forum.opennet.ru - "reverse-route в IpSec" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"reverse-route в IpSec"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"reverse-route в IpSec"	+/–
Сообщение от www_tank (ok) on 24-Дек-08, 09:02
имеется рабочий туннель IpSec до филиала на multyhome с2801. т.к. провайдера два, в сторону филиала написан статический маршрут по сети резервного повайдера. у филиала нет постоянного ip, приходится за этим статическим маршрутом следить. нашлась такая технология как reverse route injection у циски. добавляю в crypto dynamic-map IPSEC-DYNMAP 10 set transform-set TSET-SITES set isakmp-profile SITES-PROFILE reverse-route remote-peer х.х.х.21 последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30 по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен написать reverse-route enable и начать добавлять маршруты.... вот это и не работает.... int tunnel yy shutdown не помогает. как бы ipsec передернуть?
Ответить \| Правка \| Cообщить модератору

Оглавление

reverse-route в IpSec, AlexDv, 11:27 , 24-Дек-08, (1)

reverse-route в IpSec, www_tank, 12:21 , 24-Дек-08, (2)

reverse-route в IpSec, www_tank, 13:00 , 24-Дек-08, (3)

reverse-route в IpSec, AlexDv, 15:27 , 24-Дек-08, (4)

reverse-route в IpSec, www_tank, 16:22 , 24-Дек-08, (5)

reverse-route в IpSec, AlexDv, 18:03 , 24-Дек-08, (6)

reverse-route в IpSec, www_tank, 12:41 , 25-Дек-08, (7)

reverse-route в IpSec, AlexDv, 13:25 , 25-Дек-08, (8)

reverse-route в IpSec, www_tank, 17:23 , 28-Дек-08, (9)

reverse-route в IpSec, Nick.spb, 12:33 , 27-Янв-11, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "reverse-route в IpSec" +/–

Сообщение от AlexDv (??) on 24-Дек-08, 11:27

>[оверквотинг удален]
> set isakmp-profile SITES-PROFILE
> reverse-route remote-peer х.х.х.21
>последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30
>
>по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен
>написать
>reverse-route enable и начать добавлять маршруты....
>
>вот это и не работает.... int tunnel yy shutdown не помогает.
>как бы ipsec передернуть?
clea crypto isakmp XXX , где XXX connection id of SA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "reverse-route в IpSec" +/–

Сообщение от www_tank (??) on 24-Дек-08, 12:21

>clea crypto isakmp XXX , где XXX connection id of SA
спасибо, что откликнулись.
sh cry isakmp sa показывает пусто, sh cry map без изменений, туннель как жил так и живет

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "reverse-route в IpSec" +/–

Сообщение от www_tank (ok) on 24-Дек-08, 13:00

после удаления и привязки политики к интерфейсу в sh cry map появилось reverse-route enable
а вот маршрутов не создает никаких, даже если убрать статический(о котором в начале поста гвориться)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "reverse-route в IpSec" +/–

Сообщение от AlexDv (??) on 24-Дек-08, 15:27

>после удаления и привязки политики к интерфейсу в sh cry map появилось
>reverse-route enable
>а вот маршрутов не создает никаких, даже если убрать статический(о котором в
>начале поста гвориться)
Если sh cry is sa ничего не показывает - значит данный пир неактивен, ничего  и не должно быть.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "reverse-route в IpSec" +/–

Сообщение от www_tank (??) on 24-Дек-08, 16:22

>Если sh cry is sa ничего не показывает - значит данный пир
>неактивен, ничего  и не должно быть.
после того как политику не фейсе передернули, sh cry is sa  показывает sa.
полиси и профиль в одном экземпляре и по идее должно отрабатывать.
склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в книжке полнофункционально RRJ рассматривается для 12.4(15)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "reverse-route в IpSec" +/–

Сообщение от AlexDv (??) on 24-Дек-08, 18:03

>>Если sh cry is sa ничего не показывает - значит данный пир
>>неактивен, ничего  и не должно быть.
>
>после того как политику не фейсе передернули, sh cry is sa
>показывает sa.
>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>книжке полнофункционально RRJ рассматривается для 12.4(15)
Я это еще на 12.3 использовал. Работало.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "reverse-route в IpSec" +/–

Сообщение от www_tank (??) on 25-Дек-08, 12:41

>>>Если sh cry is sa ничего не показывает - значит данный пир
>>>неактивен, ничего  и не должно быть.
>>
>>после того как политику не фейсе передернули, sh cry is sa
>>показывает sa.
>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>
>Я это еще на 12.3 использовал. Работало.
а можно конфиг сюда или на www_tank@rambler.ru?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "reverse-route в IpSec" +/–

Сообщение от AlexDv (??) on 25-Дек-08, 13:25

>[оверквотинг удален]
>>>
>>>после того как политику не фейсе передернули, sh cry is sa
>>>показывает sa.
>>>полиси и профиль в одном экземпляре и по идее должно отрабатывать.
>>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в
>>>книжке полнофункционально RRJ рассматривается для 12.4(15)
>>
>>Я это еще на 12.3 использовал. Работало.
>
>а можно конфиг сюда или на www_tank@rambler.ru?
Все то-же самое, но без set isakmp-profile .
А с профайлом видимо надо ИОС обновлять:
Previously RRI was available for crypto map configurations only. Cisco IOS Release 12.4(15)T
introduces support for relevant RRI options on IPsec profiles that are predominantly used for virtual
tunnel interfaces. On tunnel interfaces, only the distance metric and tag options are useful with the
generic RRI capability.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "reverse-route в IpSec" +/–

Сообщение от www_tank (ok) on 28-Дек-08, 17:23

IOS обновился, добавилась куча команд, но...
RRJ заработал, только не как надо. он добавляет маршрут в удаленную сеть, типа такой:
ip route 192.168.x.x 255.255.255.0 x.x.x.21
такой и так уже рукаим сделан и никогда не меняется. мне бы такой:
ip route a.a.a.a 255.255.255.255 x.x.x.21
(a.a.a.a белый адрес удаленного хоста, обратившегося за IPSEC
x.x.x.21 линк резервного провайдера)
думаю, может на event manager applet что-нибудь сделать. повесить например на событие:
syslog "%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr" тока как потом для action получить адрес ломящегося удаленного хоста???

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "reverse-route в IpSec" +/–

Сообщение от Nick.spb on 27-Янв-11, 12:33

Здравствуйте.
Пропишите в криптокарте просто "reverse-route static", т.к. у вас Ip-адрес пира постоянно меняется:
crypto dynamic-map IPSEC-DYNMAP 10
set transform-set TSET-SITES
set isakmp-profile SITES-PROFILE
reverse-route static

Чтобы маршруты пришли, сбросьте туннель к-дой clear crypto session и инициируйте поднятие туннеля заново. И будет вам счастье.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "reverse-route в IpSec"	+/–
Сообщение от AlexDv (??) on 24-Дек-08, 11:27
>[оверквотинг удален] > set isakmp-profile SITES-PROFILE > reverse-route remote-peer х.х.х.21 >последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30 > >по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен >написать >reverse-route enable и начать добавлять маршруты.... > >вот это и не работает.... int tunnel yy shutdown не помогает. >как бы ipsec передернуть? clea crypto isakmp XXX , где XXX connection id of SA
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "reverse-route в IpSec"	+/–
	Сообщение от www_tank (??) on 24-Дек-08, 12:21
	>clea crypto isakmp XXX , где XXX connection id of SA спасибо, что откликнулись. sh cry isakmp sa показывает пусто, sh cry map без изменений, туннель как жил так и живет
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "reverse-route в IpSec"	+/–
	Сообщение от www_tank (ok) on 24-Дек-08, 13:00
	после удаления и привязки политики к интерфейсу в sh cry map появилось reverse-route enable а вот маршрутов не создает никаких, даже если убрать статический(о котором в начале поста гвориться)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "reverse-route в IpSec"	+/–
	Сообщение от AlexDv (??) on 24-Дек-08, 15:27
	>после удаления и привязки политики к интерфейсу в sh cry map появилось >reverse-route enable >а вот маршрутов не создает никаких, даже если убрать статический(о котором в >начале поста гвориться) Если sh cry is sa ничего не показывает - значит данный пир неактивен, ничего и не должно быть.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "reverse-route в IpSec"	+/–
	Сообщение от www_tank (??) on 24-Дек-08, 16:22
	>Если sh cry is sa ничего не показывает - значит данный пир >неактивен, ничего и не должно быть. после того как политику не фейсе передернули, sh cry is sa показывает sa. полиси и профиль в одном экземпляре и по идее должно отрабатывать. склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в книжке полнофункционально RRJ рассматривается для 12.4(15)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "reverse-route в IpSec"	+/–
	Сообщение от AlexDv (??) on 24-Дек-08, 18:03
	>>Если sh cry is sa ничего не показывает - значит данный пир >>неактивен, ничего и не должно быть. > >после того как политику не фейсе передернули, sh cry is sa >показывает sa. >полиси и профиль в одном экземпляре и по идее должно отрабатывать. >склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в >книжке полнофункционально RRJ рассматривается для 12.4(15) Я это еще на 12.3 использовал. Работало.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "reverse-route в IpSec"	+/–
	Сообщение от www_tank (??) on 25-Дек-08, 12:41
	>>>Если sh cry is sa ничего не показывает - значит данный пир >>>неактивен, ничего и не должно быть. >> >>после того как политику не фейсе передернули, sh cry is sa >>показывает sa. >>полиси и профиль в одном экземпляре и по идее должно отрабатывать. >>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в >>книжке полнофункционально RRJ рассматривается для 12.4(15) > >Я это еще на 12.3 использовал. Работало. а можно конфиг сюда или на www_tank@rambler.ru?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "reverse-route в IpSec"	+/–
	Сообщение от AlexDv (??) on 25-Дек-08, 13:25
	>[оверквотинг удален] >>> >>>после того как политику не фейсе передернули, sh cry is sa >>>показывает sa. >>>полиси и профиль в одном экземпляре и по идее должно отрабатывать. >>>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в >>>книжке полнофункционально RRJ рассматривается для 12.4(15) >> >>Я это еще на 12.3 использовал. Работало. > >а можно конфиг сюда или на www_tank@rambler.ru? Все то-же самое, но без set isakmp-profile . А с профайлом видимо надо ИОС обновлять: Previously RRI was available for crypto map configurations only. Cisco IOS Release 12.4(15)T introduces support for relevant RRI options on IPsec profiles that are predominantly used for virtual tunnel interfaces. On tunnel interfaces, only the distance metric and tag options are useful with the generic RRI capability.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "reverse-route в IpSec"	+/–
	Сообщение от www_tank (ok) on 28-Дек-08, 17:23
	IOS обновился, добавилась куча команд, но... RRJ заработал, только не как надо. он добавляет маршрут в удаленную сеть, типа такой: ip route 192.168.x.x 255.255.255.0 x.x.x.21 такой и так уже рукаим сделан и никогда не меняется. мне бы такой: ip route a.a.a.a 255.255.255.255 x.x.x.21 (a.a.a.a белый адрес удаленного хоста, обратившегося за IPSEC x.x.x.21 линк резервного провайдера) думаю, может на event manager applet что-нибудь сделать. повесить например на событие: syslog "%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr" тока как потом для action получить адрес ломящегося удаленного хоста???
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

10. "reverse-route в IpSec"	+/–
Сообщение от Nick.spb on 27-Янв-11, 12:33
Здравствуйте. Пропишите в криптокарте просто "reverse-route static", т.к. у вас Ip-адрес пира постоянно меняется: crypto dynamic-map IPSEC-DYNMAP 10 set transform-set TSET-SITES set isakmp-profile SITES-PROFILE reverse-route static Чтобы маршруты пришли, сбросьте туннель к-дой clear crypto session и инициируйте поднятие туннеля заново. И будет вам счастье.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору