https://www.opennet.ru/openforum/vsluhforumID6/762.html Уважаемые, помогите пожалуйста советом. Поднимаю туннель. При применении crypto map вешается интерфейс на который она применяется. И никак не могу поднять соединение. Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у меня задача, подключить много розничных точек, так что кучу VTI создавать нет желания.<br><br>Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать множественные маршруты и access листы.<br><br>a.a.a.a - внешний IP филиала 1<br>b.b.b.b - внешний IP филиала 2<br>x.x.x.x - внешний IP предполагаемого магазина<br>c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети)<br>z.z.z.z - внешний IP к ISP<br>y.y.y.y - шлюз ISP<br><br>Конфиг:<br><br>!<br>crypto keyring Branch1Key<br> pre-shared-key address a.a.a.a key Superkey1<br>crypto keyring Branch2Key<br> pre-shared-key address b.b.b.b key Superkey2<br>crypto keyring ShopsKey<br> pre-shared-key address 0.0.0.0 0.0.0. https://www.opennet.ru/openforum/vsluhforumID6/762.html#12 Tue, 16 Sep 2014 15:08:27 GMT UP. Коллеги, задача так и не решена. Кто-нибудь в состоянии помочь? Задача подключить несколько розничных точек с помощью crypto map.<br><br>Пробовал и с динамическими и со статическими, и со статическим маршрутом и с reverse-route, crypto map вешал и на interface GigabitEthernet0/1.1 и на interface GigabitEthernet0/0, и с DLink DSR-150 и с Mikrotik 750. Всё одно туннель ставится, траффик не идёт. Где грабли-то?<br><br>Ещё раз конфиг: актуальный<br><br>a.a.a.a - внешний IP филиала 1<br>b.b.b.b - внешний IP филиала 2<br>c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети)<br>z.z.z.z - внешний IP к ISP<br>y.y.y.y - шлюз ISP<br><br>!<br>crypto keyring Branch1Key<br> pre-shared-key address a.a.a.a key Superkey1<br>crypto keyring Branch2Key<br> pre-shared-key address b.b.b.b key Superkey2<br>crypto keyring ShopsKey<br> pre-shared-key address 0.0.0.0 0.0.0.0 key MegaSuperKey<br>!<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp policy 20<br> encr 3des<br> hash md5 https://www.opennet.ru/openforum/vsluhforumID6/762.html#11 Tue, 18 Jun 2013 11:01:30 GMT &gt; Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у <br>&gt; меня задача, подключить много розничных точек, так что кучу VTI создавать <br>&gt; нет желания.<br>&gt; Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И <br>&gt; все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать <br>&gt; множественные маршруты и access листы.<br><br>Абсолютно не правильная и тупиковая установка. <br>Сделать компактнее и проще на Crypto-map - не получится никак! <br>Т.к. вместо маршрутов ты будешь для каждого офиса прописывать отдельный ACL, отдельного пира и строку в криптомапе, ну и отдельный маршрут конечно же.<br><br>Рассматриваемое тобой решение на базе Crypto-Map и обычного IPSec-а - колхоз в априори, и удобным оно не может быть никак.<br><br>Самое лучшее что можно придумать - упомянутые и успешно протестированные тобой тунельные интерфейсы в каждый офис.<br>Создание большого их числа легко автоматизируется с помощью notepad++, excel и т.д.<br>Это максимально простая и понятная конфигураци https://www.opennet.ru/openforum/vsluhforumID6/762.html#10 Fri, 24 May 2013 09:48:16 GMT &gt;&gt; т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?<br>&gt; Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для, <br>&gt; например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0 <br>&gt; 0.0.255.255) и будет отправлен в 1ый филиал.<br>&gt; Вернемся, к баранам: <br>&gt; Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем <br>&gt; mode tunnel. Проверь чтоб на D-Link стоял такой же.<br><br>Если выставить mode tunnel туннель перестаёт работать.<br><br>&gt;[оверквотинг удален]<br>&gt; Policy type: Auto <br>&gt; IKE version: IPv4 IKEv1 <br>&gt; Ipsec mode: Tunnel <br>&gt; Remote Endpoint: 58.235.72.177 <br>&gt; Protocol: ESP <br>&gt; Local IP: 172.17.0.16/28 <br>&gt; Remote IP: 192.168.0.0/16 <br>&gt; Проверь на DLink настройки Phase I и Phase II. Они должны совпадать <br>&gt; с crypto isakmp policy и crypto isakmp profile (для Phase I) <br>&gt; и crypto map VPNShops 10 ipsec-isakmp (для Phase II) <br><br>Всё так и есть, только в crypto map у меня https://www.opennet.ru/openforum/vsluhforumID6/762.html#9 Thu, 23 May 2013 10:44:28 GMT &gt; т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?<br><br>Crypto map обрабатывается по порядку, начиная с младшего. Трафик, предназначенный для, например, 5го филиала удовлетворит первой же записи в crypto map (172.17.0.0 0.0.255.255) и будет отправлен в 1ый филиал.<br><br>Вернемся, к баранам:<br><br>Для crypto map VPNShops сделай отдельный ipsec transform-set и выстави в нем mode tunnel. Проверь чтоб на D-Link стоял такой же. <br><br>Настройки D-Link`a:<br><br>Policy type: Auto<br>IKE version: IPv4 IKEv1<br>Ipsec mode: Tunnel<br>Remote Endpoint: 58.235.72.177<br>Protocol: ESP<br>Local IP: 172.17.0.16/28<br>Remote IP: 192.168.0.0/16<br><br>Проверь на DLink настройки Phase I и Phase II. Они должны совпадать с crypto isakmp policy и crypto isakmp profile (для Phase I) и crypto map VPNShops 10 ipsec-isakmp (для Phase II)<br><br><br>поставь пинг и покажи <br>sh cry ips sa<br><br>Если не заработало - выкладывай debug cry isa и debug cry ips<br><br>P.s. Я бы все таки перевесил бы cryp https://www.opennet.ru/openforum/vsluhforumID6/762.html#8 Thu, 23 May 2013 06:40:09 GMT Во-первых, хотел поблагодарить за участие, а то и помочь некому.<br><br>&gt; почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, <br>&gt; а в интернете?<br><br>сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.)<br><br>&gt; И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла <br>&gt; за каким пиром какая сеть сидит.<br><br>Это тоже понятно.<br><br>&gt; Я вот никак не пойму. За какой сетью у тебя сидят все <br>&gt; филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то <br>&gt; зачем вешать crypto map на внутренний интерфейс?<br>&gt; Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 <br>&gt; 255.255.0.0 GigabitEthernet0/0.1." <br>&gt; Router не будет знать где 172.17 и все будет лить на шлюз <br>&gt; по умолчению, и на внешнем интерфейсе cryto map перехватит все в <br>&gt; ipsec <br><br>А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 пр https://www.opennet.ru/openforum/vsluhforumID6/762.html#7 Wed, 22 May 2013 19:58:11 GMT &gt; у меня около 200 розничных точек.) <br><br>почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, а в интернете?<br>И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла за каким пиром какая сеть сидит.<br><br>&gt; На Catalist, естественно, я маршрут написал :) <br>&gt; Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой. <br><br>Это хорошо.<br> <br>&gt; Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер <br>&gt; Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в <br>&gt; таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24 <br>&gt; Сейчас на Cisco написано так: <br>&gt; ip route 0.0.0.0 0.0.0.0 y.y.y.y <br>&gt; ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 <br><br>Я вот никак не пойму. За какой сетью у тебя сидят все филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то зачем вешать crypto map на внутренний интерфейс?<br>Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1."<br>R https://www.opennet.ru/openforum/vsluhforumID6/762.html#6 Wed, 22 May 2013 15:20:17 GMT &gt;[оверквотинг удален]<br>&gt; Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато <br>&gt; будет прозрачнее работать.<br>&gt; Записи тип ip route IP_NET MASK INT придумали когда то для PPP <br>&gt; линков с /31 маской, и плохо работают в multipoint сетях.<br>&gt; По сути вопроса 2: <br>&gt; При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS <br>&gt; и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор <br>&gt; стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы <br>&gt; того или иного подхода, как хорошо вы сможете из траблшутить в <br>&gt; случае чего.<br><br>Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, что сделующий шаг этот же роутер. Но для каждого магазина могу написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно раздуется? у меня около 200 розничных точек.)<br>На Catalist, естественно, я маршрут написал :)<br>Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой.<br>Вчера после поднятия ту https://www.opennet.ru/openforum/vsluhforumID6/762.html#5 Wed, 22 May 2013 14:55:50 GMT &gt;&gt;[оверквотинг удален] <br><br>До конца не понял вопрос про "сети не видят друг друга".<br><br>Если вы про то что филиалы не видят другие филиалы, то так и будет если вы используете crypto map вместо VTI.<br><br>Если про сети за каталистом, то на нем нужен статик:<br>ip route 172.17.0.0 255.255.0.0 192.168.10.1<br><br>и соответственно добавить в access-list IPSEC`а правило гнать трафик из 192.168.110.0/24 в филиалы через туннель.<br><br>И "ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1" я бы все таки рекомендовал заменить на отдельные записи для каждого филиала. Что то типа:<br>ip route 172.17.x.0 255.255.255.0 c.c.c.x<br><br>Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато будет прозрачнее работать.<br>Записи тип ip route IP_NET MASK INT придумали когда то для PPP линков с /31 маской, и плохо работают в multipoint сетях.<br><br>По сути вопроса 2:<br>При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор стоит делать из личных предпочтений: https://www.opennet.ru/openforum/vsluhforumID6/762.html#4 Tue, 21 May 2013 20:31:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; arp запросы в эту белую сеть (с.с.с.с/28), то у меня встречный <br>&gt;&gt; вопрос: как тогда написать, чтобы сети 192.168.110.0/24 192.168.111.0/24 (о которых этот <br>&gt;&gt; роутер знает потому что 192.168.10.0/24 в итоге приходит на Catalist 3750 <br>&gt;&gt; 192.168.10.254, где все они определены Vlan'ами) видели суперсеть 172.17.0.0/16 <br>&gt; 1. Конечно траффик МЕЖДУ которыми нужно туннелировать. Написал как надо. Интернет не <br>&gt; пропал. Все существующие сети между собой видны. По sh crypto isakmp <br>&gt; sa видно даже что туннель ACTIVE, хотя на той стороне сейчас <br>&gt; DLink на котором нет настроек IPSec (уходя из дома я снял <br>&gt; тестируемый и поставил обратно свой). Остаются вопросы 2 и 3 (особенно <br>&gt; интересный).<br><br>Туннель в итоге я поднял, но сети не видят друг друга. В связи с чем 3 вопрос становиться всё более актаульным. Пробовал на Cisco прописать маршрут не в супернет, а явно в тустовую сеть, в DLink добавил статический маршрут - тоже не помогает. Помогите советом пожалуйста.<br><br><br>