Jump to content
Калькуляторы

ipsec не устанавливает соединение

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

!
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key Mykey address 10.200.200.70  
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set IPSEC-TS esp-aes 256 esp-sha-hmac 
 mode tunnel
!
!
!
crypto map IPSEC-CM local-address Vlan148
crypto map IPSEC-CM 100 ipsec-isakmp 
 set peer 10.200.200.70
 set security-association lifetime seconds 28800
 set transform-set IPSEC-TS 
 set pfs group2
 match address IPSEC-ACL

<skip>

interface Vlan145
 description USERS
 ip address 10.127.145.1 255.255.255.0
 ip helper-address 10.127.144.100

interface Vlan147
 ip address 10.127.147.1 255.255.255.128
 ip helper-address 10.127.144.100

interface Vlan148
 description IPSEC
 ip address 10.200.200.14 255.255.255.252
 crypto map IPSEC-CM

<skip>

ip route 10.200.200.68 255.255.255.252 10.200.200.13
ip route 10.127.161.128 255.255.255.192 10.200.200.13

<skip>

ip access-list extended IPSEC-ACL
 permit ip host 10.127.145.81 host 10.127.161.130

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

в show crypto isa sa

не активных соединений.

 

При инициализации ipsec со стороны пира, первая фаза ipsec устанавливается, а с моей стороны в show crypto ipsec sa

туннели поднимаются, но счётчик encripted пакетов равен нулю, а decripted растёт.

 

 

Но если я изменяю ACL на:

ip access-list extended IPSEC-ACL
 permit ip host 10.127.147.1 host 10.127.161.130

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

 

 

 

Такое впечатление что трафик с узла 10.127.145.81 не попадает на Interface Vlan148.

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

 

 

 

 

 

 

Share this post


Link to post
Share on other sites

Может я уже устарел. Но вроде IPSEC на коммутаторах не было.

Share this post


Link to post
Share on other sites

@Telesis 

на 9к сейчас есть NAT, так что лучше не удивляться)

PS: зачем ТСу ipsec на коммутаторах - я хз, даже если в итоге как-то заведется

Share this post


Link to post
Share on other sites
12 hours ago, zhenya` said:

не выйдет.

Объясните пожалуйста, почему?

Share this post


Link to post
Share on other sites

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Share this post


Link to post
Share on other sites
1 hour ago, zhenya` said:

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Да мне бы и этих нескольких Мбит хватило, вопрос как это сделать и почему не инициализируется соединение. Я понимаю что это коммутатор но зачем тогда там есть возможность настройки ipsec если оно не будет работать.

Share this post


Link to post
Share on other sites
16 hours ago, vvertexx said:

на 9к сейчас есть NAT, так что лучше не удивляться)

Наверно я забыл указать на коммутаторе уровня ACCESS

Share this post


Link to post
Share on other sites
1 hour ago, Вова72 said:

но зачем тогда там есть возможность настройки

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Share this post


Link to post
Share on other sites
1 час назад, Telesis сказал:

Наверно я забыл указать на коммутаторе уровня ACCESS

я про cat9k, новые для access'а

1 час назад, Вова72 сказал:

зачем тогда там есть возможность настройки ipsec

Наверно, просто универсальный образ.

Share this post


Link to post
Share on other sites
27 minutes ago, vvertexx said:

я про cat9k, новые для access'а

только NAT на 9500, а это уже уровень Core.

Share this post


Link to post
Share on other sites
1 hour ago, ShyLion said:

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Я же написал внизу:

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Share this post


Link to post
Share on other sites

Пардон, не по глазам.

 

ИМХО забудьте эту идею, не свича это задача.

Share this post


Link to post
Share on other sites

Так ипсек то завелся почти. Это уже круто.

Интерфейсы 145 и 147 с виду друг от друга ничем не отличаются.

 

В 31.01.2019 в 11:50, Вова72 сказал:

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

В 31.01.2019 в 11:50, Вова72 сказал:

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

а с соурса 10.127.145.1 в первом случае тоже не пинг?

может на хосте .81 шлюз .1 не выставлен или некорректны маршруты?

 

И второй вопрос к обратной стороне. Как настроена она.

Share this post


Link to post
Share on other sites
В 31.01.2019 в 13:50, Вова72 сказал:

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

 

...

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

Share this post


Link to post
Share on other sites
1 час назад, xcme сказал:

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

Share this post


Link to post
Share on other sites
1 час назад, zhenya` сказал:

п.с. какой может быть ипсек без ике  ? ))))

IKEv2 же )))

Share this post


Link to post
Share on other sites
7 часов назад, zhenya` сказал:

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

ачо, роут ликинг удобно делать например... туннель + оспф какойнить

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this