Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/6: Рейтинг темы: голосов - 6, средняя оценка - 4.83
Yacudzer
4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 133
1

Dynamic VTI + IPSec + NAT

27.12.2016, 09:47. Просмотров 1108. Ответов 10
Метки нет (Все метки)

Пытаюсь установить туннель с dynamic VTI. Т.е. на хабе имеем статический белый IP, споук с динамическим серым (находится за NAT). Аутентификация проходит с помощью сертификатов. Однако, туннел не поднимается (хотя, ISAKMP сессия отрабатывает нормально).
Части конфига обоих:
Кликните здесь для просмотра всего текста

Хаб
Код
...
crypto isakmp policy 10
 encr aes 256
 hash sha512
 group 16
 lifetime 14500
crypto ipsec transform-set SAMSON-ts esp-aes 256 esp-sha512-hmac
crypto ipsec profile SAMSON-pr
 set transform-set SAMSON-ts
...
interface Loopback1
 ip address 192.168.255.13 255.255.255.252
 ip ospf network point-to-point
...
interface Virtual-Template101 type tunnel
 ip unnumbered Loopback1
 ip mtu 1300
 ip tcp adjust-mss 1260
 ip ospf mtu-ignore
 tunnel mode ipsec ipv4
 tunnel key 101
 tunnel protection ipsec profile SAMSON-pr
Споук
Код
...
crypto isakmp policy 10
 encr aes 256
 hash sha512
 group 16
 lifetime 14500
crypto ipsec transform-set SAMSON-ts esp-aes 256 esp-sha512-hmac
 mode tunnel
crypto ipsec profile SAMSON-pr
 set transform-set SAMSON-ts
interface Tunnel1
 ip address 192.168.255.14 255.255.255.252
 ip mtu 1300
 ip tcp adjust-mss 1260
 tunnel source FastEthernet4
 tunnel mode ipsec ipv4
 tunnel destination aa.bb.cc.dd
 tunnel key 101
 tunnel protection ipsec profile SAMSON-pr
...


вот что получаем при диагностике:
Кликните здесь для просмотра всего текста

споук
Код
sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
aa.bb.cc.dd 192.168.234.19  QM_IDLE           2006 ACTIVE

IPv6 Crypto ISAKMP SA
Код
sh cry ipsec sa

interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 192.168.234.19

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer aa.bb.cc.dd port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.234.19, remote crypto endpt.: aa.bb.cc.dd
     plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:
Код
sh cry session
Crypto session current status

Interface: Tunnel1
Session status: DOWN
Peer: aa.bb.cc.dd port 500
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 0, origin: crypto map

Interface: Tunnel1
Session status: UP-IDLE
Peer: aa.bb.cc.dd port 4500
  Session ID: 0
  IKEv1 SA: local 192.168.234.19/4500 remote aa.bb.cc.dd/4500 Active


Как заставить эту заразу работать? Удается только если настроить DMVPN, а вот Dynamic VTI никак...

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
27.12.2016, 09:47
Ответы с готовыми решениями:

VTI IPSec
Добрый день, имеется циска 2к серии. Настраиваю туннели по данному мануалу. Настраивал аналогичный...

ipsec+NAT
День добрый, коллеги! Помогите решить задачку: есть два клиента, которые не согласовали политики...

Настройка Dynamic NAT
ЗДраствуйте! Есть проблема: пакеты из сети 10.10.0.0 не доходят до vlan-интерфейса с адресом...

Настроить NAT для трафика из IPSec туннеля
Добрый день! 1. Два офиса соединены IPSec туннелем, головной (192.168.0.0/24) и удаленный офис...

Два IPSec туннеля через NAT на AR1220
Добрый вечер. Можно ли организовать два IPSec туннеля с пробросом через NAT. Проблема в том, что у...

10
xeonz
650 / 244 / 35
Регистрация: 16.05.2014
Сообщений: 1,936
27.12.2016, 12:30 2
Dynamic vty делается через keyring, которых у вас вообще не наблюдается.
0
Yacudzer
4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 133
27.12.2016, 12:57  [ТС] 3
xeonz, т.е. сделать авторизацию по сертификатам не получится?
0
xeonz
650 / 244 / 35
Регистрация: 16.05.2014
Сообщений: 1,936
27.12.2016, 15:06 4
А сори, пропустил про сертификаты.

Я с ними не работал, не могу сказать.

Включите debug для ipsec событий и изучайте логи, что ему не нравится.
0
27.12.2016, 15:06
Yacudzer
4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 133
27.12.2016, 16:42  [ТС] 5
Вот такое выдает
Кликните здесь для просмотра всего текста
Код
debug crypto ipsec
Dec 27 13:38:28.943: IPSEC:(SESSION ID = 1) (key_engine) request timer fired: count = 1,
  (identity) local= 192.168.234.19:0, remote= aa.bb.cc.dd:0,
    local_proxy= 0.0.0.0/0.0.0.0/256/0,
    remote_proxy= 0.0.0.0/0.0.0.0/256/0
Dec 27 13:38:28.943: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 192.168.234.19:500, remote= aa.bb.cc.dd:500,
    local_proxy= 0.0.0.0/0.0.0.0/256/0,
    remote_proxy= 0.0.0.0/0.0.0.0/256/0,
    protocol= ESP, transform= esp-aes 256 esp-sha512-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0


Вот думаю, будет ли циска инкапсулировать ipsec в пакеты udp-4500 если в transform-set установлен mode tunnel?? Ведь при DMVPN используется mode transport...
0
xeonz
650 / 244 / 35
Регистрация: 16.05.2014
Сообщений: 1,936
28.12.2016, 07:20 6
Кстати, если у вас IPSEC через NAT, то нужно с обоих сторон использовать режим transport.

Приведите нормальный дебаг - все что вываливает лог при установке ipsec. Нужно увидеть какую ошибку рисует роутер.
0
insect_87
Эксперт по компьютерным сетям
4854 / 3933 / 808
Регистрация: 25.12.2012
Сообщений: 16,689
28.12.2016, 08:29 7
Цитата Сообщение от xeonz Посмотреть сообщение
Кстати, если у вас IPSEC через NAT, то нужно с обоих сторон использовать режим transport.
не обязательно


при прохождении пакета из внутренней во внешнюю сеть шифрование произойдет после роутинга и nat
обратно наоборот: дешифрование/nat/маршрутизация
http://www.adminia.ru/nat-order-of-operation/
0
Yacudzer
4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 133
28.12.2016, 09:25  [ТС] 8
Цитата Сообщение от xeonz Посмотреть сообщение
Приведите нормальный дебаг - все что вываливает лог при установке ipsec. Нужно увидеть какую ошибку рисует роутер.
Я написал сообщением выше. Это все что выдает при debug crypto ipsec

Добавлено через 26 минут
может на хабе не создается virtual-access интерфейс???
тот что создан тут для pptp используется, не активен в данный момент...

Кликните здесь для просмотра всего текста
Код
sh ip int br
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         aa.bb.cc.dd YES NVRAM  up                    up
GigabitEthernet0/1         192.168.1.1     YES NVRAM  up                    up
GigabitEthernet0/0/0       unassigned      YES unset  up                    up
GigabitEthernet0/0/1       unassigned      YES unset  administratively down down
GigabitEthernet0/0/2       unassigned      YES unset  administratively down down
GigabitEthernet0/0/3       unassigned      YES unset  administratively down down
Loopback0                  192.168.255.241 YES NVRAM  up                    up
Loopback1                  192.168.255.13  YES NVRAM  up                    up
NVI0                       aa.bb.cc.dd YES unset  up                    up
Tunnel0                    192.168.255.1   YES NVRAM  up                    up
Tunnel2                    192.168.255.9   YES NVRAM  up                    up
Virtual-Access1            unassigned      YES unset  down                  down
Virtual-Template1          192.168.255.241 YES unset  down                  down
Virtual-Template101        192.168.255.13  YES unset  up                    down
Vlan1                      192.168.0.1     YES NVRAM  up                    up
Vlan2                      192.168.0.33    YES NVRAM  down                  down
Vlan3                      192.168.0.65    YES NVRAM  down                  down
Vlan4                      192.168.0.97    YES NVRAM  down                  down
0
xeonz
650 / 244 / 35
Регистрация: 16.05.2014
Сообщений: 1,936
28.12.2016, 09:59 9
Цитата Сообщение от insect_87 Посмотреть сообщение
не обязательно
У меня через нат в свое время не поднимался dynamic vty без этого.

Плюс как то поднимал обычный классический Ipsec на crypto map через нат (причем нат был на ASA), и даже он не поднялся, пока не перевели режим на транспортный.
0
insect_87
Эксперт по компьютерным сетям
4854 / 3933 / 808
Регистрация: 25.12.2012
Сообщений: 16,689
28.12.2016, 13:58 10
Цитата Сообщение от xeonz Посмотреть сообщение
У меня через нат в свое время не поднимался dynamic vty без этого.
вот про
Цитата Сообщение от xeonz Посмотреть сообщение
dynamic vty
я нискажу ничего....
а ipsec будет работать
0
xeonz
650 / 244 / 35
Регистрация: 16.05.2014
Сообщений: 1,936
28.12.2016, 16:20 11
Цитата Сообщение от insect_87 Посмотреть сообщение
я нискажу ничего....
а ipsec будет работать
А сори, был не обычный Ipsec, а tunnel mode ipsecv4
0
28.12.2016, 16:20
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
28.12.2016, 16:20

WPF: Не работают библиотеки Open.NAT, Mono.NAT
Доброго времени суток! Хочу витащить свой IP. У меня "серый ip". (кто не в курсе го в Википедию)...

Гибридная варочная панель FAGOR ошибка F05, модель 5IFT-22S Cod. 902015625 Typ.VTI-64M
доброго дня. панель включается индикация работает. обычные конфорки работают в нормальном режиме....

Error: Incompatible types: got "Dynamic Array Of reccopyTimeBoxMaxY" expected "Dynamic Array
Операторы перезагрузки есть operator:=(rhs1: recTimeBoxMaxY):reccopyTimeBoxMaxY; begin with...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru