Конференция CiscoLab: IPSEC поверх PPPoE - Конференция CiscoLab

Перейти к содержимому

Правила - Читать обязательно
  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

IPSEC поверх PPPoE

#1 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 04 Апрель 2011 - 13:10

Добрый день!

Пробую связать филиал с главным офисом через Ipsec туннель.
В филиале стоит ADSL модем с ротером на борту d-link dsl-2500u.
Роутер поднимает pppoe с провайдером и народ ходит в инет. Хочу за роутером
поставить Cisco 831, на ней поднять IPsec... Провайдер уверяет что работать такая схема
работать врядли будет. Пытаюсь включить их модем в режим бриджа, втыкаю в него циску
настраиваю pppoe-client на интерфейсе, но с провайдером она не соединяется.
ip debug pppoe events ничего не показывает. Возможна ли вообще такая схема -
IPsec поверх pppoe или надо менять провайдера?
Спасибо.
CCNA
0

#2 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 355
  • Регистрация: 02 Апрель 11
  • ГородСамара
  • Спасибо: 47
Репутация: 3
Обычный

Отправлено 04 Апрель 2011 - 13:19

IPsec поверх PPPoE вполне работает. Сам 2 недели назад такое поднимал.
Разбирайтесь почему у вас не работает PPPoE, а затем по стандартной схеме подымайте на Dialer интерфейсе IPsec.

Попробуйте вместо циски на время тестов воткнуть ноутбук. Если на нем заработает, то ковыряйте конфиг.

Сообщение отредактировал 00x2142: 04 Апрель 2011 - 13:29

0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#3 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 04 Апрель 2011 - 14:14

Спасибо за ответ. То есть я ставлю модем в режим бриджа и настраиваю например но ноуте PPPoe и должно все работать? Если да, то
настроить на циске Dialer интерфейс? А Ipsec потом поднимать на интерфейсе, в который включен модем?
CCNA
0

#4 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 349
  • Регистрация: 02 Апрель 11
  • ГородMoscow City
  • Спасибо: 36
Репутация: 5
Обычный

Отправлено 04 Апрель 2011 - 14:28

Настройка IPsec - туннеля в Вашем случае абсолютно стандартна.
1. Поднимаете interface Dialer1, настраиваете ip и прочие вещи.
2. Создаете IKE политики.
3. Создаете IPsec политики.
4. Создаете crypto-map, в которой указываете интересный трафик и соседа по туннелю.
5. Привязываете crypto-map на Dialer1.
CCNA, CCNA Security, CCSP, CCNP.
CCSI #34114
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#5 Пользователь офлайн   Этуаль Иконка

  • Пользователь
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 31
  • Регистрация: 30 Март 11
  • ГородБриджтаун
  • Спасибо: 6
Репутация: 0
Обычный

Отправлено 04 Апрель 2011 - 14:36

Как уже сказали IPSEC поверх PPPoE вполне рабочий вариант. Вот здесь смотрите пример конфигурации IPSEC over PPPoE.
В случае, если провайдер назначает IP адрес динамически и он каждый раз разный, т.е. заранее вы его не знаете, то вам лучше настраивать роутер как Easy VPN клиент. Пример такой конфигурации тут http://www.ciscolab....vpn-server.html

Единственно ваш ISP не должен фильтровать ESP протокол.
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#6 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 04 Апрель 2011 - 17:04

Спасибо за ответы всем. Еще попутно спрошу по мануалу http://www.ciscolab....psec-i-nat.html


!--- ACL определяющий трафик для шифрования (криптодомен)
access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255


Не совсем понятно какие адреса сюда пихать в этот ACL. То есть все адреса, которые в за натом в локальной сети будут?

