Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/6: Рейтинг темы: голосов - 6, средняя оценка - 4.83
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
1

GRE over IPSEC

10.03.2015, 13:53. Просмотров 1089. Ответов 13
Метки нет (Все метки)

Здравствуйте.

Прикрепляю схему, которую пытаюсь собрать в GNS.
Скажите возможно ли на Cisco поднять тунель GRE over IPSEC как указано в схеме?
Схема.pdf

У меня NAT блокирует когда пытаюсь поднять тунель. Хотя проброс портов 4500 и 500 имееться.
0
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.03.2015, 13:53
Ответы с готовыми решениями:

Gre over ipsec
Здравствуйте коллеги может кто подскажет в чем может быть дело ) Задача:...

IPSEC over GRE и Yota
Ребят, выручайте. Есть циска которая держит кучу ВПНов и другая циска к...

GRE-tunnel не поднимается
Пытаюсь сделать туннель между 2-я устройствами (Cisco7201 и Catalyst6500), но...

GRE тоннель Windows - Cisco
Собственно вопрос - как создать тоннель GRE на стороне Windows 7 ? Сторона...

Cisco+squid=transparent по GRE
Здравствуйте все. Приветствую Вас. Прошу вашей помощи или совета, даже и не...

13
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
10.03.2015, 14:14 2
можно конечно, что значит NAT блокирует ?
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
10.03.2015, 14:23  [ТС] 3
Сейчас напишу конфиг оборудования и точный дебаг nat.
Пишет что то вроде nat translation failed.
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
10.03.2015, 16:41  [ТС] 4
Приложил подробную схему GNS и конфигурацию оборудования.

GRE over IPSEC

Central.txt
ISP.txt
Филиал.txt
Local router.txt

Решил убрать IPsec, оставил только GRE.

До поднятия тунеля все работает, nat отрабатывает.

После поднятия тунеля и попытки пинга с Local Router до 10.10.10.2 NAT пишет:

*Mar 1 00:21:27.455: NAT: translation failed (A), dropping packet s=192.168.100.2 d=2.2.2.2
0
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
10.03.2015, 16:48 5
Цитата Сообщение от aidar5 Посмотреть сообщение
После поднятия тунеля и попытки пинга с Local Router до 10.10.10.2 NAT пишет
ping 10.10.10.2 source 10.10.10.1
вот так пингуйте
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
10.03.2015, 16:51  [ТС] 6
Цитата Сообщение от corlovito Посмотреть сообщение
ping 10.10.10.2 source 10.10.10.1
вот так пингуйте
Такая же реакция, не выходит.
0
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
10.03.2015, 17:20 7
бросьте куда нибудь проект GNS посмотрю

Добавлено через 12 минут
тьфу ты у вас ведь нат добавьте в список доступа
deny 10.10.10.0 0.0.0.255
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
10.03.2015, 17:54  [ТС] 8
Теперь acl такой.

Router#sh ip access-lists
Standard IP access list 99
10 permit 192.168.100.0, wildcard bits 0.0.0.255 (10 matches)
20 deny 10.10.10.0, wildcard bits 0.0.0.255

Но ничего не изменилось.

Добавлено через 7 минут
Могу проект на яндекс диск выложить и дать ссылку на скачивание.
0
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
10.03.2015, 18:17 9
да давай
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
10.03.2015, 18:43  [ТС] 10
https://yadi.sk/d/qXi-P5JTf9oXP
0
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
10.03.2015, 19:34 11
Лучший ответ Сообщение было отмечено aidar5 как решение

Решение

вот вообщем

central
Кликните здесь для просмотра всего текста
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.100.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
ip http server
no ip http secure-server
ip nat inside source list 99 interface FastEthernet0/0 overload
ip nat inside source static 192.168.100.2 1.1.1.1
!
access-list 99 permit 192.168.100.0 0.0.0.255
access-list 99 deny 10.10.10.0 0.0.0.255
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

filial
Кликните здесь для просмотра всего текста
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface Loopback1
ip address 192.168.200.1 255.255.255.0
!
interface Tunnel0
ip address 10.10.10.2 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 1.1.1.1
!
interface FastEthernet0/0
ip address 2.2.2.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

ISP
Кликните здесь для просмотра всего текста
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 1.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 2.2.2.1 255.255.255.0
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end


LocalRouter

Кликните здесь для просмотра всего текста
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
interface Tunnel0
ip address 10.10.10.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 2.2.2.2
!
interface FastEthernet0/0
ip address 192.168.100.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip route 1.1.1.0 255.255.255.0 192.168.100.1
!
ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end
1
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
11.03.2015, 10:08  [ТС] 12
Да, ваша конфигурация работает. Нашел отличия от моей в записи acl и пробросе в nat.
Объясните пожалуйста в чем суть? Почему не работало по моей настройке?
0
corlovito
455 / 436 / 75
Регистрация: 26.12.2012
Сообщений: 2,876
11.03.2015, 10:38 13
ну просто у вас проброшен был трафик только для 500 и 4500 порта, для GRE это не подходит конечно же, а так все правильно у вас было
0
aidar5
0 / 0 / 0
Регистрация: 24.02.2015
Сообщений: 17
11.03.2015, 13:09  [ТС] 14
Понятно. Спасибо вам за помощь.
0
11.03.2015, 13:09
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
11.03.2015, 13:09

Странная работа GRE тоннеля
Господа, нужна помощь. бьюсь над проблемой уже не один месяц, вроде и ситуация...

Настройка NAT после GRE
Всем доброго дня. Нужна помощь в понимании и решении проблемы: есть 2 офиса А...

Проброс VLAN через GRE туннель
как пробросить ВИЛАНЫ через GRE туннель просьба ответы писать подробнее))) ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru