Вова72 Posted January 31, 2019 · Report post Уважаемые коллеги, последняя надежда на вас. Имеются вот такие настройки ipsec: ! crypto isakmp policy 100 encr aes 256 authentication pre-share group 2 crypto isakmp key Mykey address 10.200.200.70 crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set IPSEC-TS esp-aes 256 esp-sha-hmac mode tunnel ! ! ! crypto map IPSEC-CM local-address Vlan148 crypto map IPSEC-CM 100 ipsec-isakmp set peer 10.200.200.70 set security-association lifetime seconds 28800 set transform-set IPSEC-TS set pfs group2 match address IPSEC-ACL <skip> interface Vlan145 description USERS ip address 10.127.145.1 255.255.255.0 ip helper-address 10.127.144.100 interface Vlan147 ip address 10.127.147.1 255.255.255.128 ip helper-address 10.127.144.100 interface Vlan148 description IPSEC ip address 10.200.200.14 255.255.255.252 crypto map IPSEC-CM <skip> ip route 10.200.200.68 255.255.255.252 10.200.200.13 ip route 10.127.161.128 255.255.255.192 10.200.200.13 <skip> ip access-list extended IPSEC-ACL permit ip host 10.127.145.81 host 10.127.161.130 при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130 в show crypto isa sa не активных соединений. При инициализации ipsec со стороны пира, первая фаза ipsec устанавливается, а с моей стороны в show crypto ipsec sa туннели поднимаются, но счётчик encripted пакетов равен нулю, а decripted растёт. Но если я изменяю ACL на: ip access-list extended IPSEC-ACL permit ip host 10.127.147.1 host 10.127.161.130 и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается. Такое впечатление что трафик с узла 10.127.145.81 не попадает на Interface Vlan148. Помогите разобраться. Железо: cisco WS-C2960XR-24TS-I IOS: Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted January 31, 2019 · Report post Может я уже устарел. Но вроде IPSEC на коммутаторах не было. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted January 31, 2019 · Report post @Telesis на 9к сейчас есть NAT, так что лучше не удивляться) PS: зачем ТСу ipsec на коммутаторах - я хз, даже если в итоге как-то заведется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 31, 2019 · Report post не выйдет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Вова72 Posted February 1, 2019 · Report post 12 hours ago, zhenya` said: не выйдет. Объясните пожалуйста, почему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 1, 2019 · Report post потому, что это коммутатор, а не маршрутизатор. 3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Вова72 Posted February 1, 2019 · Report post 1 hour ago, zhenya` said: потому, что это коммутатор, а не маршрутизатор. 3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина. Да мне бы и этих нескольких Мбит хватило, вопрос как это сделать и почему не инициализируется соединение. Я понимаю что это коммутатор но зачем тогда там есть возможность настройки ipsec если оно не будет работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 1, 2019 · Report post 16 hours ago, vvertexx said: на 9к сейчас есть NAT, так что лучше не удивляться) Наверно я забыл указать на коммутаторе уровня ACCESS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted February 1, 2019 · Report post 1 hour ago, Вова72 said: но зачем тогда там есть возможность настройки Это там полно такого, нужно просто привыкнуть. Какие железки конкретно? А то лечим тут сферического коня в вакууме. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted February 1, 2019 · Report post 1 час назад, Telesis сказал: Наверно я забыл указать на коммутаторе уровня ACCESS я про cat9k, новые для access'а 1 час назад, Вова72 сказал: зачем тогда там есть возможность настройки ipsec Наверно, просто универсальный образ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Telesis Posted February 1, 2019 · Report post 27 minutes ago, vvertexx said: я про cat9k, новые для access'а только NAT на 9500, а это уже уровень Core. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Вова72 Posted February 1, 2019 · Report post 1 hour ago, ShyLion said: Это там полно такого, нужно просто привыкнуть. Какие железки конкретно? А то лечим тут сферического коня в вакууме. Я же написал внизу: Железо: cisco WS-C2960XR-24TS-IIOS: Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted February 1, 2019 · Report post Пардон, не по глазам. ИМХО забудьте эту идею, не свича это задача. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
semop Posted February 1, 2019 · Report post Так ипсек то завелся почти. Это уже круто. Интерфейсы 145 и 147 с виду друг от друга ничем не отличаются. В 31.01.2019 в 11:50, Вова72 сказал: при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130 В 31.01.2019 в 11:50, Вова72 сказал: и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается. а с соурса 10.127.145.1 в первом случае тоже не пинг? может на хосте .81 шлюз .1 не выставлен или некорректны маршруты? И второй вопрос к обратной стороне. Как настроена она. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted February 10, 2019 · Report post В 31.01.2019 в 13:50, Вова72 сказал: Уважаемые коллеги, последняя надежда на вас. Имеются вот такие настройки ipsec: ... Помогите разобраться. Железо: cisco WS-C2960XR-24TS-I IOS: Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1) Не волшебник в IPSec и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP. Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 10, 2019 · Report post 1 час назад, xcme сказал: Не волшебник в IPSec и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP. Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает. вы наверное и на длинках доступовых туннели поднимаете? п.с. какой может быть ипсек без ике ? )))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted February 10, 2019 · Report post 1 час назад, zhenya` сказал: п.с. какой может быть ипсек без ике ? )))) IKEv2 же ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted February 11, 2019 · Report post 7 часов назад, zhenya` сказал: вы наверное и на длинках доступовых туннели поднимаете? п.с. какой может быть ипсек без ике ? )))) ачо, роут ликинг удобно делать например... туннель + оспф какойнить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...