!--- Исключаем VPN трафик из NAT
access-list 105 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
!--- Остальное заворачиваем в NAT для обеспечения Интернет доступа
access-list 105 permit ip 192.168.100.0 0.0.0.255 any


и тут тоже немного понял...
CCNA
0

#7 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 349
  • Регистрация: 02 Апрель 11
  • ГородMoscow City
  • Спасибо: 36
Репутация: 5
Обычный

Отправлено 04 Апрель 2011 - 18:20

Просмотр сообщенияmikonoid (04 Апрель 2011 - 17:04) писал:

Спасибо за ответы всем. Еще попутно спрошу по мануалу http://www.ciscolab....psec-i-nat.html


!--- ACL определяющий трафик для шифрования (криптодомен)
access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255


Не совсем понятно какие адреса сюда пихать в этот ACL. То есть все адреса, которые в за натом в локальной сети будут?

!--- Исключаем VPN трафик из NAT
access-list 105 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
!--- Остальное заворачиваем в NAT для обеспечения Интернет доступа
access-list 105 permit ip 192.168.100.0 0.0.0.255 any


и тут тоже немного понял...


access-list 101: определение трафика, который должен проходить через туннель и не подвергаться действию NAT'a.
access-list 105: тот трафик, что идет на удаленную площадку, мы исключаем из NAT'a (поскольку сначала НАТ, а потом encryption... следовательно ставим "deny"), весь остальной траффик - по обычным правилам улетает в интернет с заменой заголовка.
CCNA, CCNA Security, CCSP, CCNP.
CCSI #34114
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#8 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 21 Апрель 2011 - 17:10

Господа, а кто знает нужно ли создавать еще интерфейс Tunnel0 для ipsec поверх PPPoE?
А то в гугле находил несколько типа рабочих конфигов и там это есть.
Я настраивал по примеру http://www.ciscolab....psec-i-nat.html
и у меня все заработало, кроме туннеля. Правда с одной стороны у меня Cisco 831, с другой ASA 5520.
На асе туннели уже есть рабочие, правда не через pppoe. И еще, mtu на Dialer1 ставить точно 1492? Вроде как ipsec уже 80 байт для заголовка берет...
CCNA
0

#9 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 355
  • Регистрация: 02 Апрель 11
  • ГородСамара
  • Спасибо: 47
Репутация: 3
Обычный

Отправлено 21 Апрель 2011 - 17:20

не обязательно. достаточно просто повесить крипто мапу на диалер.
если вы хотите настраивать VTI IPSec, то туннельный интерфейс нужен.
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#10 Пользователь офлайн   Этуаль Иконка

  • Пользователь
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 31
  • Регистрация: 30 Март 11
  • ГородБриджтаун
  • Спасибо: 6
Репутация: 0
Обычный

Отправлено 21 Апрель 2011 - 20:23

Не нужно. Тем более если с другой стороны ASA, которая не умеет и не понимает тунельные интерфейсы
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#11 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 21 Апрель 2011 - 22:19

Спасибо за ответы. Провайдер может каким-то образом не пропускать ipsec? Или скорее всего дело в mtu?
CCNA
0

#12 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 355
  • Регистрация: 02 Апрель 11
  • ГородСамара
  • Спасибо: 47
Репутация: 3
Обычный

Отправлено 22 Апрель 2011 - 06:59

Теоретически провайдер может не пропускать IPSec трафик и я даже с таким сталкивался, когда Ростелеком на одном из своих участков почему-то блокировал прохождение ESP трафика.
Но такое встречается крайне редко.
Попробуйте уменьшить mtu до 1452 или 1400.
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#13 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 29 Апрель 2011 - 10:09

Поправил mtu туннель поднялся, инет есть, но в удаленную сеть не пускает.
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 6 * address 195.******
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set KON_SET esp-3des esp-md5-hmac 
!
crypto map KON 210 ipsec-isakmp 
 set peer 195.******
 set security-association lifetime seconds 28800
 set transform-set KON_SET 
 match address KOR-KON
!
!
 --More--         !
!
interface Ethernet0
 ip address 192.168.240.1 255.255.255.0
 ip nat inside
 no cdp enable
 hold-queue 32 in
!
interface Ethernet1
 no ip address
 duplex auto
 pppoe enable
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 --More--          speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip mtu 1400
 ip nat outside
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username *** password 0 ***
 crypto map KON
!
 --More--         ip nat inside source list NAT interface Dialer1 overload
ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
ip dns server
ip dns spoofing
!
!
ip access-list standard SSL_INPUT
 permit 195.*****
 permit 192.168.0.0 0.0.255.255
!
ip access-list extended KOR-KON
 permit ip 192.168.240.0 0.0.0.255 192.168.31.0 0.0.0.255
 permit ip 192.168.240.0 0.0.0.255 192.168.33.0 0.0.0.255
 permit ip 192.168.240.0 0.0.0.255 192.168.61.0 0.0.0.255
 permit ip 192.168.240.0 0.0.0.255 192.168.3.0 0.0.0.255
ip access-list extended NAT
 deny   ip 192.168.240.0 0.0.0.255 192.168.31.0 0.0.0.255
 deny   ip 192.168.240.0 0.0.0.255 192.168.33.0 0.0.0.255
 --More--          deny   ip 192.168.240.0 0.0.0.255 192.168.61.0 0.0.0.255
 deny   ip 192.168.240.0 0.0.0.255 192.168.3.0 0.0.0.255
 permit ip 192.168.240.0 0.0.0.255 any
logging trap debugging
logging source-interface Ethernet0
logging 192.168.3.12
logging 192.168.33.3
access-list 23 permit 192.168.0.0 0.0.255.255
snmp-server community ololo RO
snmp-server enable traps tty
no cdp run


Пингую например из сети 192.168.240.0 адрес, который из сети 192.168.33.0 - не пингуется, дебаг выдает вот что:
*Mar  1 00:15:14.595: ISAKMP (0:1): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
*Mar  1 00:15:14.595: ISAKMP (1): ID payload
	next-payload : 8
	type         : 1
	addr         : 89.105.****
	protocol     : 17
	port         : 500
	length       : 8
*Mar  1 00:15:14.595: ISAKMP (1): Total payload length: 12
*Mar  1 00:15:14.599: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.599: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.599: CryptoEngine0: CRYPTO_ISA_IKE_ENCRYPT(hw)(ipsec)
*Mar  1 00:15:14.603: ISAKMP (0:1): sending packet to 195.***** my_port 500 peer_port 500 (I) MM_KEY_EXCH
*Mar  1 00:15:14.603: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar  1 00:15:14.603: ISAKMP (0:1): Old State = IKE_I_MM4  New State = IKE_I_MM5 

*Mar  1 00:15:14.687: ISAKMP (0:1): received packet from 195.***** dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 00:15:14.691: CryptoEngine0: CRYPTO_ISA_IKE_DECRYPT(hw)(ipsec)
*Mar  1 00:15:14.691: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar  1 00:15:14.695: ISAKMP (0:1): Old State = IKE_I_MM5  New State = IKE_I_MM6 

*Mar  1 00:15:14.695: ISAKMP (0:1): processing ID payload. message ID = 0
*Mar  1 00:15:14.695: ISAKMP (0:1): processing HASH payload. message ID = 0
*Mar  1 00:15:14.695: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.695: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.699: ISAKMP:received payload type 14
*Mar  1 00:15:14.699: ISAKMP (0:1): SA has been authenticated with 195.*******
*Mar  1 00:15:14.699: ISAKMP (0:1): peer matches *none* of the profiles
*Mar  1 00:15:14.699: ISAKMP (0:1): IKE_DPD is enabled, initializing timers
*Mar  1 00:15:14.699: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar  1 00:15:14.699: ISAKMP (0:1): Old State = IKE_I_MM6  New State = IKE_I_MM6 

*Mar  1 00:15:14.703: CryptoEngine0: clear dh number for conn id 1
*Mar  1 00:15:14.703: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar  1 00:15:14.703: ISAKMP (0:1): Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE 

*Mar  1 00:15:14.703: CryptoEngine0: CRYPTO_ISA_DH_DELETE(hw)(ipsec)
*Mar  1 00:15:14.707: ISAKMP (0:1): beginning Quick Mode exchange, M-ID of 1143813136
*Mar  1 00:15:14.707: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.711: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.711: CryptoEngine0: CRYPTO_ISA_IKE_ENCRYPT(hw)(ipsec)
*Mar  1 00:15:14.715: ISAKMP (0:1): sending packet to 195.**** my_port 500 peer_port 500 (I) QM_IDLE      
*Mar  1 00:15:14.715: ISAKMP (0:1): Node 1143813136, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
*Mar  1 00:15:14.715: ISAKMP (0:1): Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
*Mar  1 00:15:14.715: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Mar  1 00:15:14.715: ISAKMP (0:1): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

*Mar  1 00:15:14.807: ISAKMP (0:1): received packet from 195.****** dport 500 sport 500 Global (I) QM_IDLE      
*Mar  1 00:15:14.811: ISAKMP: set new node 2008017364 to QM_IDLE      
*Mar  1 00:15:14.811: CryptoEngine0: CRYPTO_ISA_IKE_DECRYPT(hw)(ipsec)
*Mar  1 00:15:14.811: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.815: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.815: ISAKMP (0:1): processing HASH payload. message ID = 2008017364
*Mar  1 00:15:14.815: ISAKMP (0:1): processing NOTIFY INVALID_SPI protocol 3
	spi 577555256, message ID = 2008017364, sa = 817A6808
*Mar  1 00:15:14.815: ISAKMP (0:1): incrementing error counter on sa: some bad notify
*Mar  1 00:15:14.815: ISAKMP (0:1): deleting node 2008017364 error FALSE reason "informational (in) state 2"
*Mar  1 00:15:14.819: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
*Mar  1 00:15:14.819: ISAKMP (0:1): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

*Mar  1 00:15:14.843: ISAKMP (0:1): received packet from 195.****** dport 500 sport 500 Global (I) QM_IDLE      
*Mar  1 00:15:14.843: ISAKMP: set new node -875821087 to QM_IDLE      
*Mar  1 00:15:14.843: CryptoEngine0: CRYPTO_ISA_IKE_DECRYPT(hw)(ipsec)
*Mar  1 00:15:14.847: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.847: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.851: ISAKMP (0:1): processing HASH payload. message ID = -875821087
*Mar  1 00:15:14.851: ISAKMP (0:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
	spi 0, message ID = -875821087, sa = 817A6808
*Mar  1 00:15:14.851: ISAKMP (0:1): deleting node -875821087 error FALSE reason "informational (in) state 1"
*Mar  1 00:15:14.851: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
*Mar  1 00:15:14.851: ISAKMP (0:1): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

*Mar  1 00:15:14.851: ISAKMP (0:1): received packet from 195.****** dport 500 sport 500 Global (I) QM_IDLE      
*Mar  1 00:15:14.851: ISAKMP: set new node 173888087 to QM_IDLE      
*Mar  1 00:15:14.855: CryptoEngine0: CRYPTO_ISA_IKE_DECRYPT(hw)(ipsec)
*Mar  1 00:15:14.855: CryptoEngine0: generate hmac context for conn id 1
*Mar  1 00:15:14.859: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
*Mar  1 00:15:14.859: ISAKMP (0:1): processing HASH payload. message ID = 173888087
*Mar  1 00:15:14.859: ISAKMP (0:1): processing DELETE payload. message ID = 173888087
*Mar  1 00:15:14.859: ISAKMP (0:1): peer does not do paranoid keepalives.

*Mar  1 00:15:14.859: ISAKMP (0:1): deleting SA reason "P1 delete notify (in)" state (I) QM_IDLE       (peer 195.******) input queue 0
*Mar  1 00:15:14.859: ISAKMP (0:1): deleting node 173888087 error FALSE reason "informational (in) state 1"
*Mar  1 00:15:14.863: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_INFO_DELETE
*Mar  1 00:15:14.863: ISAKMP (0:1): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

*Mar  1 00:15:14.863: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Mar  1 00:15:14.863: ISAKMP (0:1): Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA 

*Mar  1 00:15:14.863: ISAKMP (0:1): deleting SA reason "" state (I) QM_IDLE       (peer 195.******) input queue 0
*Mar  1 00:15:14.867: ISAKMP: Unlocking IKE struct 0x81784914 for isadb_mark_sa_deleted(), count 0
*Mar  1 00:15:14.867: ISAKMP (0:1): deleting node 1143813136 error FALSE reason ""
*Mar  1 00:15:14.867: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar  1 00:15:14.867: ISAKMP (0:1): Old State = IKE_DEST_SA  New State = IKE_DEST_SA

CCNA
0

#14 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 355
  • Регистрация: 02 Апрель 11
  • ГородСамара
  • Спасибо: 47
Репутация: 3
Обычный

Отправлено 29 Апрель 2011 - 10:18

clear access-list counters
ping 192.168.33.X so fa 0
затем sh access-lists KOR-KON и sh access-lists NAT
Возможно ваш трафик попадает под аццесс лист NAT и отбрасывается.
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#15 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 29 Апрель 2011 - 10:55

Просмотр сообщения00x2142 (29 Апрель 2011 - 10:18) писал:

clear access-list counters
ping 192.168.33.X so fa 0
затем sh access-lists KOR-KON и sh access-lists NAT
Возможно ваш трафик попадает под аццесс лист NAT и отбрасывается.

А он может туда попадать? Он же в access-list NAT исключен вроде...

и еще ip nat outside вешать на Dialer1 или Ethernet1 ?

п.с. сделал как сказали
sh access-lists KOR-KO
Extended IP access list KOR-KON
    10 permit ip 192.168.240.0 0.0.0.255 192.168.31.0 0.0.0.255
    20 permit ip 192.168.240.0 0.0.0.255 192.168.33.0 0.0.0.255 (5 matches)
    30 permit ip 192.168.240.0 0.0.0.255 192.168.61.0 0.0.0.255
    40 permit ip 192.168.240.0 0.0.0.255 192.168.3.0 0.0.0.255
ruter#sh access-lists NAT
Extended IP access list NAT
    10 deny ip 192.168.240.0 0.0.0.255 192.168.31.0 0.0.0.255
    20 deny ip 192.168.240.0 0.0.0.255 192.168.33.0 0.0.0.255 (5 matches)
    30 deny ip 192.168.240.0 0.0.0.255 192.168.61.0 0.0.0.255
    40 deny ip 192.168.240.0 0.0.0.255 192.168.3.0 0.0.0.255
    50 permit ip 192.168.240.0 0.0.0.255 any


На другой стороне стоит ASA, туннель не поднялся, если смотреть на ней. Причем есть уже куча туннелей с такими же настройками, только не поверх pppoe....
Что еще можно проверить?
Спасибо.
CCNA
0

#16 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 355
  • Регистрация: 02 Апрель 11
  • ГородСамара
  • Спасибо: 47
Репутация: 3
Обычный

Отправлено 29 Апрель 2011 - 12:55

ip nat outside вешать на Dialer.
Он не исключен, а попадает под deny (возможно). Из ацесесс листов видно, что 5 пакетов попало под ацесс лист предназначенный для нат. В sh ip nat translations трафик с сети 192.168.240 есть?
Посмотрите в sh log есть ли что нибудь подозрительное.
дайте вывод sh cry isa sa и sh cry ipsec sa
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#17 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 10 Май 2011 - 10:53

Просмотр сообщения00x2142 (29 Апрель 2011 - 12:55) писал:

ip nat outside вешать на Dialer.
Он не исключен, а попадает под deny (возможно). Из ацесесс листов видно, что 5 пакетов попало под ацесс лист предназначенный для нат. В sh ip nat translations трафик с сети 192.168.240 есть?
Посмотрите в sh log есть ли что нибудь подозрительное.
дайте вывод sh cry isa sa и sh cry ipsec sa


Провайдер типа выключил у себя спам-защиту, смотрю на асе - туннель поднялся, но ничего не ходит.
sh crypto isakmp sa
dst             src             state          conn-id slot
195.184.***  89.105.***  QM_IDLE              1    0




sh crypto ipsec sa

interface: Dialer1
    Crypto map tag: KON, local addr. 89.105.***

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   current_peer: 195.184.**:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 2, #recv errors 0

     local crypto endpt.: 89.105.***, remote crypto endpt.: 195.184****
     path mtu 1400, media mtu 1400
     current outbound spi: 2444E8E0

     inbound esp sas:
      spi: 0xE4DC1965(3839629669)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 22, flow_id: 3, crypto map: KON
        sa timing: remaining key lifetime (k/sec): (4573860/28587)
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x2444E8E0(608495840)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 23, flow_id: 4, crypto map: KON
        sa timing: remaining key lifetime (k/sec): (4573860/28587)
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.31.0/255.255.255.0/0/0)
   current_peer: 195.184.**:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 89.105.**, remote crypto endpt.: 195.184.**
     path mtu 1400, media mtu 1400
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.33.0/255.255.255.0/0/0)
   current_peer: 195.184.**:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 1, #pkts encrypt: 1, #pkts digest 1
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 2, #recv errors 0

     local crypto endpt.: 89.105.**, remote crypto endpt.: 195.184.**
     path mtu 1400, media mtu 1400
     current outbound spi: 5FD74926

     inbound esp sas:
      spi: 0x64506362(1682989922)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 20, flow_id: 1, crypto map: KON
        sa timing: remaining key lifetime (k/sec): (4462889/28317)
        IV size: 8 bytes
        replay detection support: Y

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x5FD74926(1607944486)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 21, flow_id: 2, crypto map: KON
        sa timing: remaining key lifetime (k/sec): (4462888/28316)
        IV size: 8 bytes
        replay detection support: Y

     outbound ah sas:

     outbound pcp sas:

   protected vrf:
   local  ident (addr/mask/prot/port): (192.168.240.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.61.0/255.255.255.0/0/0)
   current_peer: 195.184.**:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 89.105.253.226, remote crypto endpt.: 195.184**
     path mtu 1400, media mtu 1400
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


И нат трансляции
sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 89.105.**:1957 192.168.240.3:1957 78.159.122.103:80 78.159.122.103:80
tcp 89.105.**:4310 192.168.240.2:4310 74.125.232.226:80 74.125.232.226:80
tcp 89.105.**:4314 192.168.240.2:4314 94.100.177.6:110  94.100.177.6:110


в sh log подозрительного ничего нет, только вкл-выкл интерфейсы и все.
Пробовал нат вообще убрать, не помогает.
CCNA
0

#18 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 349
  • Регистрация: 02 Апрель 11
  • ГородMoscow City
  • Спасибо: 36
Репутация: 5
Обычный

Отправлено 10 Май 2011 - 10:59

ACL на асе покажите + настройки NAT'a на ней
CCNA, CCNA Security, CCSP, CCNP.
CCSI #34114
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#19 Пользователь офлайн   mikonoid Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 96
  • Регистрация: 04 Апрель 11
  • ГородDonetsk
  • Спасибо: 2
Репутация: 0
Обычный

Отправлено 10 Май 2011 - 12:12

Просмотр сообщенияfantas1st0 (10 Май 2011 - 10:59) писал:

ACL на асе покажите + настройки NAT'a на ней

Прикрепленные файлы


CCNA
0

#20 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пользователи
  • Сообщений: 349
  • Регистрация: 02 Апрель 11
  • ГородMoscow City
  • Спасибо: 36
Репутация: 5
Обычный

Отправлено 10 Май 2011 - 15:00

А через CLI нельзя?:) Я плохо понимаю ASDM
CCNA, CCNA Security, CCSP, CCNP.
CCSI #34114
0
Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

Поделиться темой:


  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей