Jump to content
Калькуляторы

ipsec не устанавливает соединение

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

!
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key Mykey address 10.200.200.70  
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set IPSEC-TS esp-aes 256 esp-sha-hmac 
 mode tunnel
!
!
!
crypto map IPSEC-CM local-address Vlan148
crypto map IPSEC-CM 100 ipsec-isakmp 
 set peer 10.200.200.70
 set security-association lifetime seconds 28800
 set transform-set IPSEC-TS 
 set pfs group2
 match address IPSEC-ACL

<skip>

interface Vlan145
 description USERS
 ip address 10.127.145.1 255.255.255.0
 ip helper-address 10.127.144.100

interface Vlan147
 ip address 10.127.147.1 255.255.255.128
 ip helper-address 10.127.144.100

interface Vlan148
 description IPSEC
 ip address 10.200.200.14 255.255.255.252
 crypto map IPSEC-CM

<skip>

ip route 10.200.200.68 255.255.255.252 10.200.200.13
ip route 10.127.161.128 255.255.255.192 10.200.200.13

<skip>

ip access-list extended IPSEC-ACL
 permit ip host 10.127.145.81 host 10.127.161.130

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

в show crypto isa sa

не активных соединений.

 

При инициализации ipsec со стороны пира, первая фаза ipsec устанавливается, а с моей стороны в show crypto ipsec sa

туннели поднимаются, но счётчик encripted пакетов равен нулю, а decripted растёт.

 

 

Но если я изменяю ACL на:

ip access-list extended IPSEC-ACL
 permit ip host 10.127.147.1 host 10.127.161.130

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

 

 

 

Такое впечатление что трафик с узла 10.127.145.81 не попадает на Interface Vlan148.

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

 

 

 

 

 

 

Share this post


Link to post
Share on other sites

@Telesis 

на 9к сейчас есть NAT, так что лучше не удивляться)

PS: зачем ТСу ipsec на коммутаторах - я хз, даже если в итоге как-то заведется

Share this post


Link to post
Share on other sites

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Share this post


Link to post
Share on other sites

1 hour ago, zhenya` said:

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Да мне бы и этих нескольких Мбит хватило, вопрос как это сделать и почему не инициализируется соединение. Я понимаю что это коммутатор но зачем тогда там есть возможность настройки ipsec если оно не будет работать.

Share this post


Link to post
Share on other sites

16 hours ago, vvertexx said:

на 9к сейчас есть NAT, так что лучше не удивляться)

Наверно я забыл указать на коммутаторе уровня ACCESS

Share this post


Link to post
Share on other sites

1 hour ago, Вова72 said:

но зачем тогда там есть возможность настройки

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Share this post


Link to post
Share on other sites

1 час назад, Telesis сказал:

Наверно я забыл указать на коммутаторе уровня ACCESS

я про cat9k, новые для access'а

1 час назад, Вова72 сказал:

зачем тогда там есть возможность настройки ipsec

Наверно, просто универсальный образ.

Share this post


Link to post
Share on other sites

1 hour ago, ShyLion said:

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Я же написал внизу:

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Share this post


Link to post
Share on other sites

Так ипсек то завелся почти. Это уже круто.

Интерфейсы 145 и 147 с виду друг от друга ничем не отличаются.

 

В 31.01.2019 в 11:50, Вова72 сказал:

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

В 31.01.2019 в 11:50, Вова72 сказал:

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

а с соурса 10.127.145.1 в первом случае тоже не пинг?

может на хосте .81 шлюз .1 не выставлен или некорректны маршруты?

 

И второй вопрос к обратной стороне. Как настроена она.

Share this post


Link to post
Share on other sites

В 31.01.2019 в 13:50, Вова72 сказал:

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

 

...

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

Share this post


Link to post
Share on other sites

1 час назад, xcme сказал:

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

Share this post


Link to post
Share on other sites

7 часов назад, zhenya` сказал:

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

ачо, роут ликинг удобно делать например... туннель + оспф какойнить

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.