URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 625
[ Назад ]

Исходное сообщение
"Не пингуются хосты за GRE-тоннелем"

Отправлено don_kuklachev , 21-Мрт-13 13:24 
Всем привет!
Поднимаю GRE- тоннель между ЦО Cisco 7206(или 2821) и удаленным 1751(871), сам тоннель поднимается, хосты пингуются только в одну сторону(с удаленного офиса).Со стороны ЦО пингуется только внутренний интерфейс роутера. Причем со стороны центрального офиса(7206)подняты несколько тоннелей и прекрасно работают, в том числе и просто gre, за натом правда. Грешил на роутер 1751, так как при эмулировании его же с тем же IOS на gns и подключении к реальной среде, удаленный хост(также виртуалный vpcs) пингуется со стороны ЦО. Потом подключил 871 - та же история. Конфиг проще не придумаешь, единственное, тестирую все с одной AS(вряд ли думаю это имеет значение):

Cisco 871:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
!
!
!
!
!
!
interface Tunnel1
ip address 10.10.10.18 255.255.255.0
tunnel source FastEthernet4
tunnel destination XXXXXXXXX
!

interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address YYYYYYY 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
ip address 172.23.0.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 ZZZZZZZZZ
ip route 172.20.0.0 255.254.0.0 Tunnel1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended Nonat
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end


Cisco 7206

interface GigabitEthernet0/0.20
description Beeline
encapsulation dot1Q 20
ip address XXXXXX XXXXX
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
!

interface Tunnel1
ip address 10.10.10.17 255.255.255.0
tunnel source GigabitEthernet0/0.20
tunnel destination YYYYYYYY

ip route 172.23.0.0 255.255.255.0 Tunnel1


Содержание

Сообщения в этом обсуждении
"Не пингуются хосты за GRE-тоннелем"
Отправлено McS555 , 21-Мрт-13 18:17 
> !
> ip route 0.0.0.0 0.0.0.0 ZZZZZZZZZ
> ip route 172.20.0.0 255.254.0.0 Tunnel1
> !
> ip route 172.23.0.0 255.255.255.0 Tunnel1

?? Мало!!

Давай нормальный sho run (с "затонированными" внешними ip)

Може у тебя на LAN интерф. shutdown!! ?? А мы гадаем!


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 21-Мрт-13 23:26 
>> !
>> ip route 0.0.0.0 0.0.0.0 ZZZZZZZZZ
>> ip route 172.20.0.0 255.254.0.0 Tunnel1
>> !
>> ip route 172.23.0.0 255.255.255.0 Tunnel1
> ?? Мало!!
> Давай нормальный sho run (с "затонированными" внешними ip)
> Може у тебя на LAN интерф. shutdown!! ?? А мы гадаем!

Там конфиг на страниц 10.
Я же говорю пингуется лан интерфейс роутера 871- 172.23.0.1 с центрального 7200. Соответственно проблем с маршрутизацией нет, трасировка до 172.23.0.40 запинается на 10.10.10.18. С роутера к которому он подключен с интерфейса vlan1(172.23.0.1) он пингуется. С самого удаленного хоста(172.23.0.40) сеть центрального офиса 172.20.0.0 255.254.0.0 доступна и хосты пингуются.


"Не пингуются хосты за GRE-тоннелем"
Отправлено Andrey , 21-Мрт-13 18:56 
>[оверквотинг удален]
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip virtual-reassembly
> !
> interface Tunnel1
>  ip address 10.10.10.17 255.255.255.0
>  tunnel source GigabitEthernet0/0.20
>  tunnel destination YYYYYYYY
> ip route 172.23.0.0 255.255.255.0 Tunnel1

sh ip routing с обоих сторон.
route print (или netstat -nr, как вам удобнее) с клиентов.
traceroute в обе стороны.


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 22-Мрт-13 10:42 
>[оверквотинг удален]
>>  ip virtual-reassembly
>> !
>> interface Tunnel1
>>  ip address 10.10.10.17 255.255.255.0
>>  tunnel source GigabitEthernet0/0.20
>>  tunnel destination YYYYYYYY
>> ip route 172.23.0.0 255.255.255.0 Tunnel1
> sh ip routing с обоих сторон.
> route print (или netstat -nr, как вам удобнее) с клиентов.
> traceroute в обе стороны.

С ЦО:
linux#traceroute 172.23.0.1

Type escape sequence to abort.
Tracing the route to 172.23.0.1

  1 10.10.10.18 [AS WWWWWW] 0 msec *  0 msec

linux#traceroute 172.23.0.2

Type escape sequence to abort.
Tracing the route to 172.23.0.2

  1 10.10.10.18 [AS WWWWW] 4 msec 4 msec 8 msec
  2  *  *  *
  3  *  *


linux#sh ip route 172.23.0.2
Routing entry for 172.23.0.0/24
  Known via "static", distance 1, metric 0 (connected)
  Routing Descriptor Blocks:
  * directly connected, via Tunnel1
      Route metric is 0, traffic share count is 1


Удаленный роутер

Router#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 193.106.73.1 to network 0.0.0.0

C    193.106.73.0/24 is directly connected, FastEthernet4
     172.23.0.0/24 is subnetted, 1 subnets
C       172.23.0.0 is directly connected, Vlan1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.10.10.0 is directly connected, Tunnel1
S*   0.0.0.0/0 [1/0] via 193.106.73.1
S    172.20.0.0/15 is directly connected, Tunnel1


Router#ping 172.23.0.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.23.0.2, timeout is 2 seconds:
!!!!!

С хоста

C:\Users\toshiba>ipconfig

Настройка протокола IP для Windows


Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 172.23.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 172.23.0.1

Туннельный адаптер isatap.{60F9555F-291C-419A-9CD6-14E94741D05A}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер Подключение по локальной сети* 14:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

C:\Users\toshiba>tracert 172.21.16.49

Трассировка маршрута к 172.21.16.49 с максимальным числом прыжков 30

1 1 ms 1 ms 1 ms 172.23.0.1
2 3 ms 1 ms 1 ms 172.21.16.49

Трассировка завершена.


C:\Users\toshiba>route print
===========================================================================
Список интерфейсов
11...e8 9d 87 cf 7e 2a ......Intel(R) 82579V Gigabit Network Connection
1...........................Software Loopback Interface 1
42...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
25...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.23.0.1 172.23.0.2 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.23.0.0 255.255.255.0 On-link 172.23.0.2 276
172.23.0.2 255.255.255.255 On-link 172.23.0.2 276
172.23.0.255 255.255.255.255 On-link 172.23.0.2 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.23.0.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.23.0.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 172.23.0.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует


"Не пингуются хосты за GRE-тоннелем"
Отправлено Andrey , 22-Мрт-13 14:34 
А от имени какого IP у вас идет трафик когда вы делаете это:

linux#traceroute 172.23.0.2

Type escape sequence to abort.
Tracing the route to 172.23.0.2

  1 10.10.10.18 [AS WWWWW] 4 msec 4 msec 8 msec
  2  *  *  *
  3  *  *


И почему вы Linux называете громким именем Cisco 7206 (или 2821)


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 22-Мрт-13 15:45 
> А от имени какого IP у вас идет трафик когда вы делаете
> это:
> linux#traceroute 172.23.0.2
> Type escape sequence to abort.
> Tracing the route to 172.23.0.2
>   1 10.10.10.18 [AS WWWWW] 4 msec 4 msec 8 msec
>   2  *  *  *
>   3  *  *

От внутреннего интерфейса 2821 - 172.21.16.49


> И почему вы Linux называете громким именем Cisco 7206 (или 2821)

на самом деле это Cisco 2821 названная именем Linux))



"Не пингуются хосты за GRE-тоннелем"
Отправлено Andrey , 22-Мрт-13 17:53 
> S    172.20.0.0/15 is directly connected, Tunnel1

Попробуйте поставить IP, а не Tunnel в маршруте.


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 22-Мрт-13 10:46 
>[оверквотинг удален]
>>  ip virtual-reassembly
>> !
>> interface Tunnel1
>>  ip address 10.10.10.17 255.255.255.0
>>  tunnel source GigabitEthernet0/0.20
>>  tunnel destination YYYYYYYY
>> ip route 172.23.0.0 255.255.255.0 Tunnel1
> sh ip routing с обоих сторон.
> route print (или netstat -nr, как вам удобнее) с клиентов.
> traceroute в обе стороны.

Может подскажете сразу как без GRE обойтись)


"Не пингуются хосты за GRE-тоннелем"
Отправлено McS555 , 22-Мрт-13 18:45 
>[оверквотинг удален]
>>> !
>>> interface Tunnel1
>>>  ip address 10.10.10.17 255.255.255.0
>>>  tunnel source GigabitEthernet0/0.20
>>>  tunnel destination YYYYYYYY
>>> ip route 172.23.0.0 255.255.255.0 Tunnel1
>> sh ip routing с обоих сторон.
>> route print (или netstat -nr, как вам удобнее) с клиентов.
>> traceroute в обе стороны.
> Может подскажете сразу как без GRE обойтись)

Сделай с 800

ping 172.23.0.2 sou 10.10.10.18

Или от какого то loopback. Если не проходит, значит gre не причем!!


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 22-Мрт-13 21:39 
>[оверквотинг удален]
>>>>  tunnel source GigabitEthernet0/0.20
>>>>  tunnel destination YYYYYYYY
>>>> ip route 172.23.0.0 255.255.255.0 Tunnel1
>>> sh ip routing с обоих сторон.
>>> route print (или netstat -nr, как вам удобнее) с клиентов.
>>> traceroute в обе стороны.
>> Может подскажете сразу как без GRE обойтись)
> Сделай с 800
> ping 172.23.0.2 sou 10.10.10.18
> Или от какого то loopback. Если не проходит, значит gre не причем!!

Да он конечно же не при чем. Тупо блокировал брэндмауэр настроенны


"Не пингуются хосты за GRE-тоннелем"
Отправлено don_kuklachev , 22-Мрт-13 21:45 
>[оверквотинг удален]
>>>>  tunnel source GigabitEthernet0/0.20
>>>>  tunnel destination YYYYYYYY
>>>> ip route 172.23.0.0 255.255.255.0 Tunnel1
>>> sh ip routing с обоих сторон.
>>> route print (или netstat -nr, как вам удобнее) с клиентов.
>>> traceroute в обе стороны.
>> Может подскажете сразу как без GRE обойтись)
> Сделай с 800
> ping 172.23.0.2 sou 10.10.10.18
> Или от какого то loopback. Если не проходит, значит gre не причем!!

Да он конечно же не при чем. Тупо блокировал стандартный брэндмауэр настроенный только на общественные сети(поэтому с локалки пинг был), а на втором хосте(телефонная станция) видимо тоже какой то файервол. Понял когда подключил еще один пк, там был по умалчанию брандмауэр блокировал пинги даже из локалки. Жесть конечно, столько раз отключал их до этого юзерам для того же пинга