forum.opennet.ru - "Не поднимается GRE после падения канала." (30)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Не поднимается GRE после падения канала."

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не поднимается GRE после падения канала."	+/–
Сообщение от foxdenis (ok) on 19-Окт-12, 10:21
Реализовал резервирование VPN туннелей средствами EIGRP и GRE. Т.е. есть 2 ASA, между ними поднято 2 туннеля IPSEC, в туннели с каждой стороны уходят 2 подсети. За ASA с каждой стороны стоят роутеры (2911, 2921). На каждом роутере подняты GRE туннели до другого роутера. И включен EIGRP. Первое время после настройки все ОК, оба туннеля работают, делят трафик. Но стоит одному упасть, он больше не поднимается. Помогает только пересоздание интерфейсов tunnel да и то не всегда. При этом с обоих роутеров destination пингуется. Tunnel1 is up, line protocol is up Но при этом вторая сторона туннеля не пингуется. Иногда пингуется, если в качестве source указать какой-нибудь иной интерфейс, иногда нет. Конечными точками туннелей являются vlan порты роутеров, смотрящие в сторону ASA. Сначала подумал, что дело может быть в NAT, но убрав его, дело не исправилось. Уже 2 дня ломаю голову, единственное что на ум приходит, глюк прошивки. Может кто сталкивался? Туннели с одной стороны: interface Tunnel0 ip address 192.168.11.1 255.255.255.252 ip nat inside tunnel source 192.168.4.2 tunnel destination 192.168.6.1 ! interface Tunnel1 ip address 192.168.10.1 255.255.255.252 ip nat inside tunnel source 192.168.3.2 tunnel destination 192.168.6.5 ! Туннели с другой стороны: interface Tunnel0 ip address 192.168.11.2 255.255.255.252 tunnel source 192.168.6.1 tunnel destination 192.168.4.2 ! interface Tunnel1 ip address 192.168.10.2 255.255.255.252 tunnel source 192.168.6.5 tunnel destination 192.168.3.2 NAT: access-list 8 permit 10.192.2.0 0.0.1.255 access-list 8 permit 10.192.4.0 0.0.0.255 access-list 8 permit 10.192.6.0 0.0.0.255 ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0 ip nat inside source list 8 pool regions
Ответить \| Правка \| Cообщить модератору

Оглавление

Не поднимается GRE после падения канала., fantom, 11:28 , 19-Окт-12, (1)

Не поднимается GRE после падения канала., foxdenis, 11:43 , 19-Окт-12, (2)

Не поднимается GRE после падения канала., fantom, 12:55 , 19-Окт-12, (3)

Не поднимается GRE после падения канала., foxdenis, 14:28 , 19-Окт-12, (4)

Не поднимается GRE после падения канала., fantom, 14:59 , 19-Окт-12, (5)

Не поднимается GRE после падения канала., foxdenis, 15:23 , 19-Окт-12, (6)

Не поднимается GRE после падения канала., fantom, 15:58 , 19-Окт-12, (7)

Не поднимается GRE после падения канала., foxdenis, 16:07 , 19-Окт-12, (8)

Не поднимается GRE после падения канала., fantom, 16:33 , 19-Окт-12, (9)

Не поднимается GRE после падения канала., foxdenis, 16:42 , 19-Окт-12, (10)

Не поднимается GRE после падения канала., fantom, 16:48 , 19-Окт-12, (11)

Не поднимается GRE после падения канала., foxdenis, 17:00 , 19-Окт-12, (12)
Не поднимается GRE после падения канала., foxdenis, 17:15 , 19-Окт-12, (13)

Не поднимается GRE после падения канала., BJ, 23:13 , 20-Окт-12, (14)

Не поднимается GRE после падения канала., foxdenis, 11:40 , 22-Окт-12, (15)

Не поднимается GRE после падения канала., BJ, 16:13 , 22-Окт-12, (16)

Не поднимается GRE после падения канала., foxdenis, 13:55 , 23-Окт-12, (17)

Не поднимается GRE после падения канала., foxdenis, 09:26 , 24-Окт-12, (18)

Не поднимается GRE после падения канала., foxdenis, 12:25 , 24-Окт-12, (19)

Не поднимается GRE после падения канала., fantom, 16:50 , 24-Окт-12, (20)

Не поднимается GRE после падения канала., fantom, 17:10 , 24-Окт-12, (21)

Не поднимается GRE после падения канала., foxdenis, 18:06 , 24-Окт-12, (22)

Не поднимается GRE после падения канала., fantom, 10:18 , 25-Окт-12, (23)

Не поднимается GRE после падения канала., foxdenis, 11:05 , 25-Окт-12, (24)

Не поднимается GRE после падения канала., fantom, 11:44 , 25-Окт-12, (25)
Не поднимается GRE после падения канала., foxdenis, 16:09 , 25-Окт-12, (26)
Не поднимается GRE после падения канала., fantom, 17:00 , 25-Окт-12, (27)
Не поднимается GRE после падения канала., foxdenis, 17:05 , 25-Окт-12, (28)

Не поднимается GRE после падения канала., Сергей, 20:59 , 01-Мрт-15, (29)

Не поднимается GRE после падения канала., Михаил, 11:03 , 10-Янв-17, (30)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 11:28

>[оверквотинг удален]
> interface Tunnel1
> ip address 192.168.10.2 255.255.255.252
> tunnel source 192.168.6.5
> tunnel destination 192.168.3.2
> NAT:
> access-list 8 permit 10.192.2.0 0.0.1.255
> access-list 8 permit 10.192.4.0 0.0.0.255
> access-list 8 permit 10.192.6.0 0.0.0.255
> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
> ip nat inside source list 8 pool regions
keepalive на тунелях добавте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 11:43

>[оверквотинг удален]
>> ip address 192.168.10.2 255.255.255.252
>> tunnel source 192.168.6.5
>> tunnel destination 192.168.3.2
>> NAT:
>> access-list 8 permit 10.192.2.0 0.0.1.255
>> access-list 8 permit 10.192.4.0 0.0.0.255
>> access-list 8 permit 10.192.6.0 0.0.0.255
>> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
>> ip nat inside source list 8 pool regions
> keepalive на тунелях добавте.
Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то поднимается всегда один и тот же туннель, второй остается лежать. Если пересоздать лежащий туннель с двух сторон, то он опять работает.
PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1 is up, line protocol is down

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 12:55

>[оверквотинг удален]
>>> access-list 8 permit 10.192.4.0 0.0.0.255
>>> access-list 8 permit 10.192.6.0 0.0.0.255
>>> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0
>>> ip nat inside source list 8 pool regions
>> keepalive на тунелях добавте.
> Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то
> поднимается всегда один и тот же туннель, второй остается лежать. Если
> пересоздать лежащий туннель с двух сторон, то он опять работает.
> PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1
> is up, line protocol is down
И это правильно, говорит о том, что реально интерфейс "не фурычит"
sh ip ro 192.168.6.0
sh ip ro 192.168.6.4
sh ip ro 192.168.4.0
sh ip ro 192.168.4.4
c обоих роутеров когда работает только 1 тунель.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 14:28

>[оверквотинг удален]
>> поднимается всегда один и тот же туннель, второй остается лежать. Если
>> пересоздать лежащий туннель с двух сторон, то он опять работает.
>> PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1
>> is up, line protocol is down
> И это правильно, говорит о том, что реально интерфейс "не фурычит"
> sh ip ro 192.168.6.0
> sh ip ro 192.168.6.4
> sh ip ro 192.168.4.0
> sh ip ro 192.168.4.4
> c обоих роутеров когда работает только 1 тунель.
После тщетных попыток немного поменялась адресация, сейчас выглядит все следующим образом:
Роутер1:
interface Tunnel0
ip address 192.168.11.1 255.255.255.252
tunnel source 192.168.4.2
tunnel destination 192.168.6.1
!
interface Tunnel1
ip address 192.168.21.1 255.255.255.252
tunnel source 192.168.3.2
tunnel destination 192.168.7.1
1#sh ip ro 192.168.6.0
Routing entry for 192.168.6.0/24
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 192.168.4.1
      Route metric is 0, traffic share count is 1
1#sh ip ro 192.168.7.0
Routing entry for 192.168.7.0/24
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 192.168.3.1
      Route metric is 0, traffic share count is 1
1#sh ip ro 192.168.4.0
Routing entry for 192.168.4.0/24, 2 known subnets
  Attached (2 connections)
  Variably subnetted with 2 masks
C        192.168.4.0/24 is directly connected, GigabitEthernet0/1.55
L        192.168.4.2/32 is directly connected, GigabitEthernet0/1.55
1#sh ip ro 192.168.3.0
Routing entry for 192.168.3.0/24, 2 known subnets
  Attached (2 connections)
  Variably subnetted with 2 masks
C        192.168.3.0/24 is directly connected, GigabitEthernet0/1.56
L        192.168.3.2/32 is directly connected, GigabitEthernet0/1.56
Роутер2:
interface Tunnel0
ip address 192.168.11.2 255.255.255.252
tunnel source 192.168.6.1
tunnel destination 192.168.4.2
!
interface Tunnel1
ip address 192.168.21.2 255.255.255.252
tunnel source 192.168.7.1
tunnel destination 192.168.3.2
2#sh ip ro 192.168.3.0
Routing entry for 192.168.3.0/24
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 192.168.7.2
      Route metric is 0, traffic share count is 1
2#sh ip ro 192.168.4.0
Routing entry for 192.168.4.0/24
  Known via "static", distance 1, metric 0
  Routing Descriptor Blocks:
  * 192.168.6.2
      Route metric is 0, traffic share count is 1
2#sh ip ro 192.168.6.0
Routing entry for 192.168.6.0/24, 2 known subnets
  Attached (2 connections)
  Variably subnetted with 2 masks
C        192.168.6.0/24 is directly connected, GigabitEthernet0/1.101
L        192.168.6.1/32 is directly connected, GigabitEthernet0/1.101
2#sh ip ro 192.168.7.0
Routing entry for 192.168.7.0/24, 2 known subnets
  Attached (2 connections)
  Variably subnetted with 2 masks
C        192.168.7.0/24 is directly connected, GigabitEthernet0/1.102
L        192.168.7.1/32 is directly connected, GigabitEthernet0/1.102

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 14:59

>[оверквотинг удален]
> L        192.168.6.1/32 is directly connected,
> GigabitEthernet0/1.101
> 2#sh ip ro 192.168.7.0
> Routing entry for 192.168.7.0/24, 2 known subnets
>   Attached (2 connections)
>   Variably subnetted with 2 masks
> C        192.168.7.0/24 is directly connected,
> GigabitEthernet0/1.102
> L        192.168.7.1/32 is directly connected,
> GigabitEthernet0/1.102
все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel keepalive - и смотрите какие куда улетели/прилетели.
Если с одного рутера все уходит, а на второй не приходит, то 2 варианта:
1. грабли с маршрутизацией
2. что-то где-то фильтрует gre трафик....

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 15:23

>[оверквотинг удален]
>> C        192.168.7.0/24 is directly connected,
>> GigabitEthernet0/1.102
>> L        192.168.7.1/32 is directly connected,
>> GigabitEthernet0/1.102
> все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel
> keepalive - и смотрите какие куда улетели/прилетели.
> Если с одного рутера все уходит, а на второй не приходит, то
> 2 варианта:
> 1. грабли с маршрутизацией
> 2. что-то где-то фильтрует gre трафик....
Это логично, но тогда бы туннель вообще бы не поднимался бы никогда. А тут он поднимается и прекрасно работает, но после обрыва канала, больше не поднимается.
Еще одна странная вещь: другая сторона пингуется с роутера 2 в следующем варианте:
2#ping 192.168.21.1 source 10.192.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
Packet sent with a source address of 10.192.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms
А если просто написать без source:
2#ping 192.168.21.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Т.е. туннель живой, но почему то не пускает через себя часть пакетов, в том числе keepalive.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 15:58

>[оверквотинг удален]
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms
> А если просто написать без source:
> 2#ping 192.168.21.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
> .....
> Success rate is 0 percent (0/5)
> Т.е. туннель живой, но почему то не пускает через себя часть пакетов,
> в том числе keepalive.
неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ, т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не в этот тунель :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 16:07

>[оверквотинг удален]
>> 2#ping 192.168.21.1
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds:
>> .....
>> Success rate is 0 percent (0/5)
>> Т.е. туннель живой, но почему то не пускает через себя часть пакетов,
>> в том числе keepalive.
> неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ,
> т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не
> в этот тунель :)
Router 1
1#
Oct 19 16:05:20.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:20.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=18
Oct 19 16:05:20.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:30.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:30.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=19
Oct 19 16:05:30.033 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:40.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:40.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=20
Oct 19 16:05:40.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:05:50.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:05:50.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=21
Oct 19 16:05:50.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:06:00.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:06:00.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=22
Oct 19 16:06:00.081 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
1#
Oct 19 16:06:10.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1
Oct 19 16:06:10.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=23
Oct 19 16:06:10.077 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter
Router 2:
Oct 19 12:03:47.733: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:03:57.725: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:03:57.725: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=28
Oct 19 12:03:57.737: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:07.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:07.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=29
Oct 19 12:04:07.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:17.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:17.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=30
Oct 19 12:04:17.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:27.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:27.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=31
Oct 19 12:04:27.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:37.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=32
Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter
Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1
Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=33
По фильтрации Gre везде все открыл, даже больше чем нужно.
Получается что ни в ту сторону не доходит ни в другую.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 16:33

>[оверквотинг удален]
> Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
> counter=32
> Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253),
> resetting counter
> Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255),
> counter=1
> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
> counter=33
> По фильтрации Gre везде все открыл, даже больше чем нужно.
> Получается что ни в ту сторону не доходит ни в другую.
Как канал построен между 29-ми кошками? там явно есть L3 железо - на нем что фильтруется?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 16:42

>[оверквотинг удален]
>> Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253),
>> resetting counter
>> Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255),
>> counter=1
>> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
>> counter=33
>> По фильтрации Gre везде все открыл, даже больше чем нужно.
>> Получается что ни в ту сторону не доходит ни в другую.
> Как канал построен между 29-ми кошками? там явно есть L3 железо -
> на нем что фильтруется?
Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec туннели. Там и в аксес-листы VPN включен протокол GRE и на всех портах я специально открыл доступ GRE any any. Могу выложить конфиг, вдруг я где то лохонулся.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 19-Окт-12, 16:48

>[оверквотинг удален]
>>> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255),
>>> counter=33
>>> По фильтрации Gre везде все открыл, даже больше чем нужно.
>>> Получается что ни в ту сторону не доходит ни в другую.
>> Как канал построен между 29-ми кошками? там явно есть L3 железо -
>> на нем что фильтруется?
> Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec
> туннели. Там и в аксес-листы VPN включен протокол GRE и на
> всех портах я специально открыл доступ GRE any any. Могу выложить
> конфиг, вдруг я где то лохонулся.
В ASA-ах я ничо не понимаю :)
явно лочится тунельный траф, как там что открывается/закрывается - незнаю....
Можно еще попробовать явно на тунелях gre указать
tunnel mode gre
ну или попробовать с другой инкарсуляцией поиграться, например ipip...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 17:00

>[оверквотинг удален]
>>> на нем что фильтруется?
>> Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec
>> туннели. Там и в аксес-листы VPN включен протокол GRE и на
>> всех портах я специально открыл доступ GRE any any. Могу выложить
>> конфиг, вдруг я где то лохонулся.
> В ASA-ах я ничо не понимаю :)
> явно лочится тунельный траф, как там что открывается/закрывается - незнаю....
> Можно еще попробовать явно на тунелях gre указать
> tunnel mode gre
> ну или попробовать с другой инкарсуляцией поиграться, например ipip...
На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но после того как уронил канал интернет, туннель опять не поднялся.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 19-Окт-12, 17:15

>[оверквотинг удален]
>>> туннели. Там и в аксес-листы VPN включен протокол GRE и на
>>> всех портах я специально открыл доступ GRE any any. Могу выложить
>>> конфиг, вдруг я где то лохонулся.
>> В ASA-ах я ничо не понимаю :)
>> явно лочится тунельный траф, как там что открывается/закрывается - незнаю....
>> Можно еще попробовать явно на тунелях gre указать
>> tunnel mode gre
>> ну или попробовать с другой инкарсуляцией поиграться, например ipip...
> На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но
> после того как уронил канал интернет, туннель опять не поднялся.
Конфиг первой ASA:
interface GigabitEthernet0/3.55
vlan 55
nameif test_vlan
security-level 100
ip address 192.168.4.1 255.255.255.0
!
interface GigabitEthernet0/3.56
vlan 56
nameif vlan_test_2
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface GigabitEthernet0/3.130
vlan 130
nameif local
security-level 100
ip address 10.36.210.38 255.255.255.252

interface GigabitEthernet0/0
description **LINK-to-ISP**
nameif OUTSIDE
security-level 0
ip address x.x.x.x 255.255.255.248
!
interface GigabitEthernet0/1
description outside2
nameif outside2
security-level 0
ip address y.y.y.y 255.255.255.252

object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object icmp
protocol-object gre
object-group service tfp_ports
service-object icmp
service-object tcp eq ftp
service-object tcp eq ftp-data
object-group network all_10
description all_10
network-object ALL 255.0.0.0
object-group service DM_INLINE_SERVICE_1
service-object icmp
group-object tfp_ports
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_4
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_5
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_6
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_7
protocol-object ip
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_8
protocol-object ip

access-list OUTSIDE_cryptomap extended permit object-group DM_INLINE_PROTOCOL_8 object-group all_10 10.192.4.0 255.255.255.0
access-list OUTSIDE_cryptomap_1 extended permit ip object-group all_10 10.192.6.0 255.255.255.0
access-list OUTSIDE_cryptomap_2 extended permit ip 192.168.4.0 255.255.255.0 192.168.6.0 255.255.255.0
access-list INSIDE_nat0_outbound extended permit ip ALL 255.0.0.0 ALL 255.0.0.0
access-list INSIDE_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list OUTSIDE_access_in extended permit object-group DM_INLINE_PROTOCOL_2 any any
access-list OUTSIDE_access_in extended permit object-group DM_INLINE_SERVICE_1 any host 195.239.243.18
access-list OUTSIDE_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list mobis standard permit ALL 255.0.0.0
access-list OUTSIDE_access_out extended permit ip any any
access-list DMZ_nat0_outbound extended permit ip 10.36.210.16 255.255.255.252 object-group all_10
access-list outside2_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any
access-list outside2_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list outside2_cryptomap extended permit object-group DM_INLINE_PROTOCOL_7 192.168.3.0 255.255.255.0 192.168.7.0 255.255.255.0
access-list outside2_access_out extended permit object-group DM_INLINE_PROTOCOL_4 any any
access-list vlan_test_2_access_in extended permit object-group DM_INLINE_PROTOCOL_5 any any
access-list test_vlan_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any

global (OUTSIDE) 1 interface
global (outside2) 1 interface
nat (local) 0 access-list INSIDE_nat0_outbound
nat (local) 1 0.0.0.0 0.0.0.0

access-group OUTSIDE_access_in in interface OUTSIDE
access-group OUTSIDE_access_out out interface OUTSIDE
access-group test_vlan_access_in in interface test_vlan
access-group vlan_test_2_access_in in interface vlan_test_2
access-group outside2_access_in in interface outside2
access-group outside2_access_out out interface outside2

route OUTSIDE 0.0.0.0 0.0.0.0 "DG1" 1
route outside2 0.0.0.0 0.0.0.0 "DG2" 15
route local 10.0.0.0 255.0.0.0 10.36.210.37 1
route outside2 v.v.v.v 62.231.28.201 1
route OUTSIDE 192.168.6.0 255.255.255.0 "DG1" 1
route outside2 192.168.7.0 255.255.255.0 "DG2" 1

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map OUTSIDE_map 1 match address OUTSIDE_cryptomap_2
crypto map OUTSIDE_map 1 set peer z.z.z.z
crypto map OUTSIDE_map 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map OUTSIDE_map interface OUTSIDE
crypto map outside2_map0 1 match address outside2_cryptomap
crypto map outside2_map0 1 set peer v.v.v.v
crypto map outside2_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map outside2_map0 interface outside2

tunnel-group v.v.v.v type ipsec-l2l
tunnel-group v.v.v.v general-attributes
default-group-policy GroupPolicy4
tunnel-group v.v.v.v ipsec-attributes
pre-shared-key *****
tunnel-group z.z.z.z type ipsec-l2l
tunnel-group z.z.z.z general-attributes
default-group-policy GroupPolicy3
tunnel-group z.z.z.z ipsec-attributes
pre-shared-key *****
Конфиг второй ASA:
interface GigabitEthernet0/0
nameif INTERNET
security-level 0
ip address v.v.v.v 255.255.255.252
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1.100
vlan 100
nameif local
security-level 100
ip address 192.168.5.2 255.255.255.252
!
interface GigabitEthernet0/1.101
vlan 101
nameif vlan101
security-level 100
ip address 192.168.6.2 255.255.255.0
!
interface GigabitEthernet0/1.102
vlan 102
nameif vlan102
security-level 100
ip address 192.168.7.2 255.255.255.0
!
interface GigabitEthernet0/2
nameif -=ISP2=-
security-level 0
ip address Z.Z.Z.Z 255.255.255.0

object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_4
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_5
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_6
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_7
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_8
protocol-object ip
protocol-object icmp
protocol-object gre
object-group service rdp tcp
port-object eq 3389
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service ss tcp-udp
port-object eq 5000
object-group protocol DM_INLINE_PROTOCOL_10
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_9
protocol-object ip
protocol-object icmp
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_11
protocol-object ip
protocol-object gre
object-group protocol DM_INLINE_PROTOCOL_13
protocol-object ip
protocol-object gre

access-list LOCAL_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any
access-list LOCAL_access_in extended permit ip 10.192.2.0 255.255.254.0 any
access-list LOCAL_access_out extended permit object-group DM_INLINE_PROTOCOL_7 any any
access-list INTERNET_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any
access-list INTERNET_access_in extended permit ip host 10.10.17.18 any inactive
access-list INTERNET_access_in extended permit ip 10.0.0.0 255.0.0.0 any
access-list INTERNET_access_in extended permit ip 192.168.0.0 255.255.0.0 any
access-list INTERNET_access_out extended permit object-group DM_INLINE_PROTOCOL_8 any any
access-list local_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list local_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
access-list management_nat0_outbound extended permit ip 10.192.2.0 255.255.254.0 10.0.0.0 255.0.0.0
access-list 11 standard permit 10.0.0.0 255.0.0.0
access-list -=ISP2=-_cryptomap extended permit object-group DM_INLINE_PROTOCOL_13 192.168.6.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list INTERNET_cryptomap extended permit object-group DM_INLINE_PROTOCOL_11 192.168.7.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list vlan101_access_in extended permit object-group DM_INLINE_PROTOCOL_9 any any
access-list vlan102_access_in extended permit object-group DM_INLINE_PROTOCOL_10 any any

global (INTERNET) 1 interface
global (-=ISP2=-) 1 interface
nat (local) 0 access-list local_nat0_outbound
nat (local) 1 0.0.0.0 0.0.0.0
access-group INTERNET_access_in in interface INTERNET
access-group INTERNET_access_out out interface INTERNET
access-group INTERNET_access_in in interface -=ISP2=-
access-group INTERNET_access_out out interface -=ISP2=-
access-group vlan101_access_in in interface vlan101
access-group vlan102_access_in in interface vlan102

route -=ISP2=- 0.0.0.0 0.0.0.0 "DG3" 1 track 1
route INTERNET 0.0.0.0 0.0.0.0 "DG4" 200
route local 10.192.2.0 255.255.254.0 192.168.5.1 1
route INTERNET y.y.y.y 62.181.37.157 1
route INTERNET 192.168.3.0 255.255.255.0 "DG4" 1
route -=ISP2=- 192.168.4.0 255.255.255.0 "DG3" 1

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto map -=ISP2=-_map0 1 match address -=ISP2=-_cryptomap
crypto map -=ISP2=-_map0 1 set peer x.x.x.x.
crypto map -=ISP2=-_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map -=ISP2=-_map0 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map -=ISP2=-_map0 interface -=ISP2=-
crypto map INTERNET_map1 1 match address INTERNET_cryptomap
crypto map INTERNET_map1 1 set peer y.y.y.y
crypto map INTERNET_map1 1 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map INTERNET_map1 interface INTERNET

crypto isakmp enable INTERNET
crypto isakmp enable -=ISP2=-

tunnel-group y.y.y.y type ipsec-l2l
tunnel-group y.y.y.y general-attributes
default-group-policy GroupPolicy4
tunnel-group y.y.y.y ipsec-attributes
pre-shared-key *
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy GroupPolicy2
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Не поднимается GRE после падения канала." +/–

Сообщение от BJ (ok) on 20-Окт-12, 23:13

Сталкивался. Дело в ASA, дело в том что она часто успевает создает коннекцию для GRE до поднятия IPSEC. А живая  коннекция отправляет весь трафик по правилам на момент своего создания, тоесть мимо crypto.
Помогает "clear conn addr a.b.c.d"  на обоих асах

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 22-Окт-12, 11:40

> Сталкивался. Дело в ASA, дело в том что она часто успевает создает
> коннекцию для GRE до поднятия IPSEC. А живая  коннекция отправляет
> весь трафик по правилам на момент своего создания, тоесть мимо crypto.
> Помогает "clear conn addr a.b.c.d"  на обоих асах
Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они могут отрубаться по 10 раз за день, а объект круглосуточный.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Не поднимается GRE после падения канала." +/–

Сообщение от BJ (ok) on 22-Окт-12, 16:13

> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
> могут отрубаться по 10 раз за день, а объект круглосуточный.
Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо этих правил, а значит без него коннекция создаватся не будет.
Я эту идею не проверял, решил довести crypto до маршрутизаторов.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 23-Окт-12, 13:55

>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
>> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
>> могут отрубаться по 10 раз за день, а объект круглосуточный.
> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
> этих правил, а значит без него коннекция создаватся не будет.
> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до первого падения. Может еще есть идеи? Спасибо.
PS clear conn addr помогает, после исполнения, туннели опять поднимаются.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 24-Окт-12, 09:26

>>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается?
>>> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они
>>> могут отрубаться по 10 раз за день, а объект круглосуточный.
>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>> этих правил, а значит без него коннекция создаватся не будет.
>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
> первого падения. Может еще есть идеи? Спасибо.
> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
С ASA реализовать особо не получается, но и убирать ее нельзя. Через static nat можно протащить на роутер внешний IP и с него строить gre, но уже шифрованный?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 24-Окт-12, 12:25

>[оверквотинг удален]
>>>> могут отрубаться по 10 раз за день, а объект круглосуточный.
>>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>>> этих правил, а значит без него коннекция создаватся не будет.
>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>> первого падения. Может еще есть идеи? Спасибо.
>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
> static nat можно протащить на роутер внешний IP и с него
> строить gre, но уже шифрованный?
Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 24-Окт-12, 16:50

>[оверквотинг удален]
>>>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо
>>>> этих правил, а значит без него коннекция создаватся не будет.
>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>> первого падения. Может еще есть идеи? Спасибо.
>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>> static nat можно протащить на роутер внешний IP и с него
>> строить gre, но уже шифрованный?
> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 24-Окт-12, 17:10

>[оверквотинг удален]
>>>>> этих правил, а значит без него коннекция создаватся не будет.
>>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>>> первого падения. Может еще есть идеи? Спасибо.
>>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>> static nat можно протащить на роутер внешний IP и с него
>>> строить gre, но уже шифрованный?
>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
или воспользоваться какой-либо клиент/сервер архитектурой

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 24-Окт-12, 18:06

>[оверквотинг удален]
>>>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов.
>>>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до
>>>>> первого падения. Может еще есть идеи? Спасибо.
>>>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
>>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>>> static nat можно протащить на роутер внешний IP и с него
>>>> строить gre, но уже шифрованный?
>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
> или воспользоваться какой-либо клиент/сервер архитектурой
Ну тут не вариант.
Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
Т.е. sysopt connection reclassify-vpn
Но не помогло тоже.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 25-Окт-12, 10:18

>[оверквотинг удален]
>>>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через
>>>>> static nat можно протащить на роутер внешний IP и с него
>>>>> строить gre, но уже шифрованный?
>>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>> или воспользоваться какой-либо клиент/сервер архитектурой
> Ну тут не вариант.
> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
> Т.е. sysopt connection reclassify-vpn
> Но не помогло тоже.
Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки на ASA может и помочь...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 25-Окт-12, 11:05

>[оверквотинг удален]
>>>>>> строить gre, но уже шифрованный?
>>>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
>>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>>> или воспользоваться какой-либо клиент/сервер архитектурой
>> Ну тут не вариант.
>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>> Т.е. sysopt connection reclassify-vpn
>> Но не помогло тоже.
> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
> на ASA может и помочь...
Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более старших прошивок надо NAT переделывать, не очень хочется.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 25-Окт-12, 11:44

>[оверквотинг удален]
>>>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
>>>> или воспользоваться какой-либо клиент/сервер архитектурой
>>> Ну тут не вариант.
>>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>>> Т.е. sysopt connection reclassify-vpn
>>> Но не помогло тоже.
>> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
>> на ASA может и помочь...
> Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более
> старших прошивок надо NAT переделывать, не очень хочется.
http://www.cisco.com/en/US/products/ps6120/products_configur...
Не поможет?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 25-Окт-12, 16:09

>[оверквотинг удален]
>>>> Ну тут не вариант.
>>>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/
>>>> Т.е. sysopt connection reclassify-vpn
>>>> Но не помогло тоже.
>>> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки
>>> на ASA может и помочь...
>> Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более
>> старших прошивок надо NAT переделывать, не очень хочется.
> http://www.cisco.com/en/US/products/ps6120/products_configur...
> Не поможет?
Поставил.
Ситуация несколько изменилась.
Соответственно есть 2 провайдера на каждой асе и маршруты:
route OUTSIDE 0.0.0.0 0.0.0.0 DG1 1
route outside2 0.0.0.0 0.0.0.0 DG2 15
route outside2 ASA2(ISP2) DG2 1
route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1
Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2 не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается GRE2. Далее после включения основного провайдера поднимается и GRE1.
Т.е. в общем то резервирование работает, но все же хотелось бы чтобы GRE2 поднимался сам, без падения основного провайдера.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Не поднимается GRE после падения канала." +/–

Сообщение от fantom (ok) on 25-Окт-12, 17:00

>[оверквотинг удален]
> route outside2 0.0.0.0 0.0.0.0 DG2 15
> route outside2 ASA2(ISP2) DG2 1
> route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
> route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1
> Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
> Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2
> не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается
> GRE2. Далее после включения основного провайдера поднимается и GRE1.
> Т.е. в общем то резервирование работает, но все же хотелось бы чтобы
> GRE2 поднимался сам, без падения основного провайдера.
Пишите в саппорт циски, может это баг... а задокументирванный баг -- это уже фича ;)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Не поднимается GRE после падения канала." +/–

Сообщение от foxdenis (ok) on 25-Окт-12, 17:05

>[оверквотинг удален]
>> route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1
>> route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1
>> Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения.
>> Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2
>> не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается
>> GRE2. Далее после включения основного провайдера поднимается и GRE1.
>> Т.е. в общем то резервирование работает, но все же хотелось бы чтобы
>> GRE2 поднимался сам, без падения основного провайдера.
> Пишите в саппорт циски, может это баг... а задокументирванный баг -- это
> уже фича ;)
Создал тему, пока молчат.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Не поднимается GRE после падения канала." +/–

Сообщение от Сергей (??) on 01-Мрт-15, 20:59

Все добрый день!
Не стал открывать новую тему, но проблема точно такая же ..
Есть два белых IP и циски.. все маршрутизаторы отвечают .. туннель в какой то момент падает и не поднимается.
При этом не сказал бы что это связанно с падением основного канала (он на мониторинге, и с ним все ок)
Исключение составляет, что нет ASA, как в изложенной выше проблеме.
R1
Tunnel14 is up, line protocol is down
  Hardware is Tunnel
  Description: to_nabcheln_r01
  Internet address is 192.168.212.1/24
R2
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 192.168.212.2/24

Пытался включать и выключать туннели с одной и другой сторон - не помогло
clean int tunnel на R1 и R2 - не помогло
Помогает только перезагрузка R2 .. и жду день, другой нового падения новый канал и все по новой :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Не поднимается GRE после падения канала." +/–

