Перейти к содержимому
Калькуляторы

ipsec не устанавливает соединение

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

!
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key Mykey address 10.200.200.70  
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set IPSEC-TS esp-aes 256 esp-sha-hmac 
 mode tunnel
!
!
!
crypto map IPSEC-CM local-address Vlan148
crypto map IPSEC-CM 100 ipsec-isakmp 
 set peer 10.200.200.70
 set security-association lifetime seconds 28800
 set transform-set IPSEC-TS 
 set pfs group2
 match address IPSEC-ACL

<skip>

interface Vlan145
 description USERS
 ip address 10.127.145.1 255.255.255.0
 ip helper-address 10.127.144.100

interface Vlan147
 ip address 10.127.147.1 255.255.255.128
 ip helper-address 10.127.144.100

interface Vlan148
 description IPSEC
 ip address 10.200.200.14 255.255.255.252
 crypto map IPSEC-CM

<skip>

ip route 10.200.200.68 255.255.255.252 10.200.200.13
ip route 10.127.161.128 255.255.255.192 10.200.200.13

<skip>

ip access-list extended IPSEC-ACL
 permit ip host 10.127.145.81 host 10.127.161.130

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

в show crypto isa sa

не активных соединений.

 

При инициализации ipsec со стороны пира, первая фаза ipsec устанавливается, а с моей стороны в show crypto ipsec sa

туннели поднимаются, но счётчик encripted пакетов равен нулю, а decripted растёт.

 

 

Но если я изменяю ACL на:

ip access-list extended IPSEC-ACL
 permit ip host 10.127.147.1 host 10.127.161.130

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

 

 

 

Такое впечатление что трафик с узла 10.127.145.81 не попадает на Interface Vlan148.

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

 

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может я уже устарел. Но вроде IPSEC на коммутаторах не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Telesis 

на 9к сейчас есть NAT, так что лучше не удивляться)

PS: зачем ТСу ipsec на коммутаторах - я хз, даже если в итоге как-то заведется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 hours ago, zhenya` said:

не выйдет.

Объясните пожалуйста, почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, zhenya` said:

потому, что это коммутатор, а не маршрутизатор. 

 

3750 например немного gre (но без ипсека) умеет, но оно там soft. процессора хватает на несколько мбит. при удачном стечении обстоятельность у вас будет примерно таже картина.

Да мне бы и этих нескольких Мбит хватило, вопрос как это сделать и почему не инициализируется соединение. Я понимаю что это коммутатор но зачем тогда там есть возможность настройки ipsec если оно не будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 hours ago, vvertexx said:

на 9к сейчас есть NAT, так что лучше не удивляться)

Наверно я забыл указать на коммутаторе уровня ACCESS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, Вова72 said:

но зачем тогда там есть возможность настройки

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Telesis сказал:

Наверно я забыл указать на коммутаторе уровня ACCESS

я про cat9k, новые для access'а

1 час назад, Вова72 сказал:

зачем тогда там есть возможность настройки ipsec

Наверно, просто универсальный образ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 minutes ago, vvertexx said:

я про cat9k, новые для access'а

только NAT на 9500, а это уже уровень Core.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, ShyLion said:

Это там полно такого, нужно просто привыкнуть.

Какие железки конкретно? А то лечим тут сферического коня в вакууме.

Я же написал внизу:

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пардон, не по глазам.

 

ИМХО забудьте эту идею, не свича это задача.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так ипсек то завелся почти. Это уже круто.

Интерфейсы 145 и 147 с виду друг от друга ничем не отличаются.

 

В 31.01.2019 в 11:50, Вова72 сказал:

при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130

В 31.01.2019 в 11:50, Вова72 сказал:

и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.

а с соурса 10.127.145.1 в первом случае тоже не пинг?

может на хосте .81 шлюз .1 не выставлен или некорректны маршруты?

 

И второй вопрос к обратной стороне. Как настроена она.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 31.01.2019 в 13:50, Вова72 сказал:

Уважаемые коллеги, последняя надежда на вас.

 

Имеются вот такие настройки ipsec:

 

...

Помогите разобраться.

 

Железо: cisco WS-C2960XR-24TS-I
IOS:       Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, xcme сказал:

Не волшебник в IPSec  и с crypto-map не работал. Циска пишет что crypto-map это legacy, как, кстати, и IKE/ISAKMP.

Если это допустимо, можно попробовать через тоннель. Нужно создать профиль и прикрепить его к туннелю и так все работает. Вот здесь how-to: https://github.com/Azure/Azure-vpn-config-samples/blob/master/Cisco/Current/ASR/Site-to-Site_VPN_using_Cisco_ASR.md

 

P.S. 2960 нет, сделал на i86linux-L3 в UNetLab - там работает.

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, zhenya` сказал:

п.с. какой может быть ипсек без ике  ? ))))

IKEv2 же )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, zhenya` сказал:

вы наверное и на длинках доступовых туннели поднимаете? 

п.с. какой может быть ипсек без ике  ? ))))

ачо, роут ликинг удобно делать например... туннель + оспф какойнить

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.