarK , 16-Дек-12 20:45 
>[оверквотинг удален]
>> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
>> чтобы какой трафик направлять через туннель
>> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
>> т.е. простая маршрутизация.
>> Где что не так есть ли тут кто знаком с Huawei-ом ????
> Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута.
> Сделайте trace на обоих машинах. На циске не понятен маршрут:
>> ip route 192.168.1.0 255.255.255.0 10.155.11.88
> если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет
> пойдет через 10.10.10.1

Со стороны cisco проблем нет. Да Вы правы хопа 10.155.11.88 нет и он пойдет по дефоулту просто двойная маршрутизация получается. Еще раз повторю cisco посылает пакеты через туннель перед входом на юдемон стоит снифер. Пакеты идут ESP. Проблема в том что Eudemon не отправляет пакеты через туннель. Это видно и на снифире.
Но в чем проблема когда пингую с юдемона LAN циски ставля соурс 192.168.1.1 пинги проходят))
А с ноута 192.168.1.10 нет


"IPSEC site-to-site (cisco and huawei)"
Отправлено DarK , 17-Дек-12 12:10 
Поднял GRE over Ipsec заработало
при GRE заработало я думаю потомучто есть статический роут в сторону туннеля
ip route-static 192.168.2.0 255.255.255.0 tunnel 0
так как сам интерфейс означает point-to-point можно так писать роут без next-hopa
и так в случае без gre я пишу роут на next-hop то не работает пакеты идут не через туннель
пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
то не работает, я думаю так как интерфейс не point-to-point
как в cisco не получается ввести и next-hop и интерфейс ))
Кто что думает ?

"IPSEC site-to-site (cisco and huawei)"
Отправлено vigogne , 17-Дек-12 13:26 
> пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
> то не работает, я думаю так как интерфейс не point-to-point
> как в cisco не получается ввести и next-hop и интерфейс ))

Как это? У меня даже на древней 2651MX вводится и интерфейс и next-hop:
(config)#ip route 1.1.1.1 255.255.255.255 fa0/0 ?
  <1-255>    Distance metric for this route
  A.B.C.D    Forwarding router's address
  DHCP       Default Gateway obtained from DHCP
  name       Specify name of the next hop
  permanent  permanent route
  tag        Set tag for this route
  track      Install route depending on tracked item
  <cr>


"IPSEC site-to-site (cisco and huawei)"
Отправлено DarK , 18-Дек-12 08:27 
> Поднял GRE over Ipsec заработало
> при GRE заработало я думаю потомучто есть статический роут в сторону туннеля
> ip route-static 192.168.2.0 255.255.255.0 tunnel 0
> так как сам интерфейс означает point-to-point можно так писать роут без next-hopa
> и так в случае без gre я пишу роут на next-hop то
> не работает пакеты идут не через туннель
> пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
> то не работает, я думаю так как интерфейс не point-to-point
> как в cisco не получается ввести и next-hop и интерфейс ))
> Кто что думает ?

Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и outgoing interface



"IPSEC site-to-site (cisco and huawei)"
Отправлено vigogne , 18-Дек-12 08:30 
> Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и
> outgoing interface

На Huawei AR2220:
ip route-static 1.1.1.1 255.255.255.255 gi0/0/0 ?
  IP_ADDR<X.X.X.X>  Gateway address
  description       Add or delete description of unicast static route
  ldp-sync          LDP-Static route synchronization
  permanent         Specifies route permanent
  preference        Specifies route preference
  tag               Specifies route tag
  track             Specify track object
  <cr>              Please press ENTER to execute command


"IPSEC site-to-site (cisco and huawei)"
Отправлено andrey , 03-Июн-14 13:26 
>[оверквотинг удален]
>  packet-filter 3005 inbound
>  packet-filter 3005 outbound
>  ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
>   ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
> туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
> чтобы какой трафик направлять через туннель
> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
> т.е. простая маршрутизация.
> Где что не так есть ли тут кто знаком с Huawei-ом ????

Реальное оборудование или эмуляторы?