Сообщение от Михаил (??) on 10-Янв-17, 11:03

>[оверквотинг удален]
>   Internet address is 192.168.212.1/24
> R2
> Tunnel1 is up, line protocol is up
>   Hardware is Tunnel
>   Internet address is 192.168.212.2/24
> Пытался включать и выключать туннели с одной и другой сторон - не
> помогло
> clean int tunnel на R1 и R2 - не помогло
> Помогает только перезагрузка R2 .. и жду день, другой нового падения новый
> канал и все по новой :(
Добрый день!
Столкнулся с такой же проблемой, не нашли решения?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не поднимается GRE после падения канала."	+/–
Сообщение от fantom (ok) on 19-Окт-12, 11:28
>[оверквотинг удален] > interface Tunnel1 > ip address 192.168.10.2 255.255.255.252 > tunnel source 192.168.6.5 > tunnel destination 192.168.3.2 > NAT: > access-list 8 permit 10.192.2.0 0.0.1.255 > access-list 8 permit 10.192.4.0 0.0.0.255 > access-list 8 permit 10.192.6.0 0.0.0.255 > ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0 > ip nat inside source list 8 pool regions keepalive на тунелях добавте.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 11:43
	>[оверквотинг удален] >> ip address 192.168.10.2 255.255.255.252 >> tunnel source 192.168.6.5 >> tunnel destination 192.168.3.2 >> NAT: >> access-list 8 permit 10.192.2.0 0.0.1.255 >> access-list 8 permit 10.192.4.0 0.0.0.255 >> access-list 8 permit 10.192.6.0 0.0.0.255 >> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0 >> ip nat inside source list 8 pool regions > keepalive на тунелях добавте. Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то поднимается всегда один и тот же туннель, второй остается лежать. Если пересоздать лежащий туннель с двух сторон, то он опять работает. PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1 is up, line protocol is down
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 19-Окт-12, 12:55
	>[оверквотинг удален] >>> access-list 8 permit 10.192.4.0 0.0.0.255 >>> access-list 8 permit 10.192.6.0 0.0.0.255 >>> ip nat pool regions 10.36.212.1 10.36.212.254 netmask 255.255.255.0 >>> ip nat inside source list 8 pool regions >> keepalive на тунелях добавте. > Добавлял, ничего не меняется. При этом странная штука, если ронять каналы, то > поднимается всегда один и тот же туннель, второй остается лежать. Если > пересоздать лежащий туннель с двух сторон, то он опять работает. > PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1 > is up, line protocol is down И это правильно, говорит о том, что реально интерфейс "не фурычит" sh ip ro 192.168.6.0 sh ip ro 192.168.6.4 sh ip ro 192.168.4.0 sh ip ro 192.168.4.4 c обоих роутеров когда работает только 1 тунель.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 14:28
	>[оверквотинг удален] >> поднимается всегда один и тот же туннель, второй остается лежать. Если >> пересоздать лежащий туннель с двух сторон, то он опять работает. >> PS Если keepalive оставить, то интерфейс, после поднятия канала в состоянии: Tunnel1 >> is up, line protocol is down > И это правильно, говорит о том, что реально интерфейс "не фурычит" > sh ip ro 192.168.6.0 > sh ip ro 192.168.6.4 > sh ip ro 192.168.4.0 > sh ip ro 192.168.4.4 > c обоих роутеров когда работает только 1 тунель. После тщетных попыток немного поменялась адресация, сейчас выглядит все следующим образом: Роутер1: interface Tunnel0 ip address 192.168.11.1 255.255.255.252 tunnel source 192.168.4.2 tunnel destination 192.168.6.1 ! interface Tunnel1 ip address 192.168.21.1 255.255.255.252 tunnel source 192.168.3.2 tunnel destination 192.168.7.1 1#sh ip ro 192.168.6.0 Routing entry for 192.168.6.0/24 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 192.168.4.1 Route metric is 0, traffic share count is 1 1#sh ip ro 192.168.7.0 Routing entry for 192.168.7.0/24 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 192.168.3.1 Route metric is 0, traffic share count is 1 1#sh ip ro 192.168.4.0 Routing entry for 192.168.4.0/24, 2 known subnets Attached (2 connections) Variably subnetted with 2 masks C 192.168.4.0/24 is directly connected, GigabitEthernet0/1.55 L 192.168.4.2/32 is directly connected, GigabitEthernet0/1.55 1#sh ip ro 192.168.3.0 Routing entry for 192.168.3.0/24, 2 known subnets Attached (2 connections) Variably subnetted with 2 masks C 192.168.3.0/24 is directly connected, GigabitEthernet0/1.56 L 192.168.3.2/32 is directly connected, GigabitEthernet0/1.56 Роутер2: interface Tunnel0 ip address 192.168.11.2 255.255.255.252 tunnel source 192.168.6.1 tunnel destination 192.168.4.2 ! interface Tunnel1 ip address 192.168.21.2 255.255.255.252 tunnel source 192.168.7.1 tunnel destination 192.168.3.2 2#sh ip ro 192.168.3.0 Routing entry for 192.168.3.0/24 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 192.168.7.2 Route metric is 0, traffic share count is 1 2#sh ip ro 192.168.4.0 Routing entry for 192.168.4.0/24 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 192.168.6.2 Route metric is 0, traffic share count is 1 2#sh ip ro 192.168.6.0 Routing entry for 192.168.6.0/24, 2 known subnets Attached (2 connections) Variably subnetted with 2 masks C 192.168.6.0/24 is directly connected, GigabitEthernet0/1.101 L 192.168.6.1/32 is directly connected, GigabitEthernet0/1.101 2#sh ip ro 192.168.7.0 Routing entry for 192.168.7.0/24, 2 known subnets Attached (2 connections) Variably subnetted with 2 masks C 192.168.7.0/24 is directly connected, GigabitEthernet0/1.102 L 192.168.7.1/32 is directly connected, GigabitEthernet0/1.102
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 19-Окт-12, 14:59
	>[оверквотинг удален] > L 192.168.6.1/32 is directly connected, > GigabitEthernet0/1.101 > 2#sh ip ro 192.168.7.0 > Routing entry for 192.168.7.0/24, 2 known subnets > Attached (2 connections) > Variably subnetted with 2 masks > C 192.168.7.0/24 is directly connected, > GigabitEthernet0/1.102 > L 192.168.7.1/32 is directly connected, > GigabitEthernet0/1.102 все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel keepalive - и смотрите какие куда улетели/прилетели. Если с одного рутера все уходит, а на второй не приходит, то 2 варианта: 1. грабли с маршрутизацией 2. что-то где-то фильтрует gre трафик....
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 15:23
	>[оверквотинг удален] >> C 192.168.7.0/24 is directly connected, >> GigabitEthernet0/1.102 >> L 192.168.7.1/32 is directly connected, >> GigabitEthernet0/1.102 > все-таки поставьте keepalive с обоих сторон на каждом тунеле, потом debug tunnel > keepalive - и смотрите какие куда улетели/прилетели. > Если с одного рутера все уходит, а на второй не приходит, то > 2 варианта: > 1. грабли с маршрутизацией > 2. что-то где-то фильтрует gre трафик.... Это логично, но тогда бы туннель вообще бы не поднимался бы никогда. А тут он поднимается и прекрасно работает, но после обрыва канала, больше не поднимается. Еще одна странная вещь: другая сторона пингуется с роутера 2 в следующем варианте: 2#ping 192.168.21.1 source 10.192.3.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds: Packet sent with a source address of 10.192.3.3 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms А если просто написать без source: 2#ping 192.168.21.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Т.е. туннель живой, но почему то не пускает через себя часть пакетов, в том числе keepalive.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 19-Окт-12, 15:58
	>[оверквотинг удален] > !!!!! > Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms > А если просто написать без source: > 2#ping 192.168.21.1 > Type escape sequence to abort. > Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds: > ..... > Success rate is 0 percent (0/5) > Т.е. туннель живой, но почему то не пускает через себя часть пакетов, > в том числе keepalive. неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ, т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не в этот тунель :)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 16:07
	>[оверквотинг удален] >> 2#ping 192.168.21.1 >> Type escape sequence to abort. >> Sending 5, 100-byte ICMP Echos to 192.168.21.1, timeout is 2 seconds: >> ..... >> Success rate is 0 percent (0/5) >> Т.е. туннель живой, но почему то не пускает через себя часть пакетов, >> в том числе keepalive. > неа, не живой, он получается может быть живой ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ, > т.к. R1 ответ на 10.192.3.3 отправляет не в тунель, вернее не > в этот тунель :) Router 1 1# Oct 19 16:05:20.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:05:20.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=18 Oct 19 16:05:20.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter 1# Oct 19 16:05:30.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:05:30.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=19 Oct 19 16:05:30.033 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter 1# Oct 19 16:05:40.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:05:40.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=20 Oct 19 16:05:40.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter 1# Oct 19 16:05:50.021 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:05:50.021 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=21 Oct 19 16:05:50.029 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter 1# Oct 19 16:06:00.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:06:00.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=22 Oct 19 16:06:00.081 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter 1# Oct 19 16:06:10.069 MSK: Tunnel0: sending keepalive, 192.168.6.1->192.168.4.2 (len=24 ttl=255), counter=1 Oct 19 16:06:10.069 MSK: Tunnel1: sending keepalive, 192.168.7.1->192.168.3.2 (len=24 ttl=255), counter=23 Oct 19 16:06:10.077 MSK: Tunnel0: keepalive received, 192.168.6.1->192.168.4.2 (len=24 ttl=253), resetting counter Router 2: Oct 19 12:03:47.733: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:03:57.725: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:03:57.725: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=28 Oct 19 12:03:57.737: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:04:07.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:04:07.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=29 Oct 19 12:04:07.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:04:17.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:04:17.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=30 Oct 19 12:04:17.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:04:27.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:04:27.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=31 Oct 19 12:04:27.773: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:04:37.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=32 Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), resetting counter Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), counter=1 Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), counter=33 По фильтрации Gre везде все открыл, даже больше чем нужно. Получается что ни в ту сторону не доходит ни в другую.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 19-Окт-12, 16:33
	>[оверквотинг удален] > Oct 19 12:04:37.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), > counter=32 > Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), > resetting counter > Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), > counter=1 > Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), > counter=33 > По фильтрации Gre везде все открыл, даже больше чем нужно. > Получается что ни в ту сторону не доходит ни в другую. Как канал построен между 29-ми кошками? там явно есть L3 железо - на нем что фильтруется?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 16:42
	>[оверквотинг удален] >> Oct 19 12:04:37.777: Tunnel0: keepalive received, 192.168.4.2->192.168.6.1 (len=24 ttl=253), >> resetting counter >> Oct 19 12:04:47.765: Tunnel0: sending keepalive, 192.168.4.2->192.168.6.1 (len=24 ttl=255), >> counter=1 >> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), >> counter=33 >> По фильтрации Gre везде все открыл, даже больше чем нужно. >> Получается что ни в ту сторону не доходит ни в другую. > Как канал построен между 29-ми кошками? там явно есть L3 железо - > на нем что фильтруется? Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec туннели. Там и в аксес-листы VPN включен протокол GRE и на всех портах я специально открыл доступ GRE any any. Могу выложить конфиг, вдруг я где то лохонулся.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 19-Окт-12, 16:48
	>[оверквотинг удален] >>> Oct 19 12:04:47.765: Tunnel1: sending keepalive, 192.168.3.2->192.168.7.1 (len=24 ttl=255), >>> counter=33 >>> По фильтрации Gre везде все открыл, даже больше чем нужно. >>> Получается что ни в ту сторону не доходит ни в другую. >> Как канал построен между 29-ми кошками? там явно есть L3 железо - >> на нем что фильтруется? > Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec > туннели. Там и в аксес-листы VPN включен протокол GRE и на > всех портах я специально открыл доступ GRE any any. Могу выложить > конфиг, вдруг я где то лохонулся. В ASA-ах я ничо не понимаю :) явно лочится тунельный траф, как там что открывается/закрывается - незнаю.... Можно еще попробовать явно на тунелях gre указать tunnel mode gre ну или попробовать с другой инкарсуляцией поиграться, например ipip...
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 17:00
	>[оверквотинг удален] >>> на нем что фильтруется? >> Между роутерами стоят 2 ASA, на которых как раз построены VPN IPSec >> туннели. Там и в аксес-листы VPN включен протокол GRE и на >> всех портах я специально открыл доступ GRE any any. Могу выложить >> конфиг, вдруг я где то лохонулся. > В ASA-ах я ничо не понимаю :) > явно лочится тунельный траф, как там что открывается/закрывается - незнаю.... > Можно еще попробовать явно на тунелях gre указать > tunnel mode gre > ну или попробовать с другой инкарсуляцией поиграться, например ipip... На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но после того как уронил канал интернет, туннель опять не поднялся.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 19-Окт-12, 17:15
	>[оверквотинг удален] >>> туннели. Там и в аксес-листы VPN включен протокол GRE и на >>> всех портах я специально открыл доступ GRE any any. Могу выложить >>> конфиг, вдруг я где то лохонулся. >> В ASA-ах я ничо не понимаю :) >> явно лочится тунельный траф, как там что открывается/закрывается - незнаю.... >> Можно еще попробовать явно на тунелях gre указать >> tunnel mode gre >> ну или попробовать с другой инкарсуляцией поиграться, например ipip... > На туннелях GRE указан явно. Инкапсуляцию поменял на ipip, туннель поднялся. Но > после того как уронил канал интернет, туннель опять не поднялся. Конфиг первой ASA: interface GigabitEthernet0/3.55 vlan 55 nameif test_vlan security-level 100 ip address 192.168.4.1 255.255.255.0 ! interface GigabitEthernet0/3.56 vlan 56 nameif vlan_test_2 security-level 100 ip address 192.168.3.1 255.255.255.0 ! interface GigabitEthernet0/3.130 vlan 130 nameif local security-level 100 ip address 10.36.210.38 255.255.255.252 interface GigabitEthernet0/0 description LINK-to-ISP nameif OUTSIDE security-level 0 ip address x.x.x.x 255.255.255.248 ! interface GigabitEthernet0/1 description outside2 nameif outside2 security-level 0 ip address y.y.y.y 255.255.255.252 object-group protocol DM_INLINE_PROTOCOL_1 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_2 protocol-object icmp protocol-object gre object-group service tfp_ports service-object icmp service-object tcp eq ftp service-object tcp eq ftp-data object-group network all_10 description all_10 network-object ALL 255.0.0.0 object-group service DM_INLINE_SERVICE_1 service-object icmp group-object tfp_ports object-group protocol DM_INLINE_PROTOCOL_3 protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_4 protocol-object ip protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_5 protocol-object ip protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_6 protocol-object ip protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_7 protocol-object ip protocol-object gre object-group protocol DM_INLINE_PROTOCOL_8 protocol-object ip access-list OUTSIDE_cryptomap extended permit object-group DM_INLINE_PROTOCOL_8 object-group all_10 10.192.4.0 255.255.255.0 access-list OUTSIDE_cryptomap_1 extended permit ip object-group all_10 10.192.6.0 255.255.255.0 access-list OUTSIDE_cryptomap_2 extended permit ip 192.168.4.0 255.255.255.0 192.168.6.0 255.255.255.0 access-list INSIDE_nat0_outbound extended permit ip ALL 255.0.0.0 ALL 255.0.0.0 access-list INSIDE_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 access-list OUTSIDE_access_in extended permit object-group DM_INLINE_PROTOCOL_2 any any access-list OUTSIDE_access_in extended permit object-group DM_INLINE_SERVICE_1 any host 195.239.243.18 access-list OUTSIDE_access_in extended permit ip 192.168.0.0 255.255.0.0 any access-list mobis standard permit ALL 255.0.0.0 access-list OUTSIDE_access_out extended permit ip any any access-list DMZ_nat0_outbound extended permit ip 10.36.210.16 255.255.255.252 object-group all_10 access-list outside2_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any access-list outside2_access_in extended permit ip 192.168.0.0 255.255.0.0 any access-list outside2_cryptomap extended permit object-group DM_INLINE_PROTOCOL_7 192.168.3.0 255.255.255.0 192.168.7.0 255.255.255.0 access-list outside2_access_out extended permit object-group DM_INLINE_PROTOCOL_4 any any access-list vlan_test_2_access_in extended permit object-group DM_INLINE_PROTOCOL_5 any any access-list test_vlan_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any global (OUTSIDE) 1 interface global (outside2) 1 interface nat (local) 0 access-list INSIDE_nat0_outbound nat (local) 1 0.0.0.0 0.0.0.0 access-group OUTSIDE_access_in in interface OUTSIDE access-group OUTSIDE_access_out out interface OUTSIDE access-group test_vlan_access_in in interface test_vlan access-group vlan_test_2_access_in in interface vlan_test_2 access-group outside2_access_in in interface outside2 access-group outside2_access_out out interface outside2 route OUTSIDE 0.0.0.0 0.0.0.0 "DG1" 1 route outside2 0.0.0.0 0.0.0.0 "DG2" 15 route local 10.0.0.0 255.0.0.0 10.36.210.37 1 route outside2 v.v.v.v 62.231.28.201 1 route OUTSIDE 192.168.6.0 255.255.255.0 "DG1" 1 route outside2 192.168.7.0 255.255.255.0 "DG2" 1 crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map OUTSIDE_map 1 match address OUTSIDE_cryptomap_2 crypto map OUTSIDE_map 1 set peer z.z.z.z crypto map OUTSIDE_map 1 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map OUTSIDE_map interface OUTSIDE crypto map outside2_map0 1 match address outside2_cryptomap crypto map outside2_map0 1 set peer v.v.v.v crypto map outside2_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map outside2_map0 interface outside2 tunnel-group v.v.v.v type ipsec-l2l tunnel-group v.v.v.v general-attributes default-group-policy GroupPolicy4 tunnel-group v.v.v.v ipsec-attributes pre-shared-key *** tunnel-group z.z.z.z type ipsec-l2l tunnel-group z.z.z.z general-attributes default-group-policy GroupPolicy3 tunnel-group z.z.z.z ipsec-attributes pre-shared-key *** Конфиг второй ASA: interface GigabitEthernet0/0 nameif INTERNET security-level 0 ip address v.v.v.v 255.255.255.252 ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.100 vlan 100 nameif local security-level 100 ip address 192.168.5.2 255.255.255.252 ! interface GigabitEthernet0/1.101 vlan 101 nameif vlan101 security-level 100 ip address 192.168.6.2 255.255.255.0 ! interface GigabitEthernet0/1.102 vlan 102 nameif vlan102 security-level 100 ip address 192.168.7.2 255.255.255.0 ! interface GigabitEthernet0/2 nameif -=ISP2=- security-level 0 ip address Z.Z.Z.Z 255.255.255.0 object-group protocol DM_INLINE_PROTOCOL_1 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_2 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_3 protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_4 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_5 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_6 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_7 protocol-object ip protocol-object icmp object-group protocol DM_INLINE_PROTOCOL_8 protocol-object ip protocol-object icmp protocol-object gre object-group service rdp tcp port-object eq 3389 object-group protocol TCPUDP protocol-object udp protocol-object tcp object-group service ss tcp-udp port-object eq 5000 object-group protocol DM_INLINE_PROTOCOL_10 protocol-object ip protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_9 protocol-object ip protocol-object icmp protocol-object gre object-group protocol DM_INLINE_PROTOCOL_11 protocol-object ip protocol-object gre object-group protocol DM_INLINE_PROTOCOL_13 protocol-object ip protocol-object gre access-list LOCAL_access_in extended permit object-group DM_INLINE_PROTOCOL_6 any any access-list LOCAL_access_in extended permit ip 10.192.2.0 255.255.254.0 any access-list LOCAL_access_out extended permit object-group DM_INLINE_PROTOCOL_7 any any access-list INTERNET_access_in extended permit object-group DM_INLINE_PROTOCOL_3 any any access-list INTERNET_access_in extended permit ip host 10.10.17.18 any inactive access-list INTERNET_access_in extended permit ip 10.0.0.0 255.0.0.0 any access-list INTERNET_access_in extended permit ip 192.168.0.0 255.255.0.0 any access-list INTERNET_access_out extended permit object-group DM_INLINE_PROTOCOL_8 any any access-list local_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 access-list local_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 access-list management_nat0_outbound extended permit ip 10.192.2.0 255.255.254.0 10.0.0.0 255.0.0.0 access-list 11 standard permit 10.0.0.0 255.0.0.0 access-list -=ISP2=-_cryptomap extended permit object-group DM_INLINE_PROTOCOL_13 192.168.6.0 255.255.255.0 192.168.4.0 255.255.255.0 access-list INTERNET_cryptomap extended permit object-group DM_INLINE_PROTOCOL_11 192.168.7.0 255.255.255.0 192.168.3.0 255.255.255.0 access-list vlan101_access_in extended permit object-group DM_INLINE_PROTOCOL_9 any any access-list vlan102_access_in extended permit object-group DM_INLINE_PROTOCOL_10 any any global (INTERNET) 1 interface global (-=ISP2=-) 1 interface nat (local) 0 access-list local_nat0_outbound nat (local) 1 0.0.0.0 0.0.0.0 access-group INTERNET_access_in in interface INTERNET access-group INTERNET_access_out out interface INTERNET access-group INTERNET_access_in in interface -=ISP2=- access-group INTERNET_access_out out interface -=ISP2=- access-group vlan101_access_in in interface vlan101 access-group vlan102_access_in in interface vlan102 route -=ISP2=- 0.0.0.0 0.0.0.0 "DG3" 1 track 1 route INTERNET 0.0.0.0 0.0.0.0 "DG4" 200 route local 10.192.2.0 255.255.254.0 192.168.5.1 1 route INTERNET y.y.y.y 62.181.37.157 1 route INTERNET 192.168.3.0 255.255.255.0 "DG4" 1 route -=ISP2=- 192.168.4.0 255.255.255.0 "DG3" 1 crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto map -=ISP2=-_map0 1 match address -=ISP2=-_cryptomap crypto map -=ISP2=-_map0 1 set peer x.x.x.x. crypto map -=ISP2=-_map0 1 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map -=ISP2=-_map0 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map -=ISP2=-_map0 interface -=ISP2=- crypto map INTERNET_map1 1 match address INTERNET_cryptomap crypto map INTERNET_map1 1 set peer y.y.y.y crypto map INTERNET_map1 1 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map INTERNET_map1 interface INTERNET crypto isakmp enable INTERNET crypto isakmp enable -=ISP2=- tunnel-group y.y.y.y type ipsec-l2l tunnel-group y.y.y.y general-attributes default-group-policy GroupPolicy4 tunnel-group y.y.y.y ipsec-attributes pre-shared-key * tunnel-group x.x.x.x type ipsec-l2l tunnel-group x.x.x.x general-attributes default-group-policy GroupPolicy2 tunnel-group x.x.x.x ipsec-attributes pre-shared-key *
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору

14. "Не поднимается GRE после падения канала."	+/–
Сообщение от BJ (ok) on 20-Окт-12, 23:13
Сталкивался. Дело в ASA, дело в том что она часто успевает создает коннекцию для GRE до поднятия IPSEC. А живая коннекция отправляет весь трафик по правилам на момент своего создания, тоесть мимо crypto. Помогает "clear conn addr a.b.c.d" на обоих асах
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	15. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 22-Окт-12, 11:40
	> Сталкивался. Дело в ASA, дело в том что она часто успевает создает > коннекцию для GRE до поднятия IPSEC. А живая коннекция отправляет > весь трафик по правилам на момент своего создания, тоесть мимо crypto. > Помогает "clear conn addr a.b.c.d" на обоих асах Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они могут отрубаться по 10 раз за день, а объект круглосуточный.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Не поднимается GRE после падения канала."	+/–
	Сообщение от BJ (ok) on 22-Окт-12, 16:13
	> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? > Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они > могут отрубаться по 10 раз за день, а объект круглосуточный. Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо этих правил, а значит без него коннекция создаватся не будет. Я эту идею не проверял, решил довести crypto до маршрутизаторов.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 23-Окт-12, 13:55
	>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? >> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они >> могут отрубаться по 10 раз за день, а объект круглосуточный. > Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо > этих правил, а значит без него коннекция создаватся не будет. > Я эту идею не проверял, решил довести crypto до маршрутизаторов. Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до первого падения. Может еще есть идеи? Спасибо. PS clear conn addr помогает, после исполнения, туннели опять поднимаются.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 24-Окт-12, 09:26
	>>> Хм, т.е. это нужно делать после каждого падения канала? Автоматически не настраивается? >>> Просто у нас с одной стороны 2 радиоканала, т.е. погодозависимые, они >>> могут отрубаться по 10 раз за день, а объект круглосуточный. >> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо >> этих правил, а значит без него коннекция создаватся не будет. >> Я эту идею не проверял, решил довести crypto до маршрутизаторов. > Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до > первого падения. Может еще есть идеи? Спасибо. > PS clear conn addr помогает, после исполнения, туннели опять поднимаются. С ASA реализовать особо не получается, но и убирать ее нельзя. Через static nat можно протащить на роутер внешний IP и с него строить gre, но уже шифрованный?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 24-Окт-12, 12:25
	>[оверквотинг удален] >>>> могут отрубаться по 10 раз за день, а объект круглосуточный. >>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо >>> этих правил, а значит без него коннекция создаватся не будет. >>> Я эту идею не проверял, решил довести crypto до маршрутизаторов. >> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до >> первого падения. Может еще есть идеи? Спасибо. >> PS clear conn addr помогает, после исполнения, туннели опять поднимаются. > С ASA реализовать особо не получается, но и убирать ее нельзя. Через > static nat можно протащить на роутер внешний IP и с него > строить gre, но уже шифрованный? Тоже не получится, лицензия BASE на роутерах. Есть еще варианты?
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 24-Окт-12, 16:50
	>[оверквотинг удален] >>>> Попробуйте добавить deny GRE траффика в out acl. Вроде ipsec проходит мимо >>>> этих правил, а значит без него коннекция создаватся не будет. >>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов. >>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до >>> первого падения. Может еще есть идеи? Спасибо. >>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются. >> С ASA реализовать особо не получается, но и убирать ее нельзя. Через >> static nat можно протащить на роутер внешний IP и с него >> строить gre, но уже шифрованный? > Тоже не получится, лицензия BASE на роутерах. Есть еще варианты? Есть, если не сильно волнует правомерность лицензии - включить вечный триал :)
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 24-Окт-12, 17:10
	>[оверквотинг удален] >>>>> этих правил, а значит без него коннекция создаватся не будет. >>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов. >>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до >>>> первого падения. Может еще есть идеи? Спасибо. >>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются. >>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через >>> static nat можно протащить на роутер внешний IP и с него >>> строить gre, но уже шифрованный? >> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты? > Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) или воспользоваться какой-либо клиент/сервер архитектурой
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 24-Окт-12, 18:06
	>[оверквотинг удален] >>>>>> Я эту идею не проверял, решил довести crypto до маршрутизаторов. >>>>> Попробовал поставить, в итоге совсем GRE не строит, убираешь - строит до >>>>> первого падения. Может еще есть идеи? Спасибо. >>>>> PS clear conn addr помогает, после исполнения, туннели опять поднимаются. >>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через >>>> static nat можно протащить на роутер внешний IP и с него >>>> строить gre, но уже шифрованный? >>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты? >> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) > или воспользоваться какой-либо клиент/сервер архитектурой Ну тут не вариант. Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/ Т.е. sysopt connection reclassify-vpn Но не помогло тоже.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 25-Окт-12, 10:18
	>[оверквотинг удален] >>>>> С ASA реализовать особо не получается, но и убирать ее нельзя. Через >>>>> static nat можно протащить на роутер внешний IP и с него >>>>> строить gre, но уже шифрованный? >>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты? >>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) >> или воспользоваться какой-либо клиент/сервер архитектурой > Ну тут не вариант. > Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/ > Т.е. sysopt connection reclassify-vpn > Но не помогло тоже. Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки на ASA может и помочь...
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 25-Окт-12, 11:05
	>[оверквотинг удален] >>>>>> строить gre, но уже шифрованный? >>>>> Тоже не получится, лицензия BASE на роутерах. Есть еще варианты? >>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) >>> или воспользоваться какой-либо клиент/сервер архитектурой >> Ну тут не вариант. >> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/ >> Т.е. sysopt connection reclassify-vpn >> Но не помогло тоже. > Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки > на ASA может и помочь... Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более старших прошивок надо NAT переделывать, не очень хочется.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 25-Окт-12, 11:44
	>[оверквотинг удален] >>>>> Есть, если не сильно волнует правомерность лицензии - включить вечный триал :) >>>> или воспользоваться какой-либо клиент/сервер архитектурой >>> Ну тут не вариант. >>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/ >>> Т.е. sysopt connection reclassify-vpn >>> Но не помогло тоже. >> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки >> на ASA может и помочь... > Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более > старших прошивок надо NAT переделывать, не очень хочется. http://www.cisco.com/en/US/products/ps6120/products_configur... Не поможет?
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 25-Окт-12, 16:09
	>[оверквотинг удален] >>>> Ну тут не вариант. >>>> Ещё подсказали вот это: http://www.booches.nl/2008/12/gre-over-ipsec-with-cisco-asa/ >>>> Т.е. sysopt connection reclassify-vpn >>>> Но не помогло тоже. >>> Судя по дате сего документа (December 3rd, 2008) надо думать замена прошивки >>> на ASA может и помочь... >> Прошивка 8.25 стоит, но проблема и на ней вроде актуальна, у более >> старших прошивок надо NAT переделывать, не очень хочется. > http://www.cisco.com/en/US/products/ps6120/products_configur... > Не поможет? Поставил. Ситуация несколько изменилась. Соответственно есть 2 провайдера на каждой асе и маршруты: route OUTSIDE 0.0.0.0 0.0.0.0 DG1 1 route outside2 0.0.0.0 0.0.0.0 DG2 15 route outside2 ASA2(ISP2) DG2 1 route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1 route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1 Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения. Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2 не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается GRE2. Далее после включения основного провайдера поднимается и GRE1. Т.е. в общем то резервирование работает, но все же хотелось бы чтобы GRE2 поднимался сам, без падения основного провайдера.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Не поднимается GRE после падения канала."	+/–
	Сообщение от fantom (ok) on 25-Окт-12, 17:00
	>[оверквотинг удален] > route outside2 0.0.0.0 0.0.0.0 DG2 15 > route outside2 ASA2(ISP2) DG2 1 > route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1 > route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1 > Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения. > Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2 > не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается > GRE2. Далее после включения основного провайдера поднимается и GRE1. > Т.е. в общем то резервирование работает, но все же хотелось бы чтобы > GRE2 поднимался сам, без падения основного провайдера. Пишите в саппорт циски, может это баг... а задокументирванный баг -- это уже фича ;)
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Не поднимается GRE после падения канала."	+/–
	Сообщение от foxdenis (ok) on 25-Окт-12, 17:05
	>[оверквотинг удален] >> route OUTSIDE 192.168.6.0 255.255.255.0(gre1 point) DG1 1 >> route outside2 192.168.7.0 255.255.255.0 (gre2 point) DG2 1 >> Если я выключаю/включаю интерфейс к основному провайдеру, то GRE1 поднимается после падения. >> Если я роняю интерфейс к резервному провайдеру(DG2), то после включения интерфейса, GRE2 >> не поднимается. Если после этого уронить интерфейс к основному провайдеру, поднимается >> GRE2. Далее после включения основного провайдера поднимается и GRE1. >> Т.е. в общем то резервирование работает, но все же хотелось бы чтобы >> GRE2 поднимался сам, без падения основного провайдера. > Пишите в саппорт циски, может это баг... а задокументирванный баг -- это > уже фича ;) Создал тему, пока молчат.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору

29. "Не поднимается GRE после падения канала."	+/–
Сообщение от Сергей (??) on 01-Мрт-15, 20:59
Все добрый день! Не стал открывать новую тему, но проблема точно такая же .. Есть два белых IP и циски.. все маршрутизаторы отвечают .. туннель в какой то момент падает и не поднимается. При этом не сказал бы что это связанно с падением основного канала (он на мониторинге, и с ним все ок) Исключение составляет, что нет ASA, как в изложенной выше проблеме. R1 Tunnel14 is up, line protocol is down Hardware is Tunnel Description: to_nabcheln_r01 Internet address is 192.168.212.1/24 R2 Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 192.168.212.2/24 Пытался включать и выключать туннели с одной и другой сторон - не помогло clean int tunnel на R1 и R2 - не помогло Помогает только перезагрузка R2 .. и жду день, другой нового падения новый канал и все по новой :(
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	30. "Не поднимается GRE после падения канала."	+/–
	Сообщение от Михаил (??) on 10-Янв-17, 11:03
	>[оверквотинг удален] > Internet address is 192.168.212.1/24 > R2 > Tunnel1 is up, line protocol is up > Hardware is Tunnel > Internet address is 192.168.212.2/24 > Пытался включать и выключать туннели с одной и другой сторон - не > помогло > clean int tunnel на R1 и R2 - не помогло > Помогает только перезагрузка R2 .. и жду день, другой нового падения новый > канал и все по новой :( Добрый день! Столкнулся с такой же проблемой, не нашли решения?
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору